سیاست سازمان IB. نمونه ای از رویکرد سازمانی IBM

خط مشی امنیت اطلاعات (مثال)

خلاصه سیاست

اطلاعات بدون در نظر گرفتن شکل و نحوه انتشار، انتقال و ذخیره آن باید همیشه محافظت شود.

معرفی

اطلاعات می تواند به اشکال مختلف وجود داشته باشد. می توان آن را روی کاغذ چاپ یا نوشت، به صورت الکترونیکی ذخیره کرد، از طریق پست یا با استفاده از دستگاه های الکترونیکی ارسال کرد، روی نوار نشان داده شد، یا به صورت شفاهی در طول ارتباط منتقل شد.

امنیت اطلاعات حفاظت از اطلاعات در برابر انواع تهدیدها برای اطمینان از تداوم کسب و کار، به حداقل رساندن ریسک تجاری و به حداکثر رساندن بازگشت سرمایه و فرصت های تجاری است.

محدوده

این سیاست از سیاست امنیتی کلی سازمان پشتیبانی می کند.
این سیاست برای همه افراد در سازمان اعمال می شود.

اهداف امنیت اطلاعات

1. درک و رسیدگی به ریسک های امنیت اطلاعات استراتژیک و عملیاتی به گونه ای که برای سازمان قابل قبول باشد.

2. حفاظت از محرمانه بودن اطلاعات مشتری، برنامه های توسعه محصول و بازاریابی.

3. حفظ یکپارچگی مواد حسابداری.

4. انطباق وب سرویس های مشترک و اینترانت ها با استانداردهای دسترسی مناسب.

اصول امنیت اطلاعات

1. سازمان پذیرش ریسک را ترویج می کند و بر خطراتی غلبه می کند که سازمان های محافظه کارانه نمی توانند بر آنها غلبه کنند، مشروط بر اینکه ریسک ها در صورت نیاز درک، نظارت و پردازش شوند. شرح مفصلی از رویکردهای مورد استفاده برای ارزیابی و درمان خطرات را می توان در خط مشی ISMS یافت.

2. همه پرسنل باید در رابطه با امنیت اطلاعات در رابطه با مسئولیت های شغلی خود آگاه و پاسخگو باشند.

3. باید ترتیباتی برای تأمین مالی کنترل امنیت اطلاعات و فرآیندهای مدیریت پروژه انجام شود.

4. احتمال تقلب و سوء استفاده در سیستم های اطلاعاتی باید در مدیریت کلی سیستم های اطلاعاتی در نظر گرفته شود.

5. گزارش وضعیت امنیت اطلاعات باید در دسترس باشد.

6. نظارت بر خطرات امنیت اطلاعات و انجام اقدامات لازم در زمانی که تغییرات منجر به خطرات پیش بینی نشده می شود، ضروری است.

7. معیارهای طبقه بندی ریسک و پذیرش ریسک را می توان در خط مشی ISMS یافت.

8. شرایطی که می تواند سازمان را به نقض قوانین و مقررات سوق دهد نباید تحمل شود.

حوزه های مسئولیت

1. گروه حتی ارشد مسئول اطمینان از پردازش صحیح اطلاعات در سراسر سازمان است.

2. هر یک از مدیران ارشد مسئول این است که اطمینان حاصل کند که کسانی که تحت هدایت او هستند از اطلاعات مطابق با استانداردهای سازمانی محافظت می کنند.

3. افسر ارشد امنیت به تیم مدیریت ارشد مشاوره می دهد، به کارکنان سازمان کمک های تخصصی ارائه می دهد و از در دسترس بودن گزارش های وضعیت امنیت اطلاعات اطمینان حاصل می کند.

4. همه افراد در سازمان به عنوان بخشی از اجرای مسئولیت های شغلی خود مسئول امنیت اطلاعات هستند.

نتایج کلیدی

1. حوادث امنیت اطلاعات نباید منجر به هزینه های غیرقابل پیش بینی جدی یا اختلال جدی در خدمات و فعالیت های شرکت شود.

2. زیان ناشی از تقلب باید معلوم و در حدود قابل قبول باشد.

3. مسائل امنیت اطلاعات نباید بر پذیرش محصولات و خدمات توسط مشتریان تأثیر منفی بگذارد.

سیاست های مرتبط

خط مشی های تفصیلی زیر حاوی اصول و دستورالعمل هایی برای جنبه های خاص امنیت اطلاعات است:

1. سیاست سیستم مدیریت امنیت اطلاعات (ISMS).

2. سیاست کنترل دسترسی.

3. سیاست میز روشن و صفحه شفاف.

4. سیاست نرم افزار غیرمجاز.

5. سیاست در مورد دریافت فایل های نرم افزار از یا از طریق شبکه های خارجی.

6. سیاست در مورد کد تلفن همراه;

7. سیاست پشتیبان گیری;

8. سیاست در مورد تبادل اطلاعات بین سازمانها.

9. سیاست استفاده قابل قبول از ارتباطات الکترونیکی.

10. سیاست حفظ سوابق.

11. سیاست استفاده از خدمات شبکه.

12. سیاست در مورد محاسبات و ارتباطات سیار.

13. سیاست دورکاری;

14. سیاست استفاده از کنترل رمزنگاری.

15. سیاست انطباق;

16. سیاست صدور مجوز نرم افزار.

17. سیاست حذف نرم افزار.

18. حفاظت از داده ها و سیاست حفظ حریم خصوصی.

همه این سیاست ها تقویت می کنند:

شناسایی ریسک با ارائه چارچوبی برای کنترل‌ها که می‌تواند برای تشخیص نقص در طراحی و اجرای سیستم‌ها استفاده شود.

· درمان خطر با کمک به تعیین نحوه رسیدگی به آسیب پذیری ها و تهدیدهای خاص.

