Information System Security Policy

Information System Security Policy


Nesten alle organisasjoner i alle størrelser må behandle informasjon. Fra budsjetter til personell til kundedata, finnes en stor mengde informasjon som, hvis kompromittert, kan føre til slutten av en organisasjon. En godt utformet informasjon sikkerhetspolitikk er et verktøy som kan bidra til å unngå en slik katastrofe.

Definisjon

En informasjons-systemer sikkerhetspolitikk er et dokument som staver ut roller og regler for håndtering av informasjon i en organisasjon. Hensikten er å etablere grenser som beskytter informasjonen fra å bli utgitt (enten bevisst eller ubevisst) til feil publikum. I det minste bør det inneholde et omfang og formål, roller og ansvar, data klassifikasjoner og straff for manglende overholdelse.

Omfang / Formål

Den første delen av dokumentet skal spesifisere omfanget og formålet med dokumentet. Dette forteller leseren hva slags informasjon som dekkes og hva som ikke dekkes. Det bør også stave faktum at hensikten med dokumentet er å tilveiebringe retningslinjer for riktig håndtering av informasjon, enten følsom eller ikke.

Roller / ansvar

Som med alle organisatoriske politikk, er det avgjørende at hver person forstår hans / hennes rolle i å implementere og håndheve politikken. Roller og ansvar i politikken staver ut hvem som er ansvarlig for informasjonssikkerheten i organisasjonen, samt ansvar for hver person som håndterer informasjonen fra dag til dag. Denne delen skal identifisere ledere som er betrodd med denne funksjonen, samt ansvar for en informasjonssikkerhet avdeling.

Samsvar

Enhver politikk må inneholde straffer for brudd. En informasjonssystemer sikkerhetspolitikk er ikke annerledes. Faktisk er dette en av de mest kritiske områdene for å sikre at politikken har "tenner". Sanksjonene må være tydelig stavet ut, og overtredere bør umiddelbart konfrontert. Hvis det ikke er noen straff, så politikken vil være ineffektiv.

Awareness programmer

Selvfølgelig, hvis en policy er utviklet godt, og staver ut alt, inkludert hvem som er ansvarlig for hva, og straffen for å bryte reglene, er det fortsatt et område som må dekkes. Det er bevissthet trening. Det er viktig at medlemmene (ansatte) i en organisasjon gjøres oppmerksom på risiko og trusler mot sikkerheten til informasjonssystemer og organisasjonen som helhet. Uten dette, er det altfor lett for noen å si "Jeg visste ikke." Også, hvis folk er uvitende om truslene, de kan ikke være så effektiv som mulig i å hjelpe å hindre disse angrepene. Så, er en god og grundig bevissthet og treningsprogram imperativ.

Sammendrag

Implementering av en lyd informasjonssystemer sikkerhetspolitikk er ikke en lett oppgave, men med litt veiledning kan det gjøres godt. I informasjonsalderen er det viktig at hver organisasjon utvikle, kommunisere og opprettholde et godt skriftlig informasjon sikkerhetspolitikk.