1.0 APA ITU ISMS?
1.1. MAKSUD
ISMS adalah pendekatan proaktif untuk menguruskan secara berterusan dan berkesan, pada tahap yang tinggi, keselamatan maklumat termasuk orang-orang, infrastruktur dan perniagaan. Matlamatnya adalah untuk mengurangkan risiko ke tahap yang terkawal, sambil mengambil kira perspektif kedua-dua tujuan perniagaan dan jangkaan pelanggan. ISMS tidak khusus kepada industri. Kecantikan adalah bahawa konsep-konsep daripada ISMS boleh digunakan dengan pengubahsuaian sedikit untuk menjadikannya lebih relevan kepada industri tertentu. ISMS bukan update virus tertentu, atau tampalan atau satu set peraturan firewall, tetapi ia adalah akal di sebalik apa yang perlu pergi ke mana. Banyak syarikat sudah mempunyai pelaburan yang besar dalam produk keselamatan maklumat seperti firewall dan anti-virus. ISMS memaksimumkan kecekapan penggunaan semua sumber-sumber organisasi.
1.2. PERLAKSANAAN ISMS
Membina ISMS melibatkan banyak langkah. Ketika melaksanakan setiap langkah, input daripada semua pihak yang berkepentingan yang dinyatakan di atas perlu dimasukkan dan keputusan dibincangkan untuk mencapai dipersetujui jalan. A manual keselamatan berfungsi sebagai repositori pusat untuk ISMS. Manual ini akan dikekalkan oleh pegawai keselamatan Ketua dan biasanya dianggap sebagai dokumen sulit. Langkah-langkah yang terlibat dalam membina ISMS adalah:
1) Langkah - 1: Penilaian Risiko
Satu industri yang diterima penilaian risiko keselamatan yang perlu dilakukan. Matlamatnya adalah untuk mengenal pasti aset, ancaman, kelemahan dan kawalan untuk mengurangkan risiko. Beberapa risiko akan diterima dan kelulusan pengurusan perlu dicapai mengenai perkara ini.
2) Langkah - 2: pendekatan turun Top
Keselamatan adalah isu pengurusan dan bukan hanya satu isu IT. Oleh itu, ia adalah penting bahawa pengurusan atasan memainkan peranan yang penting dalam membina ISMS. Pengurusan harus mempunyai pemilikan keseluruhan ISMS. Pengurusan harus menggalakkan budaya dalam perusahaan untuk mengikuti prinsip-prinsip keselamatan.
3) Langkah - 3: Peranan Fungsi
Setelah kelulusan pengurusan dicapai, peranan fungsi perlu dikenal pasti. Bergantung kepada jenis dan saiz perusahaan, peranan boleh berbeza dari segi jenis dan bilangan. Seorang ketua pegawai keselamatan maklumat yang perlu dikenal pasti yang semata-mata memiliki ISMS. Peranan fungsi lain boleh termasuk Data pelayan, Keselamatan kesedaran tenaga pengajar dan lain-lain.
4) Langkah - 4: Tulis Dasar
Dasar keselamatan adalah dokumen yang menyatakan strategi keselamatan maklumat syarikat di tahap yang tinggi. Bahasa dalam dasar yang berasal dari penilaian risiko. Details harus dielakkan dalam polisi. Dalam usaha untuk membuat dasar yang boleh diterima oleh semua pihak yang berkepentingan, kata-kata itu di dalam polisi harus berada pada tahap yang tinggi dan menyelaraskan dengan baik dengan keutamaan perniagaan dan matlamat perusahaan.
5) Langkah - 5: Tulis Piawaian
Piawaian adalah keperluan jelas bahawa perusahaan perlu dikemukakan untuk semua orang untuk diikuti. Standard perlu menyokong dasar keselamatan dan diukur. Ia adalah amalan yang baik untuk dokumen apa penalti yang dikenakan adalah apabila piawaian tidak dipenuhi
6) Langkah - 6: Tulis garis panduan dan prosedur
Garis panduan yang disyorkan idea untuk syarikat. Mereka juga boleh dipanggil sebagai 'baik untuk kaya'. Ia harus diperhatikan bahawa keberkesanan pengurusan keselamatan sesebuah perusahaan tidak akan diukur dengan garis panduan ini. Terdapat, biasanya, tidak ada hukuman kerana tidak mematuhi garis panduan. Walau bagaimanapun, terdapat boleh beberapa insentif jika syarikat itu mengikut garis panduan. Prosedur langkah demi penerangan langkah bagaimana untuk memenuhi piawaian atau garis panduan supaya dasar itu disokong. Prosedur biasanya disasarkan di peringkat orang sistem yang benar-benar melaksanakan kawalan.