خط مشی امنیت اطلاعات شرکت

· 1. مقررات عمومی

o 1.1. هدف و هدف این سیاست

o 1.2. محدوده این سیاست

o 2.1. مسئولیت دارایی های اطلاعاتی

o 2.2. کنترل دسترسی به سیستم های اطلاعاتی

§ 2.2.1. مقررات عمومی

§ 2.2.2. دسترسی شخص ثالث به سیستم های شرکت

§ 2.2.3. دسترسی از راه دور

§ 2.2.4. دسترسی به اینترنت

o 2.3. حفاظت از تجهیزات

§ 2.3.1. سخت افزار

§ 2.3.2. نرم افزار

o 2.5. گزارش حوادث امنیت اطلاعات، پاسخ و گزارش

o 2.6. محل با ابزار فنی امنیت اطلاعات

o 2.7. مدیریت شبکه

o 2.7.1. حفاظت و ایمنی داده ها

o 2.8. توسعه سیستم ها و مدیریت تغییر

مقررات عمومی

اطلاعات یک منبع ارزشمند و حیاتی YOUR_COMPANY (از این پس - شرکت) است. این خط مشی امنیت اطلاعات اتخاذ تدابیر لازم را به منظور محافظت از دارایی ها در برابر تغییر، افشا یا تخریب تصادفی یا عمدی و همچنین به منظور حفظ محرمانگی، یکپارچگی و در دسترس بودن اطلاعات، برای اطمینان از فرآیند پردازش خودکار داده ها اتخاذ می کند. در شرکت.

هر یک از کارکنان شرکت مسئولیت رعایت امنیت اطلاعات را بر عهده دارند، در حالی که وظیفه اصلی تضمین امنیت کلیه دارایی های شرکت است. این بدان معنی است که اطلاعات باید با اطمینان کمتر از سایر دارایی های اصلی شرکت محافظت شود. اهداف اصلی شرکت بدون ارائه به موقع و کامل اطلاعات کارکنان برای انجام وظایف رسمی قابل دستیابی نیست.

در این سیاست، اصطلاح "کارمند" به کلیه کارکنان شرکت اطلاق می شود. مفاد این سیاست در مورد افرادی که تحت قراردادهای مدنی برای شرکت کار می کنند، از جمله کسانی که اعزام شده اند، اعمال می شود، در صورتی که در چنین توافق نامه ای تصریح شده باشد.

صرف نظر از اندازه سازمان و مشخصات سیستم اطلاعاتی آن، کار برای اطمینان از رژیم IS معمولاً شامل مراحل زیر است (شکل 1):

- تعیین محدوده (مرزهای) سیستم مدیریت امنیت اطلاعات و تعیین اهداف ایجاد آن.

- ارزیابی ریسک؛

- انتخاب اقدامات متقابل برای اطمینان از حالت IS.

- مدیریت ریسک؛

- ممیزی سیستم مدیریت IS؛

- توسعه یک سیاست امنیتی

DIV_ADBLOCK340 ">

مرحله 3. ساختار اقدامات متقابل برای محافظت از اطلاعات در سطوح اصلی زیر: اداری، رویه ای، نرم افزاری و سخت افزاری.

مرحله 4. ایجاد رویه برای صدور گواهینامه و اعتبار سیستم های اطلاعاتی شرکت ها برای انطباق با استانداردهای IS. تعیین مکرر جلسات با موضوع امنیت اطلاعات در سطح مدیریت از جمله بازنگری دوره ای مفاد خط مشی امنیت اطلاعات و همچنین نحوه آموزش کلیه رده های کاربران سیستم اطلاعاتی در زمینه امنیت اطلاعات. . مشخص است که توسعه خط مشی امنیتی یک سازمان کمترین مرحله رسمی است. با این حال، در سال های اخیر، تلاش بسیاری از متخصصان امنیت اطلاعات در اینجا متمرکز شده است.

مرحله 5. تعیین محدوده (مرزهای) سیستم مدیریت امنیت اطلاعات و تعیین اهداف ایجاد آن. در این مرحله مرزهای سیستمی که باید حالت امنیت اطلاعات برای آن تضمین شود مشخص می شود. بر این اساس، سیستم مدیریت امنیت اطلاعات در این محدوده ها ساخته می شود. توصیه می شود که شرح مرزهای سیستم طبق طرح زیر انجام شود:

- ساختار سازمان ارائه ساختار موجود و تغییراتی که قرار است در ارتباط با توسعه (مدرن سازی) سیستم خودکار معرفی شود.

- منابع سیستم اطلاعاتی که باید محافظت شوند. توصیه می شود منابع یک سیستم خودکار از کلاس های زیر را در نظر بگیرید: SVT، داده ها، سیستم و نرم افزارهای کاربردی. همه منابع برای سازمان ارزش دارند. برای ارزیابی آنها، باید یک سیستم از معیارها و یک روش برای به دست آوردن نتایج بر اساس این معیارها انتخاب شود.

· تدوین اصول طبقه بندی دارایی های اطلاعاتی شرکت و ارزیابی امنیت آنها.

· ارزیابی ریسک های اطلاعاتی و مدیریت آنها.

· آموزش کارکنان شرکت در روش های امنیت اطلاعات، برگزاری جلسات توجیهی و کنترل دانش و مهارت های عملی در اجرای سیاست های امنیتی توسط کارکنان شرکت.

· مشاوره به مدیران شرکت در مورد مدیریت ریسک اطلاعات.

· هماهنگی سیاست های خصوصی و مقررات امنیتی در بین بخش های شرکت.

· کنترل بر کار کیفیت و خدمات اتوماسیون شرکت با حق بررسی و تایید گزارشات و اسناد داخلی.

· تعامل با خدمات پرسنلی شرکت برای تأیید اطلاعات شخصی کارکنان هنگام استخدام.

· سازماندهی اقدامات برای حذف شرایط اضطراری یا اضطراری در زمینه حفاظت از اطلاعات در صورت وقوع آنها.

یکپارچگی اطلاعات - وجود اطلاعات به شکل تحریف نشده (بدون تغییر در رابطه با برخی از حالت های ثابت آن). معمولاً آزمودنی ها علاقه مند به ارائه ویژگی گسترده تری هستند - قابلیت اطمینان اطلاعات که شامل کفایت (کامل و دقت) نمایش وضعیت حوزه موضوعی و یکپارچگی خود اطلاعات است، یعنی عدم تحریف آن.

بین یکپارچگی استاتیک و پویا تمایز وجود دارد. به منظور نقض یکپارچگی استاتیک، یک مهاجم می تواند: داده های نادرست را وارد کند. برای تغییر داده ها گاهی اوقات داده های معنی دار تغییر می کند، گاهی اوقات - اطلاعات خدمات. تهدیدهای یکپارچگی پویا عبارتند از نقض اتمی تراکنش، سفارش مجدد، سرقت، تکرار داده ها، یا معرفی پیام های اضافی (بسته های شبکه و غیره). اقدامات مربوطه در یک محیط شبکه ای را گوش دادن فعال می نامند.

