Citat:
Ursprungligen postat av
nudelpaket
Hej!
Jag håller på med ett projektarbete och skulle behöva hitta någon med bra tips och spåna kring innehållet i en säkerhetspolicy...
Det jag undrar är egentligen hur ni skulle välja att sätta upp en sådan, hur man ska gå tillväga efter att ha analyserat företagets behov och tillgångar.
Är verkligen inte ute efter facit, utan mer en öppen diskussion med människor, än att läsa 250 artiklar med spridda ändamål.
Det är ett litet företag med 25 anställda, har en databas med kundregister etc. Ett projekt inom företaget som är känsligt och viktigt att hålla från utomstående.
Det är en stor och knepig fråga eftersom en säkerhetspolicy är en väldigt individuell policy efter behov, krav samt hur situationen ser ut i en organisation.
Den kan se väldigt annorlunda ut beroende på vilka lagar som kan tänkas gälla, vilka behov företaget har, vilka kunder företaget har samt hur situationen ser ut på företaget (de som pysslar med utveckling har ofta väldigt annorlunda behov än en strikt administrativ plats för sekretessbelagda uppfigter t ex).
Börja med att ta in information om företaget, personalen, etc för att se vilka behov som finns för att lösa deras uppgifter. En säkerhetspolicy får aldrig stå i vägen utan helst vara helt transparent för de uppgifter som skall lösas och inte hinda de anställda mer än vad som behövs i det dagliga arbetet.
Kika också på om särskilda avtal eller lagar behöver tas i beaktning (sekretessuppgifter, persondata, särskilda avtal med kunder, etc) och se till så policyn speglar dessa.
En bra policy skall vara enkla procedurer för att visa vad som gäller för nya anställda, skall ge IT-administratörer ett ramverk att hålla sig inom när chefer eller kunder kommer och vill spara pengar eller ta genvägar och vara något att använda vid audits eller kontroller av verksamheten från tredjepart. Den måsta såklart förankras med alla delar av verksamheten som berörs innan den implementeras och bör innehålla reguljär testning av incidenthantering så det inte bara är en pappersvikt som snabbt kommer bli föråldrad allt eftersom organisationen förändras.
En dålig policy är ofta onödigt komplicerad och svårförstålig som gör att anställda ignorerar delar eller hela för att kunna sköta sina arbetsuppgifter. Se gärna till att regler som kan upprätthållas på teknisk väg också görs så vilket skapar mindre frågor och problem för de anställda (ex. en lösenordspolicy om minsta antal tecken eller byte av lösenord varje x månad skall framtvingas av systemet och inte vara något den enskilda användaren behöver hålla koll på).
ISO 27002, som föreslagits ovan, är en bra början att kika på.
Lycka till!