взлом

Как разработать корпоративную политику информационной безопасности?

 

  • Безопасность корпоративной информации имеет решающее значение для того, чтобы оставаться конкурентоспособным, а также для обеспечения и соответствия установленным правительством правил конфиденциальности. Информация должна быть защищена от конкурентов, от возможных хакерских атак, от сотрудников, которые не имеют доступа к важной корпоративной информации. При разработке корпоративной политики информационной безопасности необходимо учитывать особенности потоков данных компании, особенности информационного доступа различных групп ее сотрудников, а также определить необходимую структуру для обеспечения безопасности корпоративной инфраструктуры.

 

  • Инструкции.

 

  • 1. Исследование правовых требований к корпоративной безопасности. Если необходимо обеспечить информационную безопасность частной корпорации, следует обратить внимание на правила конфиденциальности данных о клиентах, информации о сотрудниках и финансовых операций с данными, таких, например, как номера кредитных карт. Если необходимо обеспечить информационную безопасность открытого акционерного общества, следует также получить консультации по  проведению операций с ценными бумагами на бирже, придерживаться правил и законов Сарбейнса-Оксли, для того, чтобы установить минимальный уровень безопасности данных,  которому должна соответствовать политика информационной безопасности.

 

  • 2. Установить различные типы доступа к информации для групп сотрудников и основного персонала. Адресовать тех, кто имеет доступ к финансовым данным, файлам сотрудников, данным о клиентах и конфиденциально важным данным. Рассмотрим, почему каждой группе сотрудников необходимо устанавливать  отдельный тип доступа к информации, какие обязательства должны быть сопоставлены каждой группе. Рассмотрим служебные требования или страховой варианты уменьшения финансовых рисков при возникновении потенциальных угроз безопасности.

  • 3. Разработка и создание политики информационной безопасности. Схемы ролей и обязанностей сотрудников, общего типа защищенности информации, а также всех  безопасных разрешенных операций. Этот документ должен предусматривать методы обеспечения безопасности и физической защиты файлов, документов и корпоративной информации. Политика безопасности также должна устанавливать допустимые типы обработки информации, в том числе безопасные механизмы отчетности и проверки соблюдения допустимых правил, а также определить, кто несет ответственность за поддержание политики безопасности.

 

  • 4. Подготовить документацию, разработать план информационной безопасности. Расширить основной план обеспечения безопасности информации, добавив в него обнаружение сетевых вторжений, установить безопасные настройки идентификации пользователя на основе пароля,  и обеспечить защищенный доступ к базам данных. Создать базовую модель технологической безопасности вашей корпоративной информации и аппаратных средств, программного обеспечения, а также технологическую базу, которые необходимы для достижения безопасного инфраструктуры.

 

  • 5. Обсуждайте политику безопасности с менеджментом, руководством и посредниками. Вносите изменения в политику безопасности, проводите семинары с сотрудниками для обеспечения соблюдения политики. Регулярно проверяйте политику безопасности, изменяйте ее в результате новых угроз, изменений в законодательстве,  а также по мере развития информационных технологий.

 

в начало