صداقت نه تنها با جعل یا تغییر داده ها تهدید می شود، بلکه با امتناع از انجام اقدام نیز تهدید می شود. اگر ابزاری برای اطمینان از "عدم انکار" وجود نداشته باشد، داده های رایانه ای نمی توانند به عنوان مدرک در نظر گرفته شوند. نه تنها داده ها، بلکه برنامه ها نیز به طور بالقوه از نقطه نظر نقض یکپارچگی آسیب پذیر هستند. تزریق بدافزار نمونه ای از چنین تخلفاتی است.

یک تهدید فوری و بسیار خطرناک، معرفی روت کیت ها (مجموعه ای از فایل های نصب شده در یک سیستم به منظور تغییر عملکرد استاندارد آن به روشی مخرب و مخفیانه)، ربات ها (برنامه ای که به طور خودکار یک ماموریت خاص را انجام می دهد، گروهی از رایانه ها است. که ربات‌هایی از همان نوع روی آن کار می‌کنند، بات‌نت نامیده می‌شود)، حرکات مخفی (بدافزاری که به دستورات در پورت‌های TCP یا UDP خاص گوش می‌دهد) و جاسوس‌افزار (بدافزارهایی که هدف آنها به خطر انداختن اطلاعات محرمانه کاربر است. به عنوان مثال، Back Orifice و Trojans Netbus به شما اجازه می‌دهند. کنترل سیستم های کاربر با انواع مختلف MS -Windows.

تهدید محرمانگی

خطر نقض محرمانه بودن این است که اطلاعات برای کسی که صلاحیت دسترسی به آن را ندارد شناخته شود. گاهی اوقات اصطلاح "نشت" در ارتباط با تهدید نقض محرمانگی استفاده می شود.

محرمانه بودن اطلاعات یک مشخصه (ویژگی) اطلاعات است که به طور ذهنی تعیین می شود (نسبت داده شده) که نشان دهنده نیاز به اعمال محدودیت در طیف افراد دارای دسترسی به این اطلاعات است و با توانایی سیستم (محیط) برای حفظ این اطلاعات تضمین می شود. راز از سوژه هایی که صلاحیت دسترسی به آن را ندارند... پیش نیازهای عینی چنین محدودیتی در دسترسی به اطلاعات برای برخی از افراد در نیاز به محافظت از منافع مشروع آنها از سایر موضوعات روابط اطلاعاتی نهفته است.

اطلاعات محرمانه را می توان به اطلاعات موضوعی و خدماتی تقسیم کرد. اطلاعات سرویس (به عنوان مثال، رمزهای عبور کاربر) به یک حوزه موضوعی خاص تعلق ندارد، نقش فنی را در سیستم اطلاعات ایفا می کند، اما افشای آن به ویژه خطرناک است، زیرا مملو از دسترسی غیرمجاز به تمام اطلاعات، از جمله اطلاعات موضوع است. تهدیدهای غیر فنی خطرناک برای محرمانگی روش‌های تأثیر اخلاقی و روانی هستند، مانند "بالماسکه" - انجام اقدامات تحت پوشش شخصی با اختیار برای دسترسی به داده‌ها. تهدیدهای ناخوشایندی که دفاع در برابر آنها دشوار است شامل سوء استفاده از قدرت است. در بسیاری از انواع سیستم ها، یک کاربر ممتاز (به عنوان مثال، یک مدیر سیستم) می تواند هر فایل (رمزگذاری نشده) را بخواند، به ایمیل هر کاربر دسترسی داشته باشد.

در حال حاضر، رایج ترین حملات به اصطلاح فیشینگ است. ماهیگیری (ماهیگیری - ماهیگیری) نوعی کلاهبرداری اینترنتی است که هدف آن دسترسی به اطلاعات محرمانه کاربر - لاگین و رمز عبور است. این امر با ارسال ایمیل‌های انبوه از طرف مارک‌های محبوب و همچنین پیام‌های خصوصی در سرویس‌های مختلف، به عنوان مثال، از طرف بانک‌ها، خدمات (Rambler، Mail.ru) یا در شبکه‌های اجتماعی (Facebook، Vkontakte، Odnoklassniki) به دست می‌آید. .ru). فیشرها امروزه مشتریان بانک ها و سیستم های پرداخت الکترونیکی را هدف قرار داده اند. به عنوان مثال، در ایالات متحده که به عنوان خدمات درآمد داخلی ظاهر می شود، فیشارها داده های قابل توجهی از مالیات دهندگان در سال 2009 جمع آوری کردند.

در این مبحث سعی خواهم کرد بر اساس تجربیات شخصی و مطالب موجود در شبکه، کتابچه راهنمای توسعه اسناد نظارتی در زمینه امنیت اطلاعات برای یک ساختار تجاری را گردآوری کنم.

در اینجا می توانید پاسخ سوالات را بیابید:

• سیاست امنیت اطلاعات برای چیست
• چگونه آن را بسازیم؛
• نحوه استفاده از آن

نیاز به سیاست امنیت اطلاعات

این بخش نیاز به پیاده سازی یک خط مشی امنیت اطلاعات و اسناد مرتبط را نه به زبان زیبای کتاب های درسی و استانداردها، بلکه با استفاده از مثال هایی از تجربیات شخصی تشریح می کند.

درک اهداف و مقاصد بخش امنیت اطلاعات

اول از همه، یک خط مشی لازم است تا اهداف و مقاصد امنیت اطلاعات شرکت را به تجارت منتقل کند. کسب و کار باید درک کند که یک افسر امنیتی نه تنها ابزاری برای بررسی نشت داده ها است، بلکه کمکی برای به حداقل رساندن ریسک های شرکت و در نتیجه افزایش سودآوری شرکت است.

الزامات خط مشی - مبنای اجرای پادمان ها

سیاست امنیت اطلاعات برای توجیه اعمال تدابیر حفاظتی در شرکت ضروری است. این سیاست باید به تایید بالاترین ارگان اداری شرکت (مدیرعامل، هیئت مدیره و ...) برسد.

هر گونه اقدام حفاظتی یک مبادله بین کاهش ریسک و تجربه کاربر است. وقتی یک افسر امنیتی می گوید به دلیل بروز برخی خطرات به هیچ وجه نباید این روند اتفاق بیفتد، همیشه یک سوال منطقی از او پرسیده می شود: "چطور باید اتفاق بیفتد؟" به افسر امنیتی باید یک مدل فرآیندی ارائه شود که در آن این ریسک ها تا حدی کاهش یابد که برای کسب و کار رضایت بخش است.