1.3. KAWALAN
Keperluan kawalan adalah hasil daripada proses penilaian risiko. Setelah keperluan kawalan diputuskan, pilihan kawalan dilakukan berdasarkan analisis kos-faedah aset ia melindungi dan kos kawalan itu sendiri. Dalam ISMS, kawalan boleh menjadi perisian, perkakasan, orang atau proses. Dalam ISMS yang baik, mereka perlu dilaksanakan dan digunakan untuk tujuan yang dimaksudkan sahaja.
Keperluan kawalan adalah hasil daripada proses penilaian risiko. Setelah keperluan kawalan diputuskan, pilihan kawalan dilakukan berdasarkan analisis kos-faedah aset ia melindungi dan kos kawalan itu sendiri. Dalam ISMS, kawalan boleh menjadi perisian, perkakasan, orang atau proses. Dalam ISMS yang baik, mereka perlu dilaksanakan dan digunakan untuk tujuan yang dimaksudkan sahaja.
1.4. MENGKUKUHKAN ISMS
Segala-galanya dalam keselamatan maklumat harus menjadi proses lelaran. ISMS adalah tidak berbeza. Satu ISMS dibina dengan gambaran maklumat dan boleh menjadi lapuk atau usang, menjadikan ISMS berkesan. A audit tahunan ISMS adalah disyorkan. Audit hendaklah mendedahkan berikut:
1) Adakah kawalan dalam talian dan melaksanakan fungsi yang dimaksudkan?
2) Adakah terdapat sebarang risiko baru yang dikenal pasti yang perlu ditangani?
3) Adakah dasar, piawaian, garis panduan dan prosedur yang perlu diubah atau dikemaskinikan?
4) Mengenal pasti jurang antara apa yang dinyatakan dalam manual ISMS.
1.5. MATLAMAT ISMS
1) Membangunkan pemahaman pemandu dan strategi perniagaan dalam organisasi
2) Mengenal pasti ancaman utama dan bahaya yang berkaitan dengan aktiviti-aktiviti ini.
3) Memahami sifat dan keutamaan keperluan keselamatan organisasi.
4) Analisis implikasi keselamatan topologi rangkaian.
5) Analisis komponen keselamatan utama reka bentuk rangkaian
6) Analisis ciri-ciri keselamatan aplikasi utama yang berkaitan dengan sambungan luaran dan aktiviti perniagaan
7) Memahami implikasi keselamatan pelan perniagaan masa depan dan kesan yang mereka mungkin mempunyai mengenai topologi rangkaian semasa dan komponen.
8) Kos program kesedaran perlu setimpal dengan manfaat ia memberikan
9) Di samping itu, kos program latihan mesti diukur terhadap IT memberi manfaat kepada organisasi. Adalah penting untuk mempertimbangkan kos sumber luaran, berbanding latihan dalaman.
10) Program-program kesedaran dan latihan mesti dihantar di peringkat penonton. Ia adalah penting untuk memastikan bahawa sesi ini disampaikan pada tahap yang direka untuk memaksimumkan pemahaman untuk penonton.
2.1. ORGANISASI KETUA PENGARAH
Ketua organisasi dan pengarah perlu memastikan bahawa keutamaan dan sumber yang mencukupi telah diberikan kepada kesedaran, latihan dan pendidikan proses keselamatan maklumat. A CIO telah dilantik dan tanggungjawab telah diberikan dalam organisasi.
