Czym jest i jak ją wdrożyć? Dowiesz się jak twoja firma może wprowadzić ją w jasny i przyjazny sposób.
Polityka bezpieczeństwa i Instrukcja zarządzania systemem informatycznym są dokumentami wewnętrznymi, stąd nie powinny one być udostępniane nieograniczonemu kręgowi osób. Celem polityki bezpieczeństwa jest wskazanie środków bezpieczeństwa i procedur bezpiecznego przetwarzania informacji, w tym danych osobowych.
Polityka bezpieczeństwa jest opracowywana w celu wypełnienia obowiązku dotyczącego udokumentowania stosowanych przez administratora danych środków technicznych i organizacyjnych, mających na celu zapewnienia odpowiedniego poziomu ochrony przetwarzanych danych.
Do głównych celów polityki bezpieczeństwa zalicza się stworzenie reguł i zasad postępowania oraz wskazanie działań jakie należy podjąć, aby poprawnie zabezpieczyć dane osobowe.
Administrator danych jest odpowiedzialny za zatwierdzanie polityki bezpieczeństwa. Polityka ta musi być w formie pisemnej a każdy zatrudniony pracownik, który ma dostęp do przetwarzania danych osobowych obowiązkowo zapoznał się z jej treścią. Dodatkowo w celach dowodowych pracownik powinien po zapoznaniu się z treścią tej polityki potwierdzić na piśmie. Pracownicy tego obszaru powinni być zapoznani z tymi regulacjami na samym początku zatrudnienia zanim rozpoczną działania w procesie przetwarzania danych osobowych. Dotyczy to także klientów organizacji (użytkowników jej zasobów).
Polityka bezpieczeństwa powinna obejmować wskazanie możliwych naruszeń jakie mogą wystąpić w wrzypadku ataku lub próby uzyskania informacji w sposób nieautoryzowany.
Powinna mieć procedury postępowiania oraz działania w razie wystąpienia naruszeń i w późniejszym czasie o wyeliminowanie ponownego zagrożenia.
Polityka bezpieczeństwa definiuje ponadto poprawne i niepoprawne korzystanie z zasobów.
Określenie, kto może mieć konto w systemie; czy mogą istnieć konta typu "gość", na jakich kontach mogą pracować pracownicy innych instytucji (np. dostawców oprogramowania zajmujący się konserwacją tego oprogramowania).
Określenie czy wiele osób może korzystać z jednego konta (należy pamiętać nie tylko o pracownikach instytucji, ale i o ich rodzinach, przyjaciołach itp.).
Określenie, w jakich sytuacjach odbierane jest prawo do korzystania z konta; co dzieje się z kontami pracowników, którzy odeszli z instytucji.
Zdefiniowanie wymagań dot. haseł; na ile powinny być skomplikowane, czy można je zdradzać współpracownikom, przełożonym; określenie okresów ważności haseł, it.
Określenie zasad przyłączania się i korzystania z globalnej sieci komputerowej; określenie osób, której mają do tego prawo. Określenie zakresu i zasad udostępniania informacji instytucji użytkownikom globalnej sieci komputerowej (np. przez www czy ftp).
Określenie zasad sporządzania i przechowywania wydruków informacji związanych. z instytucją.
Określenie metod ochrony przed wirusami.
Określenie praw związanych z dostępem do danych..
• ustanawianie, wdrożenie, eksploatacja, monitorowanie, przegląd, utrzymanie i doskonalenie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI/ ISMS)
• możliwość wykorzystania normy do oceny zgodności systemu zarządzania bezpieczeństwem informacji przez zainteresowane strony wewnętrzne i zewnętrzne (certyfikacja)
• pozostałe zależne od Organizacji, która podjęła decyzję o wdrożeniu wymagań ISO/ IEC 27001
Minimalizacja ryzyka wystąpienia zdarzeń związanych z bezpieczeństwem informacji (w tym również kar) (pro-aktywna identyfikacja podatności aktywów informacyjnych, zagrożeń i ich skutków w odniesieniu do sterowania operacyjnego oraz definiowanie odpowiednich działań postępowania z ryzykiem w tym zabezpieczeń).
Przygotowanie organizacji na incydenty związane z bezpieczeństwem informacji w tym, dzięki odpowiednim procedurom, skuteczne przezwyciężenie ich (efektywna odpowiedź na incydenty, minimalizacja ich wpływu na organizację).
Wdrożony standard podnosi wiarygodność organizacji w oczach klientów, inwestorów i udziałowców (wszystkich interesariuszy).
Pozytywny wpływ na ochronę i poprawę reputacji firmy i danej marki.
Spełnienie coraz częściej występujących w prawodawstwie wymagań w tym zakresie, wymagań obecnych i potencjalnych klientów organizacji, a także ubezpieczycieli (certyfikat może wpłynąć na ograniczenie wysokości składki ubezpieczeniowej).
Zapewnienie bezpieczeństwa interesom Klienta w wyniku poprawnie funkcjonującego systemu zarządzania informacją.
Odpowiedni poziom jakości ochrony aktywów informacyjnych.
wzrost świadomości pracowników odnośnie bezpieczeństwa informacji.
Zwiększenie przewagi konkurencyjnej organizacji na rynku.
Trafne i przydatne wskazówki jak polepszyć bezpieczeństwo w firmie i nie tylko. Wiedza podana w miły i przyjazny sposób. Każdy znajdzie coś dla siebie.
IT
Trafne i przydatne wskazówki jak polepszyć bezpieczeństwo w firmie i nie tylko. Wiedza podana w miły i przyjazny sposób. Każdy znajdzie coś dla siebie.
IT