در عین حال هرگونه اعمال هرگونه تدابیر حفاظتی در خصوص تعامل کاربر با سیستم اطلاعاتی شرکت همواره باعث واکنش منفی کاربر می شود. آنها نمی خواهند دوباره یاد بگیرند، دستورالعمل های ایجاد شده برای آنها را بخوانید و غیره. اغلب کاربران سوالات منطقی می پرسند:

• چرا باید طبق طرح اختراعی شما کار کنم و نه به روش ساده ای که همیشه استفاده می کردم
• که همه اینها را اختراع کرد

تمرین نشان داده است که کاربر به خطرات اهمیتی نمی دهد، می توانید برای مدت طولانی و خسته کننده در مورد هکرها، قوانین جنایی و غیره برای او توضیح دهید، جز هدر دادن سلول های عصبی چیزی از آن دریغ نمی کند.
اگر شرکت دارای خط مشی امنیت اطلاعات است، می توانید پاسخی مختصر و مختصر بدهید:

این اقدام به منظور تحقق الزامات خط مشی امنیت اطلاعات شرکت که به تایید بالاترین مقام اداری شرکت رسیده است، ارائه شده است.

به عنوان یک قاعده، پس از اینکه انرژی اکثر کاربران از بین می رود. بقیه را می توان برای نوشتن یادداشت به این عالی ترین نهاد اداری شرکت دعوت کرد. بقیه اینجا حذف می شوند. چرا که حتی اگر تبصره به آنجا هم برود، همیشه می توانیم لزوم اقدامات انجام شده را نزد رهبری ثابت کنیم. ما نان خود را بیهوده نمی خوریم، درست است؟ هنگام تدوین خط مشی خود دو نکته را باید در نظر داشته باشید.

• مخاطبان خط مشی امنیت اطلاعات کاربران نهایی و مدیریت ارشد شرکت هستند که عبارات فنی پیچیده را درک نمی کنند، اما باید با مفاد این خط مشی آشنا باشند.
• نیازی نیست سعی کنید چیزی غیرممکن را جمع کنید و هر چیزی را که می توانید در این سند بگنجانید! فقط باید اهداف امنیت اطلاعات، روش های دستیابی به آنها و مسئولیت وجود داشته باشد! در صورت نیاز به دانش خاصی، جزئیات فنی وجود ندارد. اینها همه مواد برای دستورالعمل ها و مقررات هستند.

سند نهایی باید شرایط زیر را داشته باشد:

• مختصر بودن - حجم زیادی از یک سند هر کاربری را می ترساند، هیچ کس هرگز سند شما را نخواهد خواند (و شما از این عبارت بیش از یک بار استفاده خواهید کرد: "این نقض خط مشی امنیت اطلاعات است که به شما معرفی شده است")
• دسترسی به یک فرد ساده - کاربر نهایی باید بفهمد چه چیزی در خط مشی نوشته شده است (او هرگز کلمات و عبارات "ورود به سیستم"، "مدل مزاحم"، "حادثه امنیت اطلاعات"، "زیرساخت اطلاعات"، "مرد" را نمی خواند یا به خاطر می آورد. ساخته شده، "ساخت انسان"، عامل خطر "، و غیره)

چگونه می توان به این امر دست یافت؟

در واقع، همه چیز بسیار ساده است: یک خط مشی امنیت اطلاعات باید یک سند سطح اول باشد، باید با اسناد دیگر (مقررات و دستورالعمل ها) که قبلاً چیزی خاص را توصیف می کند، گسترش یافته و تکمیل شود.
می توانید با دولت تشبیه کنید: سند سطح اول قانون اساسی است و دکترین ها، مفاهیم، ​​قوانین و سایر اقدامات هنجاری موجود در دولت فقط تکمیل و تنظیم کننده اجرای مفاد آن است. یک نمودار تقریبی در شکل نشان داده شده است.

برای اینکه فرنی را روی بشقاب آغشته نکنید، فقط به نمونه هایی از سیاست های امنیت اطلاعات که در اینترنت یافت می شوند نگاهی بیندازیم.

	تعداد صفحات مفید *	مملو از شرایط	نمره کلی
OJSC "Gazprombank"	11	خیلی بالا
صندوق توسعه کارآفرینی دامو JSC	14	بالا	سندی دشوار برای خواندن متفکرانه، عوام نمی خواند و اگر بخواند نمی فهمد و به خاطر نمی آورد.
JSC NC "KazMunayGas"	3	کم	سندی آسان برای درک، که با اصطلاحات فنی به هم ریخته نیست
JSC "موسسه مهندسی رادیو به نام آکادمی A. L. Mints"	42	خیلی بالا	یک سند دشوار برای خواندن متفکرانه، افراد غیر عادی نمی خواهند بخوانند - صفحات بسیار زیادی وجود دارد

* مفید من تعداد صفحات بدون فهرست مطالب، صفحه عنوان و سایر صفحاتی که حاوی اطلاعات خاصی نیستند تماس می‌گیرم.

خلاصه

یک خط مشی امنیت اطلاعات باید در چندین صفحه قرار گیرد، برای افراد عادی قابل درک باشد، به طور کلی اهداف امنیت اطلاعات، روش های دستیابی به آنها و مسئولیت کارکنان را شرح دهد.

پیاده سازی و استفاده از سیاست امنیت اطلاعات

پس از تایید خط مشی IS، لازم است:

• برای آشنایی همه کارکنانی که قبلاً مشغول به کار هستند با این خط مشی؛
• برای آشنایی همه کارمندان جدید با این خط مشی (نحوه بهترین انجام این موضوع برای یک گفتگو جداگانه است، ما یک دوره مقدماتی برای تازه واردان داریم که در آن با توضیحات صحبت می کنم).
• تجزیه و تحلیل فرآیندهای تجاری موجود به منظور شناسایی و به حداقل رساندن خطرات؛
• در ایجاد فرآیندهای تجاری جدید شرکت کنید، تا بعداً دنبال قطار نروید.
• تدوین مقررات، رویه ها، دستورالعمل ها و سایر اسناد تکمیل کننده خط مشی (دستورالعمل هایی برای دسترسی به اینترنت، دستورالعمل های دسترسی به اماکن با دسترسی محدود، دستورالعمل های کار با سیستم های اطلاعاتی شرکت و غیره).
• سیاست IS و سایر اسناد IS را حداقل هر سه ماه یک بار به منظور به روز رسانی آنها تجدید نظر کنید.

