Обізнаність щодо політик СУІБ

Що ви дізнаєтесь у Обізнаність щодо політик СУІБ

• Пояснити призначення СУІБ та те, як ISO 27001 організовує політики безпеки в структурований управлінський фреймворк
• Зіставляти типові вимоги політик СУІБ з конкретними щоденними робочими сценаріями, такими як обробка даних, запити на доступ та управління пристроями
• Дотримуватися правильної процедури повідомлення про вразливості та інциденти безпеки, визначеної політикою управління інцидентами Вашої СУІБ
• Застосовувати політики контролю доступу при обробці запитів на інформацію від внутрішніх команд та зовнішніх партнерів
• Визначати свої персональні обов'язки в рамках СУІБ, включаючи підтвердження ознайомлення з політиками, поводження з активами та документування відповідності

Обізнаність щодо політик СУІБ — Кроки навчання

1. Ласкаво просимо до Quantum Dynamics

   Сьогодні розпочався ваш щорічний навчальний курс із підвищення рівня СУІБ – це вимога для сертифікації ISO 27001. Кожен співробітник повинен розуміти, як система управління інформаційною безпекою захищає як компанію, так і її клієнтів.

2. Що таке ISMS?

   Система управління інформаційною безпекою (ISMS) — це системний підхід до управління конфіденційною інформацією. Він включає: Політику - Правила, які регулюють те, як обробляється інформація Процеси - Процедури впровадження заходів безпеки Люди - Навчання та підвищення обізнаності для всіх співробітників Технології - Інструменти, які забезпечують дотримання заходів безпеки ISO 27001 є міжнародним стандартом для СУІБ. Сертифікація демонструє клієнтам і регуляторам, що Quantum Dynamics серйозно ставиться до безпеки.

3. Ваше щорічне навчання ISMS

   Аліса отримує електронний лист від команди інформаційної безпеки про обов’язкове щорічне навчання. Усі працівники повинні виконати це, щоб зберегти доступ до систем компанії.

4. Доступ до порталу ISMS

   Аліса натискає посилання, щоб отримати доступ до порталу ISMS. Ця централізована система містить усі політики безпеки, навчальні матеріали та відстеження відповідності.

5. Структура ISMS

   Портал ISMS відображає ключові сфери політики, які повинен розуміти кожен співробітник Quantum Dynamics: Класифікація інформації - Як класифікувати та обробляти дані Контроль доступу - Управління тим, хто може отримати доступ до чого Управління активами - Захист обладнання та даних компанії Управління інцидентами - Реагування на безпеку події Безперервність бізнесу - Забезпечення роботи під час збоїв

6. Класифікація інформації

   Перша сфера політики охоплює те, як інформація має бути класифікована та оброблятися: Рівні класифікації: Відкритий - Маркетингові матеріали, прес-релізи Внутрішній - Організаційні схеми, загальні процедури Конфіденційний - Дані клієнтів, фінансові записи, контракти Обмежений - Комерційна таємниця, криптографічні ключі, безпека облікові дані Ваші обов’язки: Позначайте документи своїм рівнем секретності Ніколи не передавайте конфіденційну інформацію через незашифровані канали Перевірте, що одержувач повинен знати, перш ніж надавати доступ

7. Принципи контролю доступу

   Контроль доступу гарантує, що потрібні люди мають правильний доступ у потрібний час: Принцип найменших привілеїв: запитуйте доступ лише до тих систем, які потрібні для вашої роботи. Якщо ви змінюєте ролі, доступ слід переглянути. Ваші обов’язки: Використовуйте унікальні, надійні паролі для кожної системи Увімкніть багатофакторну автентифікацію, якщо це можливо Блокуйте свою робочу станцію, коли відходите від неї Ніколи не повідомляйте облікові дані та не використовуйте чужий обліковий запис Негайно повідомляйте про підозрілі спроби доступу

8. Управління активами

   Активи компанії - як фізичні, так і цифрові - повинні бути захищені: Фізичні активи: Ноутбуки та мобільні пристрої мають бути зашифровані Повідомте про втрачене або викрадене обладнання протягом 24 годин Не залишайте пристрої без нагляду в громадських місцях Поверніть обладнання, покидаючи компанію Цифрові активи: Використовуйте лише затверджене програмне забезпечення та хмарні служби Не зберігайте дані компанії на особистих пристроях Дотримуйтеся графіків зберігання даних Безпечно видаляйте дані, коли вони більше не потрібні

9. Управління інцидентами

   Про інциденти безпеки необхідно повідомляти негайно, щоб мінімізувати шкоду: Про що повідомляти: Підозрілі електронні листи, дзвінки чи повідомлення Втрачені або викрадені пристрої Спроби несанкціонованого доступу Зловмисне програмне забезпечення або незвичайна поведінка системи Випадкове розкриття даних Порушення фізичної безпеки Як повідомити: Скористайтеся формою інциденту на порталі ISMS або зателефонуйте в службу безпеки Гаряча лінія на доп. 5000. Політика відмови від помсти: вас ніколи не покарають за добросовісне повідомлення про проблему безпеки, навіть якщо це виявилося помилковою тривогою.

10. Безперервність бізнесу

    СУІБ включає плани підтримки роботи під час збоїв: Ваша роль у забезпеченні безперервності: знати важливі функції вашого відділу розуміти процедури резервного копіювання для вашої роботи оновлювати контактну інформацію для надзвичайних ситуацій брати участь у навчаннях безперервності за розкладом безпека віддаленої роботи: використовувати VPN для доступу до мережі всієї компанії надійно захищати домашню мережу паролі Не обговорюйте конфіденційні питання в громадських місцях Дотримуйтесь тих самих правил безпеки, що й в офісі