- Моя газета - https://mygazeta.com -

Семь элементов эффективной политики безопасности

Семь элементов эффективной политики безопасности [1]

Политики безопасности [2] являются важным компонентом программы информационной безопасности, и их необходимо правильно разработать, внедрить и обеспечить соблюдение. Эффективная политика безопасности должна содержать следующие элементы:

1. Четкая цель и задачи

Это особенно важно для программной политики. Помните, что многие сотрудники мало что знают об угрозах безопасности и могут рассматривать любой тип контроля безопасности как бремя. Четкое заявление о миссии или цели, изложенное на верхнем уровне политики безопасности, должно помочь всей организации понять важность информационной безопасности.

2. Сфера применения и применимость

Каждая политика безопасности, независимо от типа, должна включать область действия или заявление о применимости, в котором четко указывается, к кому применяется политика. Это может быть связано с географическим регионом, бизнес-подразделением, должностной ролью или любой другой организационной концепцией, если она правильно определена.

3. Приверженность высшего руководства

Политики безопасности предназначены для информирования о намерениях высшего руководства, в идеале на уровне высшего руководства или совета директоров. Без поддержки со стороны этого уровня руководства любая программа безопасности, скорее всего, потерпит неудачу. Чтобы добиться успеха, ваши политики должны быть доведены до сведения сотрудников, регулярно обновляться и последовательно применяться. Отсутствие поддержки со стороны руководства делает все это трудным, если не невозможным.

4. Реалистичная и осуществимая политика

Хотя может показаться заманчивым строить свою политику безопасности на модели совершенства, вы должны помнить, что ваши сотрудники живут в реальном мире. Чрезмерно обременительная политика вряд ли получит широкое распространение. Аналогичным образом, политика без механизма принудительного исполнения может быть легко проигнорирована значительным числом сотрудников.

5. Четкие определения важных терминов

Помните, что аудитория политики безопасности часто не является технической. Важен лаконичный и свободный от жаргона язык, а любые технические термины в документе должны быть четко определены.

6. Адаптирован к склонности организации к риску

Риск невозможно полностью устранить, но руководство каждой организации должно решить, какой уровень риска является приемлемым. Политика безопасности должна учитывать склонность к риску, поскольку она повлияет на типы затрагиваемых тем.

7. Актуальная информация

Обновления политики безопасности имеют решающее значение для поддержания эффективности. Хотя программа или основная политика могут не нуждаться в частых изменениях, их все же следует регулярно пересматривать. Политики по конкретным вопросам необходимо будет обновлять чаще по мере изменения технологий, кадровых тенденций и других факторов. Вы можете обнаружить, что со временем потребуются новые политики: политики BYOD и удаленного доступа — отличные примеры политик, которые стали повсеместными только за последнее десятилетие или около того.

Автор Виктория Кромова
«Моя газета»