برای سوالات و پیشنهادات، به نظرات و PM خوش آمدید.

سوال% نام کاربری%

در مورد سیاست، رئیس ها آنچه را که من می خواهم به زبان ساده دوست ندارند. آنها به من می گویند: "ما اینجا داریم، غیر از من و شما، و 10 کارمند IT دیگر که خودشان همه چیز را می دانند و می فهمند، 200 نفر هستند که چیزی از این موضوع نمی فهمند، نیمی از آنها مستمری بگیر هستند."
من مسیر کوتاهی متوسط ​​توضیحات مثلا قوانین حفاظت از آنتی ویروس را دنبال کردم و در زیر می نویسم مثل اینکه یک خط مشی محافظت از آنتی ویروس و غیره وجود دارد. اما نمی‌فهمم که کاربر برای خط‌مشی امضا می‌کند یا نه، اما دوباره باید یک سری اسناد دیگر را بخواند، به نظر می‌رسد که خط‌مشی را کاهش داده است، اما به نظر نمی‌رسد.

در اینجا من مسیر تجزیه و تحلیل فرآیندها را طی می کنم.
بیایید بگوییم محافظت از آنتی ویروس. منطقاً باید اینطور باشد.

خطرات ویروس ها چیست؟ نقض یکپارچگی (آسیب) اطلاعات، نقض در دسترس بودن (از کار افتادن سرورها یا رایانه های شخصی) اطلاعات. با سازماندهی مناسب شبکه، کاربر نباید از حقوق مدیر محلی در سیستم برخوردار باشد، یعنی حق نصب نرم افزار (و در نتیجه ویروس ها) در سیستم را نداشته باشد. بنابراین، بازنشستگان سقوط می کنند، زیرا آنها در اینجا تجارت نمی کنند.

چه کسی می تواند خطرات مرتبط با ویروس ها را کاهش دهد؟ کاربران با حقوق مدیریت دامنه مدیر دامنه - نقش حساسی که برای کارمندان بخش های فناوری اطلاعات و غیره صادر می شود. بر این اساس باید آنتی ویروس نصب کنند. به نظر می رسد که آنها همچنین مسئول فعالیت سیستم ضد ویروس هستند. بر این اساس، آنها همچنین باید دستورالعمل سازماندهی حفاظت ضد ویروس را امضا کنند. در واقع این مسئولیت باید در دستورالعمل ها پیش بینی شود. به عنوان مثال، درایوهای bezopasnik، ادمین ها اجرا می کنند.

سوال% نام کاربری%

سپس سوال این است که چه مسئولیتی برای ایجاد و استفاده از ویروس ها نباید در دستورالعمل آنتی ویروس ZI (یا مقاله ای وجود دارد و قابل ذکر نیست) باشد؟ یا اینکه آنها موظف هستند یک ویروس یا رفتار عجیب رایانه شخصی را به Help Desk یا افسران فناوری اطلاعات گزارش دهند؟

باز هم از سمت مدیریت ریسک نگاه می کنم. در اینجا بوی GOST 18044-2007 به مشام می رسد.
در مورد شما، "رفتار عجیب" لزوما یک ویروس نیست. این می تواند یک ترمز سیستم یا gposhek و غیره باشد. بر این اساس، این یک حادثه نیست، بلکه یک رویداد امنیت اطلاعات است. باز هم، طبق GOST، هر شخصی می تواند یک رویداد را اعلام کند، اما می توان یک حادثه را درک کرد یا نه تنها پس از تجزیه و تحلیل.

بنابراین، این سوال شما دیگر به سیاست امنیت اطلاعات ترجمه نمی شود، بلکه به مدیریت حوادث تبدیل می شود. در اینجا در خط مشی شما باید این موضوع مشخص شود شرکت باید یک سیستم رسیدگی به حوادث داشته باشد.

یعنی همانطور که می بینید اجرای اداری سیاست عمدتاً به مدیران و پرسنل امنیتی سپرده می شود. کاربران با یک مورد سفارشی باقی می مانند.

بنابراین، شما باید یک "روش استفاده از CBT در شرکت" را تهیه کنید، که در آن باید مسئولیت های کاربران را مشخص کنید. این سند باید با خط مشی امنیت اطلاعات مرتبط باشد و به اصطلاح توضیحی برای کاربر باشد.

در این سند می توانید مشخص کنید که کاربر موظف است فعالیت غیرعادی رایانه را به مرجع مربوطه اطلاع دهد. خوب، هر چیز دیگری سفارشی است که می توانید آنجا اضافه کنید.

در مجموع، شما باید کاربر را با دو سند آشنا کنید:

• خط مشی IS (به طوری که او بفهمد چه کاری انجام می شود و چرا، قایق را تکان نمی دهد، هنگام معرفی سیستم های کنترل جدید فحش نمی دهد، و غیره)
• این "روش استفاده از CBT در شرکت" (به طوری که او بفهمد دقیقاً در شرایط خاص چه کاری انجام دهد)

بر این اساس، هنگام معرفی یک سیستم جدید، به سادگی چیزی را به «سفارش» اضافه می‌کنید و با ارسال سفارش از طریق ایمیل (یا از طریق EDMS، در صورت وجود، آن را به کارکنان اطلاع می‌دهید).

برچسب‌ها: افزودن برچسب

خط مشی امنیت اطلاعات مجموعه ای از قوانین، اقدامات، قوانین، الزامات، محدودیت ها، دستورالعمل ها، مقررات، توصیه ها و غیره است که روند پردازش اطلاعات را تنظیم می کند و با هدف محافظت از اطلاعات در برابر انواع خاصی از تهدیدات است.

سیاست امنیت اطلاعات یک سند اساسی برای تضمین کل چرخه امنیت اطلاعات در یک شرکت است. بنابراین مدیریت ارشد شرکت باید به آگاهی و رعایت دقیق نکات اصلی آن توسط کلیه پرسنل شرکت علاقمند باشد. کلیه کارکنان بخش های مسئول رژیم امنیت اطلاعات شرکت باید با خط مشی امنیت اطلاعات در مقابل امضا آشنا باشند. پس از همه، آنها مسئول بررسی انطباق با الزامات خط مشی امنیت اطلاعات و آگاهی از نکات اصلی آن توسط پرسنل شرکت از نظر آنچه مربوط به آنها است، خواهند بود. روند انجام چنین بازرسی ها، مسئولیت های مقاماتی که چنین بازرسی ها را انجام می دهند و جدول زمانی بازرسی ها نیز باید تعریف شود.