2.2. KETUA PEGAWAI MAKLUMAT
Tanggungjawab untuk mentadbir latihan dan kesedaran keselamatan terletak pada CIO. Adalah menjadi tanggungjawab CIO untuk memastikan bahawa strategi keseluruhan bagi keselamatan maklumat kesedaran, latihan dan pendidikan di tempat. Ini adalah satu tanggungjawab untuk memastikan bahawa:
1) Program ini dibiayai secukupnya dan sumber
2) Maklum balas dan lain-lain kawalan atau laporan
3) Program itu dilaksanakan dengan berkesan
2.3. PENGURUS KESELAMATAN MAKLUMAT
Apabila menimbangkan keselamatan maklumat, perlu diingat bahawa ini tidak semua organisasi online.The maklumat yang wujud dalam pelbagai format, dan oleh itu, kedua-dua fizikal dan keselamatan elektronik perlu diambil kira apabila membangunkan program-program untuk meningkatkan kesedaran dan latihan. Pengurus keselamatan maklumat adalah bertanggungjawab untuk pembangunan bahan-bahan latihan, dan penggunaan yang berkesan. Pengurus keselamatan maklumat yang perlu untuk memastikan bahawa semua bahan-bahan latihan untuk keselamatan maklumat dibangunkan dengan cara yang sesuai dan mereka dihantar kepada penonton yang dimaksudkan dengan cara yang paling berkesan. Pengurus keselamatan maklumat perlu memastikan bahawa latihan kesedaran dan pendidikan untuk keselamatan maklumat dalam organisasi sentiasa dikaji semula dan dikemaskini untuk mengekalkan IT relevan kepada organisation.The pengurus keselamatan maklumat yang perlu berhubung dengan pengurusan lain dalam organisasi, seperti yang mereka boleh memberikan kritikal jawapan dan maklum balas lain pada bahan, persembahan dan tahap kesedaran dan latihan dalam organisasi.
1) Pengurus Jabatan
Secara umumnya, pemilik maklumat dalam organisasi. Oleh itu, adalah menjadi tanggungjawab mereka untuk memastikan kesesuaian dan penerimaan dasar-dasar, piawaian dan prosedur berkaitan keselamatan kerana ia berkaitan dengan jabatan mereka. Keselamatan maklumat bukan sahaja fungsi IT Sebagai pengurus jabatan itu perlu memahami bahawa mereka adalah bertanggungjawab untuk memastikan bahawa kakitangan mereka sedar dan mematuhi kesedaran keselamatan maklumat dan keperluan latihan organisasi.
Pengurus jabatan sering akan berkhidmat dalam peranan pemilik data. Pengurus jabatan perlu bertindak sebagai "Evangelist Dasar" atau "Usahawan Dasar" 3 dalam organisasi terus menolak keperluan untuk kesedaran dan latihan kakitangan dalam dasar IT dan prosedur yang mencukupi. (1984, p.129) "usahawan dasar awam" Kindon menyediakan kami dengan model konteks dalam organisasi.
2) Kakitangan dan Maklumat Pengguna
Pengguna umum perlu memastikan bahawa mereka bekerja dengan pihak pengurusan untuk memenuhi latihan dan keperluan pendidikan dalam cara yang relevan kepada organisasi. Adalah menjadi tanggungjawab pengguna untuk mematuhi keselamatan maklumat dasar, prosedur dan piawaian organisasi. Pengguna maklumat dalam organisasi termasuk penuh dan separuh masa pekerja, pegawai kontrak, kakitangan dari jabatan-jabatan kerajaan yang berkaitan Jawapan organisasi, dan pekerja-pekerja pelbagai syarikat penyumberan luar.
2.4. JAWATANKUASA ISMS
Sebagai sebahagian daripada kumpulan pengurusan ISMS, suatu jawatankuasa kecil latihan akan dibentuk. Jawatankuasa kecil ini akan melaporkan kepada jawatankuasa pemandu ISMS. ISMS jawatankuasa kecil latihan akan mempunyai wakil daripada kumpulan pengurusan di jabatan-jabatan berkaitan, jabatan latihan, pegawai keselamatan maklumat dan kumpulan pengurusan risiko.
1) Sasaran
Apabila menilai keperluan organisasi, ia adalah penting untuk ingat bahawa tidak semua pengguna mempunyai keperluan yang sama. Manakala kesedaran keselamatan adalah satu keperluan utama untuk semua pengguna organisasi, latihan dan juga pensijilan maju mungkin bukan sahaja yang tidak perlu kepada organisasi apabila digunakan untuk semua pengguna, tetapi boleh memudaratkan. Program kesedaran perlu dibahagikan berdasarkan tahap kesedaran dan pengetahuan pengguna untuk keperluan keselamatan organisasi. Program latihan dan pendidikan yang terbaik dibahagikan berdasarkan kepada peranan individu dalam organisasi. Para pengguna boleh dibahagikan kepada kumpulan-kumpulan seperti pengguna, pentadbir sistem, pengurusan atau lain-lain organisasi yang berkaitan demografi. Segmentasi latihan lanjut mungkin diperlukan berdasarkan pengguna individu kategori pekerjaan atau tahap komputer yang sedia ada (dan khususnya, keselamatan maklumat) pengetahuan.
