Quase todas as organizações de qualquer tamanho deve gerenciar informações. De orçamentos de pessoal para os dados do cliente , uma grande quantidade de informação existe que , se comprometida, pode levar ao fim de uma organização. Uma política de segurança da informação bem trabalhada é uma ferramenta que pode ajudar a evitar um desastre . Definição
Uma política de segurança dos sistemas de informação é um documento que especifica os papéis e as regras para a manipulação de informações dentro de uma organização . Sua finalidade é estabelecer limites que protegem a informação de ser lançado ( intencionalmente ou não ) para o público errado . No mínimo , deve incluir um escopo e propósito, papéis e responsabilidades , as classificações de dados e as sanções em caso de incumprimento .
Scope /Objetivo
A primeira seção do documento deve especificar o escopo eo propósito do documento. Isso informa ao leitor a informação que é coberto eo que não é coberto. Também deve explicitar o fato de que o objetivo do documento é apresentar as políticas para o tratamento adequado da informação , quer .
Funções /Responsabilidades sensíveis ou não
Como acontece com qualquer política organizacional , é fundamental que cada pessoa entende a sua /seu papel na implementação e execução da política . A seção da política de Papéis e Responsabilidades explicita quem é responsável pela segurança da informação dentro da organização, bem como as responsabilidades de cada pessoa que lida com as informações do dia a dia. Esta seção deve identificar os executivos que lhe são confiadas com esta função , bem como as responsabilidades de um departamento de segurança da informação.
Compliance
Qualquer política deve conter penalidades para violações . Uma política de segurança de sistemas de informação não é diferente. Na verdade, esta é uma das áreas mais críticas para assegurar que a política tem " dentes". As sanções devem ser claramente definidas, e os infratores devem ser imediatamente confrontado . Se não há penalidades , então a política será ineficaz .
Consciência Programas
Claro, se uma política é desenvolvido bem, e explicita tudo, inclusive que é responsável pelo que , e as penalidades para violar a política , ainda é uma área que deve ser coberta . Isso é treinamento de conscientização . É imperativo que os membros (funcionários) de uma organização estar ciente dos riscos e ameaças à segurança de sistemas de informação e da organização como um todo. Sem isso , é muito fácil para alguém para dizer: "Eu não sabia. " Além disso, se as pessoas não têm conhecimento das ameaças , eles podem não ser tão eficaz quanto possível para ajudar a impedir esses ataques. Assim, um programa bom e completo sensibilização e formação é um imperativo.
Resumo
Implementação de uma política de segurança de sistemas de informação de som não é uma tarefa fácil, mas com algumas orientações que pode ser bem feito. Na era da informação , é essencial que cada organização desenvolver, comunicar e manter uma política de segurança da informação bem escrito .