یک خط مشی امنیت اطلاعات می تواند هم برای یک جزء مجزا از یک سیستم اطلاعاتی و هم برای یک سیستم اطلاعاتی به عنوان یک کل توسعه یابد. خط مشی امنیت اطلاعات باید ویژگی های زیر را در سیستم اطلاعات در نظر بگیرد: فناوری پردازش اطلاعات، محیط محاسباتی، محیط فیزیکی، محیط کاربر، قوانین کنترل دسترسی و غیره.

خط مشی امنیت اطلاعات باید استفاده همه جانبه از استانداردهای قانونی، اخلاقی و اخلاقی، اقدامات سازمانی و فنی، نرم افزار، سخت افزار و نرم افزار و ابزارهای سخت افزاری را برای تضمین امنیت اطلاعات تضمین کند و همچنین قوانین و رویه استفاده از آنها را تعیین کند. خط مشی امنیت اطلاعات باید بر اساس اصول زیر باشد: تداوم حفاظت، کافی بودن اقدامات و وسایل حفاظتی، انطباق آنها با احتمال اجرای تهدیدات، مقرون به صرفه بودن، انعطاف پذیری ساختار، سهولت مدیریت و استفاده و غیره.

سیاست امنیتی مجموعه ای از اقدامات پیشگیرانه برای محافظت از داده های محرمانه و فرآیندهای اطلاعاتی در یک شرکت است. سیاست امنیتی شامل الزامات برای پرسنل، مدیران و خدمات فنی است. مسیرهای اصلی توسعه سیاست امنیتی:

• تعیین اینکه چه داده‌هایی و چقدر باید به طور جدی محافظت شوند،
• تعیین اینکه چه کسی و چه آسیبی می تواند در بعد اطلاعاتی به شرکت وارد کند،
• محاسبه ریسک ها و تعیین طرحی برای کاهش آنها به مقدار قابل قبول.

دو سیستم برای ارزیابی وضعیت فعلی در زمینه امنیت اطلاعات در شرکت وجود دارد. آنها را به طور مجازی تحقیقات از پایین به بالا و تحقیقات از بالا به پایین می نامند. روش اول بسیار ساده است، نیاز به سرمایه گذاری بسیار کمتری دارد، اما همچنین دارای قابلیت های کمتری است. بر اساس این طرح معروف است: "تو مزاحم هستی، اقداماتت چیست؟" یعنی سرویس امنیت اطلاعات، بر اساس داده های مربوط به انواع حملات شناخته شده، سعی می کند آنها را در عمل اعمال کند تا بررسی کند که آیا چنین حمله ای از سوی یک مهاجم واقعی امکان پذیر است یا خیر.

روش "بالا به پایین"، برعکس، تجزیه و تحلیل دقیق کل طرح موجود برای ذخیره و پردازش اطلاعات است. اولین گام در این روش، مثل همیشه، تعیین این است که کدام اشیا و جریان های اطلاعاتی باید محافظت شوند. این امر با مطالعه وضعیت فعلی سیستم امنیت اطلاعات دنبال می شود تا مشخص شود کدام یک از روش های کلاسیک امنیت اطلاعات قبلاً، تا چه حد و در چه سطحی پیاده سازی شده است. در مرحله سوم، تمام اشیاء اطلاعاتی مطابق با محرمانه بودن، الزامات دسترسی و یکپارچگی (تغییرناپذیری) به کلاس‌هایی طبقه‌بندی می‌شوند.

گام بعدی این است که بفهمیم افشا یا حمله دیگری به هر شیء اطلاعاتی خاص چقدر می تواند به شرکت آسیب جدی وارد کند. این مرحله "محاسبه ریسک" نامیده می شود. در اولین تقریب، ریسک حاصل «خسارت احتمالی ناشی از حمله» ناشی از «احتمال چنین حمله ای» است.

خط مشی امنیت اطلاعات باید حاوی بندهایی باشد که در آن اطلاعات بخش های زیر وجود داشته باشد:

• 
  مفهوم امنیت اطلاعات؛
• تعیین اجزا و منابع سیستم اطلاعاتی که می توانند به منابع نقض امنیت اطلاعات تبدیل شوند و میزان بحرانی بودن آنها.
• مقایسه تهدیدها با اشیاء حفاظتی؛
• ارزیابی ریسک؛
• ارزیابی میزان خسارات احتمالی مرتبط با اجرای تهدیدات؛
• ارزیابی هزینه های ساخت یک سیستم امنیت اطلاعات؛
• تعیین الزامات برای روش ها و ابزارهای تضمین امنیت اطلاعات؛
• انتخاب راه حل های اساسی امنیت اطلاعات؛
• سازماندهی کار ترمیم و اطمینان از عملکرد مداوم سیستم اطلاعاتی؛
• قوانین کنترل دسترسی

سیاست امنیت اطلاعات شرکت برای تضمین امنیت جامع شرکت بسیار مهم است. سخت افزار و نرم افزار، می توان آن را با استفاده از راه حل های DLP پیاده سازی کرد.

انتشارات مرتبط

29 آوریل 2014 بسیاری از شرکت ها برای کارمندانی که اغلب در سفرهای کاری هستند، ابزارهای موبایل را با هزینه شخصی خود خریداری می کنند. در این شرایط، بخش فناوری اطلاعات نیاز مبرمی به کنترل دستگاه هایی دارد که به داده های شرکت دسترسی دارند، اما در عین حال خارج از محیط شبکه شرکت قرار دارند.

در این مبحث سعی خواهم کرد بر اساس تجربیات شخصی و مطالب موجود در شبکه، کتابچه راهنمای توسعه اسناد نظارتی در زمینه امنیت اطلاعات برای یک ساختار تجاری را گردآوری کنم.

در اینجا می توانید پاسخ سوالات را بیابید:

• سیاست امنیت اطلاعات برای چیست
• چگونه آن را بسازیم؛
• نحوه استفاده از آن

نیاز به سیاست امنیت اطلاعات

این بخش نیاز به پیاده سازی یک خط مشی امنیت اطلاعات و اسناد مرتبط را نه به زبان زیبای کتاب های درسی و استانداردها، بلکه با استفاده از مثال هایی از تجربیات شخصی تشریح می کند.