2) Motivasi
Sebagai penginjil program, pengurusan utama perlu memahami bagaimana program ini akan memberi manfaat kepada organisasi. Motivasi pengurusan dan eksekutif bergantung kepada mewujudkan kesedaran tentang keperluan bagi program-program maklumat latihan keselamatan dan risiko yang berkaitan dengan tidak melaksanakan program-program ini secukupnya. Untuk memberi motivasi lagi pekerja dalam organisasi dan untuk memastikan pengurusan yang tidak hanya menerima tetapi menerima program ini, satu siri "lobak dan kayu" proses perlu dilaksanakan. Kunci kepada ini adalah menghubungkan proses keselamatan kepada pekerja KPI. Selain itu, pengurusan perlu mempunyai bonus mereka dikaitkan dengan prestasi kakitangan mereka berhubung keselamatan organisasi.
1.5. MATLAMAT ISMS
Matlamat utama ISMS adalah untuk memastikan bahawa semua kakitangan yang terlibat dengan penggunaan dan pengurusan aset maklumat organisasi mempunyai pemahaman dasar keselamatan maklumat, piawaian, prosedur dan lain-lain keperluan ke tahap yang boleh diterima. Dokumen ini telah dibangunkan untuk memudahkan penciptaan dan penyelenggaraan program kesedaran keselamatan maklumat yang komprehensif, dan latihan yang maklumat dan program pendidikan. Rakyat dan bukan teknologi umumnya link paling lemah dalam kawalan keselamatan maklumat. Kesedaran dan pendidikan adalah penting dalam membangunkan "firewall manusia", dan proses mental yang berkaitan yang ini memerlukan. Dalam esei beliau, "The Firewall Manusia", butiran Christopher organisasi menghadapi pendedahan dari faktor manusia. Beberapa faktor kejayaan yang kritikal melaksanakan pembangunan program latihan kesedaran termasuk:
1) Membangunkan pemahaman pemandu dan strategi perniagaan dalam organisasi
2) Mengenal pasti ancaman utama dan bahaya yang berkaitan dengan aktiviti-aktiviti ini.
3) Memahami sifat dan keutamaan keperluan keselamatan organisasi.
4) Analisis implikasi keselamatan topologi rangkaian.
5) Analisis komponen keselamatan utama reka bentuk rangkaian
6) Analisis ciri-ciri keselamatan aplikasi utama yang berkaitan dengan sambungan luaran dan aktiviti perniagaan
7) Memahami implikasi keselamatan pelan perniagaan masa depan dan kesan yang mereka mungkin mempunyai mengenai topologi rangkaian semasa dan komponen.
8) Kos program kesedaran perlu setimpal dengan manfaat ia memberikan
9) Di samping itu, kos program latihan mesti diukur terhadap IT memberi manfaat kepada organisasi. Adalah penting untuk mempertimbangkan kos sumber luaran, berbanding latihan dalaman.
10) Program-program kesedaran dan latihan mesti dihantar di peringkat penonton. Ia adalah penting untuk memastikan bahawa sesi ini disampaikan pada tahap yang direka untuk memaksimumkan pemahaman untuk penonton.
2.0 TUGAS & TANGGUNGJAWAB
Rangkaian tanggungjawab untuk kesedaran keselamatan maklumat, latihan dan pendidikan pada dasarnya perlu difahami di seluruh organisasi. Program keselamatan maklumat organisasi belum mencapai kematangan dan masih membangun. Pada peringkat awal ini, adalah penting semua ahli-ahli dalam jawatan-jawatan penting dalam organisasi memahami tanggungjawab masing-masing.
Ketua organisasi dan pengarah perlu memastikan bahawa keutamaan dan sumber yang mencukupi telah diberikan kepada kesedaran, latihan dan pendidikan proses keselamatan maklumat. A CIO telah dilantik dan tanggungjawab telah diberikan dalam organisasi.
