Nästan varje organisation oavsett storlek måste hantera information . Från budget till personal till kunddata , finns en stor mängd information som, om äventyras , kan leda till slutet av en organisation . En väl genomtänkt policy för informationssäkerhet är ett verktyg som kan bidra till att undvika en sådan katastrof . Definition
En informations - system säkerhetspolicy är ett dokument som klargör roller och regler för hantering av information inom en organisation . Dess syfte är att fastställa gränser som skyddar informationen från att släppas ( avsiktligt eller oavsiktligt ) till fel publik . Åtminstone bör det innehålla en omfattning och syfte , roller och ansvar , uppgifter klassificeringar och påföljder för bristande efterlevnad .
Omfattning /Purpose
Det första avsnittet av dokumentet ska ange omfattningen av och syftet med dokumentet . Detta talar om för läsaren vilken information som omfattas och vad som inte omfattas . Det bör också klargöra att syftet med dokumentet är att ge riktlinjer för en korrekt hantering av information, oavsett om känsliga eller inte .
Roller /ansvar
som med alla organisatoriska politik , är det viktigt att varje person förstår hans /hennes roll i genomförande och tillämpning av politiken . De roller och ansvar avsnittet av politiken klargör vem som är ytterst ansvarig för informationssäkerheten inom organisationen , liksom ansvaret för varje person som hanterar informationen från dag till dag . Detta avsnitt bör identifiera de chefer som har anförtrotts denna funktion , liksom de skyldigheter som åligger en informationssäkerhet avdelning .
Efterlevnad
All politik måste innehålla sanktioner för överträdelser . Ett informationssystem säkerhetspolitik är inte annorlunda . I själva verket är detta en av de mest kritiska områdena för att säkerställa att politiken har " tänder . " Påföljderna ska vara tydligt specificerade , och överträdare bör omedelbart konfronteras . Om det inte finns några sanktioner , då politiken kommer att bli ineffektiv .
Awareness Program
Självklart, om en politik utvecklas väl , och redogörs allt , inklusive vem som ansvarar för vad , och straffen för brott mot policyn , finns det fortfarande ett område som måste täckas . Det är medvetenhet utbildning . Det är viktigt att medlemmarna ( anställda ) i en organisation göras medvetna om de risker och hot mot säkerheten i informationssystem och organisationen som helhet . Utan detta , är det alltför lätt för någon att säga " jag visste inte . " Även om människor är omedvetna om de hot , kan de inte vara så effektiv som möjligt när det gäller att motverka dessa attacker . Så , är en bra och grundlig medvetenhet och utbildning viktigt .
Summary
Implementera en sund informationssystem säkerhetspolitik är inte en lätt uppgift , men med viss handledning det kan göras bra . I informationsåldern är det viktigt att varje organisation utvecklas , kommunicera och upprätthålla en välskriven informationssäkerhetspolicy .