درک اهداف و مقاصد بخش امنیت اطلاعات

اول از همه، یک خط مشی لازم است تا اهداف و مقاصد امنیت اطلاعات شرکت را به تجارت منتقل کند. کسب و کار باید درک کند که یک افسر امنیتی نه تنها ابزاری برای بررسی نشت داده ها است، بلکه کمکی برای به حداقل رساندن ریسک های شرکت و در نتیجه افزایش سودآوری شرکت است.

الزامات خط مشی - مبنای اجرای پادمان ها

سیاست امنیت اطلاعات برای توجیه اعمال تدابیر حفاظتی در شرکت ضروری است. این سیاست باید به تایید بالاترین ارگان اداری شرکت (مدیرعامل، هیئت مدیره و ...) برسد.

هر گونه اقدام حفاظتی یک مبادله بین کاهش ریسک و تجربه کاربر است. وقتی یک افسر امنیتی می گوید به دلیل بروز برخی خطرات به هیچ وجه نباید این روند اتفاق بیفتد، همیشه یک سوال منطقی از او پرسیده می شود: "چطور باید اتفاق بیفتد؟" به افسر امنیتی باید یک مدل فرآیندی ارائه شود که در آن این ریسک ها تا حدی کاهش یابد که برای کسب و کار رضایت بخش است.

در عین حال هرگونه اعمال هرگونه تدابیر حفاظتی در خصوص تعامل کاربر با سیستم اطلاعاتی شرکت همواره باعث واکنش منفی کاربر می شود. آنها نمی خواهند دوباره یاد بگیرند، دستورالعمل های ایجاد شده برای آنها را بخوانید و غیره. اغلب کاربران سوالات منطقی می پرسند:

• چرا باید طبق طرح اختراعی شما کار کنم و نه به روش ساده ای که همیشه استفاده می کردم
• که همه اینها را اختراع کرد

تمرین نشان داده است که کاربر به خطرات اهمیتی نمی دهد، می توانید برای مدت طولانی و خسته کننده در مورد هکرها، قوانین جنایی و غیره برای او توضیح دهید، جز هدر دادن سلول های عصبی چیزی از آن دریغ نمی کند.
اگر شرکت دارای خط مشی امنیت اطلاعات است، می توانید پاسخی مختصر و مختصر بدهید:

این اقدام به منظور تحقق الزامات خط مشی امنیت اطلاعات شرکت که به تایید بالاترین مقام اداری شرکت رسیده است، ارائه شده است.

به عنوان یک قاعده، پس از اینکه انرژی اکثر کاربران از بین می رود. بقیه را می توان برای نوشتن یادداشت به این عالی ترین نهاد اداری شرکت دعوت کرد. بقیه اینجا حذف می شوند. چرا که حتی اگر تبصره به آنجا هم برود، همیشه می توانیم لزوم اقدامات انجام شده را نزد رهبری ثابت کنیم. ما نان خود را بیهوده نمی خوریم، درست است؟ هنگام تدوین خط مشی خود دو نکته را باید در نظر داشته باشید.

• مخاطبان خط مشی امنیت اطلاعات کاربران نهایی و مدیریت ارشد شرکت هستند که عبارات فنی پیچیده را درک نمی کنند، اما باید با مفاد این خط مشی آشنا باشند.
• نیازی نیست سعی کنید چیزی غیرممکن را جمع کنید و هر چیزی را که می توانید در این سند بگنجانید! فقط باید اهداف امنیت اطلاعات، روش های دستیابی به آنها و مسئولیت وجود داشته باشد! در صورت نیاز به دانش خاصی، جزئیات فنی وجود ندارد. اینها همه مواد برای دستورالعمل ها و مقررات هستند.

سند نهایی باید شرایط زیر را داشته باشد:

• مختصر بودن - حجم زیادی از یک سند هر کاربری را می ترساند، هیچ کس هرگز سند شما را نخواهد خواند (و شما از این عبارت بیش از یک بار استفاده خواهید کرد: "این نقض خط مشی امنیت اطلاعات است که به شما معرفی شده است")
• دسترسی به یک فرد ساده - کاربر نهایی باید بفهمد چه چیزی در خط مشی نوشته شده است (او هرگز کلمات و عبارات "ورود به سیستم"، "مدل مزاحم"، "حادثه امنیت اطلاعات"، "زیرساخت اطلاعات"، "مرد" را نمی خواند یا به خاطر می آورد. ساخته شده، "ساخت انسان"، عامل خطر "، و غیره)

چگونه می توان به این امر دست یافت؟

در واقع، همه چیز بسیار ساده است: یک خط مشی امنیت اطلاعات باید یک سند سطح اول باشد، باید با اسناد دیگر (مقررات و دستورالعمل ها) که قبلاً چیزی خاص را توصیف می کند، گسترش یافته و تکمیل شود.
می توانید با دولت تشبیه کنید: سند سطح اول قانون اساسی است و دکترین ها، مفاهیم، ​​قوانین و سایر اقدامات هنجاری موجود در دولت فقط تکمیل و تنظیم کننده اجرای مفاد آن است. یک نمودار تقریبی در شکل نشان داده شده است.

برای اینکه فرنی را روی بشقاب آغشته نکنید، فقط به نمونه هایی از سیاست های امنیت اطلاعات که در اینترنت یافت می شوند نگاهی بیندازیم.

	تعداد صفحات مفید *	مملو از شرایط	نمره کلی
OJSC "Gazprombank"	11	خیلی بالا
صندوق توسعه کارآفرینی دامو JSC	14	بالا	سندی دشوار برای خواندن متفکرانه، عوام نمی خواند و اگر بخواند نمی فهمد و به خاطر نمی آورد.
JSC NC "KazMunayGas"	3	کم	سندی آسان برای درک، که با اصطلاحات فنی به هم ریخته نیست
JSC "موسسه مهندسی رادیو به نام آکادمی A. L. Mints"	42	خیلی بالا	یک سند دشوار برای خواندن متفکرانه، افراد غیر عادی نمی خواهند بخوانند - صفحات بسیار زیادی وجود دارد

* مفید من تعداد صفحات بدون فهرست مطالب، صفحه عنوان و سایر صفحاتی که حاوی اطلاعات خاصی نیستند تماس می‌گیرم.

خلاصه

یک خط مشی امنیت اطلاعات باید در چندین صفحه قرار گیرد، برای افراد عادی قابل درک باشد، به طور کلی اهداف امنیت اطلاعات، روش های دستیابی به آنها و مسئولیت کارکنان را شرح دهد.

