Næsten hver organisation , uanset størrelse, skal forvalte information. Fra budgetter personale til kundedata , findes en stor mængde information , at hvis kompromitteret, kan føre til afslutningen af en organisation. Et godt udformet informationssikkerhedspolitik er et værktøj, der kan hjælpe med at undgå en sådan katastrofe . Definition
En informations - systemer sikkerhedspolitik er et dokument, der redegør for de roller og regler for håndtering af oplysninger inden for en organisation. Dens formål er at etablere grænser , der beskytter oplysninger mod at blive frigivet ( forsætligt eller uforsætligt ) til den forkerte publikum. I det mindste bør det indeholde en rækkevidde og formål, roller og ansvar , data klassifikationer og sanktioner for manglende overholdelse.
Anvendelsesområde /Formål
Den første sektion af dokumentet skal specificere omfanget og formålet med dokumentet. Dette fortæller læseren, hvad oplysningerne er omfattet, og hvad der ikke er dækket. Det bør også præcisere , at formålet med dokumentet er at give politikkerne for korrekt håndtering af oplysninger, uanset om følsomme eller ej.
Roller /ansvar
som med enhver organisatorisk politik , er det afgørende , at hver person forstår hans /hendes rolle i gennemførelsen og håndhævelsen af politikken. Roller og ansvar sektion af politikken ekspliciterer hvem der er endeligt ansvarlig for informationssikkerhed i organisationen, samt ansvarsområderne for hver enkelt person, der håndterer information fra dag til dag. Dette afsnit skal identificere de ledere, der har fået overdraget denne funktion , samt det ansvar, en informationssikkerhed afdelingen.
Compliance
Enhver politik skal indeholde sanktioner for overtrædelser . En informations -systemer sikkerhedspolitik er ikke anderledes. I virkeligheden er dette et af de mest kritiske områder for at sikre, at politikken har " tænder ". Sanktionerne skal være klart definerede, og overtrædere bør straks konfronteret . Hvis der ikke er nogen sanktioner , så den politik vil være ineffektiv .
Oplysningsprogrammer
Selvfølgelig, hvis en politik udvikles godt, og ekspliciterer alt, herunder hvem er ansvarlig for hvad, og straffen for at overtræde den politik , er der stadig et område, der skal dækkes . Det er bevidstgørelse . Det er bydende nødvendigt , at de medlemmer ( ansatte) i en organisation gøres opmærksom på de risici og trusler mod sikkerheden i informationssystemer og organisationen som helhed. Uden dette, er det alt for let for nogen at sige "Jeg vidste det ikke. " Også, hvis folk ikke er klar over de trusler , de kan ikke være så effektive som muligt i bestræbelserne på at modarbejde disse angreb. Så en god og grundig viden og uddannelse er afgørende.
Summary
Implementering af et sund informationssystemer sikkerhedspolitik er ikke en let opgave, men med lidt vejledning det kan gøres godt. I de oplysninger, alder er det vigtigt , at enhver organisation udvikle, formidle og vedligeholde en velskrevet information sikkerhedspolitik.