پیاده سازی و استفاده از سیاست امنیت اطلاعات

پس از تایید خط مشی IS، لازم است:

• برای آشنایی همه کارکنانی که قبلاً مشغول به کار هستند با این خط مشی؛
• برای آشنایی همه کارمندان جدید با این خط مشی (نحوه بهترین انجام این موضوع برای یک گفتگو جداگانه است، ما یک دوره مقدماتی برای تازه واردان داریم که در آن با توضیحات صحبت می کنم).
• تجزیه و تحلیل فرآیندهای تجاری موجود به منظور شناسایی و به حداقل رساندن خطرات؛
• در ایجاد فرآیندهای تجاری جدید شرکت کنید، تا بعداً دنبال قطار نروید.
• تدوین مقررات، رویه ها، دستورالعمل ها و سایر اسناد تکمیل کننده خط مشی (دستورالعمل هایی برای دسترسی به اینترنت، دستورالعمل های دسترسی به اماکن با دسترسی محدود، دستورالعمل های کار با سیستم های اطلاعاتی شرکت و غیره).
• سیاست IS و سایر اسناد IS را حداقل هر سه ماه یک بار به منظور به روز رسانی آنها تجدید نظر کنید.

برای سوالات و پیشنهادات، به نظرات و PM خوش آمدید.

سوال% نام کاربری%

در مورد سیاست، رئیس ها آنچه را که من می خواهم به زبان ساده دوست ندارند. آنها به من می گویند: "ما اینجا داریم، غیر از من و شما، و 10 کارمند IT دیگر که خودشان همه چیز را می دانند و می فهمند، 200 نفر هستند که چیزی از این موضوع نمی فهمند، نیمی از آنها مستمری بگیر هستند."
من مسیر کوتاهی متوسط ​​توضیحات مثلا قوانین حفاظت از آنتی ویروس را دنبال کردم و در زیر می نویسم مثل اینکه یک خط مشی محافظت از آنتی ویروس و غیره وجود دارد. اما نمی‌فهمم که کاربر برای خط‌مشی امضا می‌کند یا نه، اما دوباره باید یک سری اسناد دیگر را بخواند، به نظر می‌رسد که خط‌مشی را کاهش داده است، اما به نظر نمی‌رسد.

در اینجا من مسیر تجزیه و تحلیل فرآیندها را طی می کنم.
بیایید بگوییم محافظت از آنتی ویروس. منطقاً باید اینطور باشد.

خطرات ویروس ها چیست؟ نقض یکپارچگی (آسیب) اطلاعات، نقض در دسترس بودن (از کار افتادن سرورها یا رایانه های شخصی) اطلاعات. با سازماندهی مناسب شبکه، کاربر نباید از حقوق مدیر محلی در سیستم برخوردار باشد، یعنی حق نصب نرم افزار (و در نتیجه ویروس ها) در سیستم را نداشته باشد. بنابراین، بازنشستگان سقوط می کنند، زیرا آنها در اینجا تجارت نمی کنند.

چه کسی می تواند خطرات مرتبط با ویروس ها را کاهش دهد؟ کاربران با حقوق مدیریت دامنه مدیر دامنه - نقش حساسی که برای کارمندان بخش های فناوری اطلاعات و غیره صادر می شود. بر این اساس باید آنتی ویروس نصب کنند. به نظر می رسد که آنها همچنین مسئول فعالیت سیستم ضد ویروس هستند. بر این اساس، آنها همچنین باید دستورالعمل سازماندهی حفاظت ضد ویروس را امضا کنند. در واقع این مسئولیت باید در دستورالعمل ها پیش بینی شود. به عنوان مثال، درایوهای bezopasnik، ادمین ها اجرا می کنند.

سوال% نام کاربری%

سپس سوال این است که چه مسئولیتی برای ایجاد و استفاده از ویروس ها نباید در دستورالعمل آنتی ویروس ZI (یا مقاله ای وجود دارد و قابل ذکر نیست) باشد؟ یا اینکه آنها موظف هستند یک ویروس یا رفتار عجیب رایانه شخصی را به Help Desk یا افسران فناوری اطلاعات گزارش دهند؟

باز هم از سمت مدیریت ریسک نگاه می کنم. در اینجا بوی GOST 18044-2007 به مشام می رسد.
در مورد شما، "رفتار عجیب" لزوما یک ویروس نیست. این می تواند یک ترمز سیستم یا gposhek و غیره باشد. بر این اساس، این یک حادثه نیست، بلکه یک رویداد امنیت اطلاعات است. باز هم، طبق GOST، هر شخصی می تواند یک رویداد را اعلام کند، اما می توان یک حادثه را درک کرد یا نه تنها پس از تجزیه و تحلیل.

بنابراین، این سوال شما دیگر به سیاست امنیت اطلاعات ترجمه نمی شود، بلکه به مدیریت حوادث تبدیل می شود. در اینجا در خط مشی شما باید این موضوع مشخص شود شرکت باید یک سیستم رسیدگی به حوادث داشته باشد.

یعنی همانطور که می بینید اجرای اداری سیاست عمدتاً به مدیران و پرسنل امنیتی سپرده می شود. کاربران با یک مورد سفارشی باقی می مانند.

بنابراین، شما باید یک "روش استفاده از CBT در شرکت" را تهیه کنید، که در آن باید مسئولیت های کاربران را مشخص کنید. این سند باید با خط مشی امنیت اطلاعات مرتبط باشد و به اصطلاح توضیحی برای کاربر باشد.

در این سند می توانید مشخص کنید که کاربر موظف است فعالیت غیرعادی رایانه را به مرجع مربوطه اطلاع دهد. خوب، هر چیز دیگری سفارشی است که می توانید آنجا اضافه کنید.

در مجموع، شما باید کاربر را با دو سند آشنا کنید:

• خط مشی IS (به طوری که او بفهمد چه کاری انجام می شود و چرا، قایق را تکان نمی دهد، هنگام معرفی سیستم های کنترل جدید فحش نمی دهد، و غیره)
• این "روش استفاده از CBT در شرکت" (به طوری که او بفهمد دقیقاً در شرایط خاص چه کاری انجام دهد)

بر این اساس، هنگام معرفی یک سیستم جدید، به سادگی چیزی را به «سفارش» اضافه می‌کنید و با ارسال سفارش از طریق ایمیل (یا از طریق EDMS، در صورت وجود، آن را به کارکنان اطلاع می‌دهید).

برچسب ها:

• امنیت اطلاعات
• مدیریت ریسک ها
• خط مشی امنیتی

افزودن برچسب