2.2. KETUA PEGAWAI MAKLUMAT
Tanggungjawab untuk mentadbir latihan dan kesedaran keselamatan terletak pada CIO. Adalah menjadi tanggungjawab CIO untuk memastikan bahawa strategi keseluruhan bagi keselamatan maklumat kesedaran, latihan dan pendidikan di tempat. Ini adalah satu tanggungjawab untuk memastikan bahawa:
2) Maklum balas dan lain-lain kawalan atau laporan
3) Program itu dilaksanakan dengan berkesan
2.3. PENGURUS KESELAMATAN MAKLUMAT
Apabila menimbangkan keselamatan maklumat, perlu diingat bahawa ini tidak semua organisasi online.The maklumat yang wujud dalam pelbagai format, dan oleh itu, kedua-dua fizikal dan keselamatan elektronik perlu diambil kira apabila membangunkan program-program untuk meningkatkan kesedaran dan latihan. Pengurus keselamatan maklumat adalah bertanggungjawab untuk pembangunan bahan-bahan latihan, dan penggunaan yang berkesan. Pengurus keselamatan maklumat yang perlu untuk memastikan bahawa semua bahan-bahan latihan untuk keselamatan maklumat dibangunkan dengan cara yang sesuai dan mereka dihantar kepada penonton yang dimaksudkan dengan cara yang paling berkesan. Pengurus keselamatan maklumat perlu memastikan bahawa latihan kesedaran dan pendidikan untuk keselamatan maklumat dalam organisasi sentiasa dikaji semula dan dikemaskini untuk mengekalkan IT relevan kepada organisation.The pengurus keselamatan maklumat yang perlu berhubung dengan pengurusan lain dalam organisasi, seperti yang mereka boleh memberikan kritikal jawapan dan maklum balas lain pada bahan, persembahan dan tahap kesedaran dan latihan dalam organisasi.
1) Pengurus Jabatan
Secara umumnya, pemilik maklumat dalam organisasi. Oleh itu, adalah menjadi tanggungjawab mereka untuk memastikan kesesuaian dan penerimaan dasar-dasar, piawaian dan prosedur berkaitan keselamatan kerana ia berkaitan dengan jabatan mereka. Keselamatan maklumat bukan sahaja fungsi IT Sebagai pengurus jabatan itu perlu memahami bahawa mereka adalah bertanggungjawab untuk memastikan bahawa kakitangan mereka sedar dan mematuhi kesedaran keselamatan maklumat dan keperluan latihan organisasi.
Pengurus jabatan sering akan berkhidmat dalam peranan pemilik data. Pengurus jabatan perlu bertindak sebagai "Evangelist Dasar" atau "Usahawan Dasar" 3 dalam organisasi terus menolak keperluan untuk kesedaran dan latihan kakitangan dalam dasar IT dan prosedur yang mencukupi. (1984, p.129) "usahawan dasar awam" Kindon menyediakan kami dengan model konteks dalam organisasi.
2) Kakitangan dan Maklumat Pengguna
Pengguna umum perlu memastikan bahawa mereka bekerja dengan pihak pengurusan untuk memenuhi latihan dan keperluan pendidikan dalam cara yang relevan kepada organisasi. Adalah menjadi tanggungjawab pengguna untuk mematuhi keselamatan maklumat dasar, prosedur dan piawaian organisasi. Pengguna maklumat dalam organisasi termasuk penuh dan separuh masa pekerja, pegawai kontrak, kakitangan dari jabatan-jabatan kerajaan yang berkaitan Jawapan organisasi, dan pekerja-pekerja pelbagai syarikat penyumberan luar.
2.4. JAWATANKUASA ISMS
Sebagai sebahagian daripada kumpulan pengurusan ISMS, suatu jawatankuasa kecil latihan akan dibentuk. Jawatankuasa kecil ini akan melaporkan kepada jawatankuasa pemandu ISMS. ISMS jawatankuasa kecil latihan akan mempunyai wakil daripada kumpulan pengurusan di jabatan-jabatan berkaitan, jabatan latihan, pegawai keselamatan maklumat dan kumpulan pengurusan risiko.
1) Sasaran
Apabila menilai keperluan organisasi, ia adalah penting untuk ingat bahawa tidak semua pengguna mempunyai keperluan yang sama. Manakala kesedaran keselamatan adalah satu keperluan utama untuk semua pengguna organisasi, latihan dan juga pensijilan maju mungkin bukan sahaja yang tidak perlu kepada organisasi apabila digunakan untuk semua pengguna, tetapi boleh memudaratkan. Program kesedaran perlu dibahagikan berdasarkan tahap kesedaran dan pengetahuan pengguna untuk keperluan keselamatan organisasi. Program latihan dan pendidikan yang terbaik dibahagikan berdasarkan kepada peranan individu dalam organisasi. Para pengguna boleh dibahagikan kepada kumpulan-kumpulan seperti pengguna, pentadbir sistem, pengurusan atau lain-lain organisasi yang berkaitan demografi. Segmentasi latihan lanjut mungkin diperlukan berdasarkan pengguna individu kategori pekerjaan atau tahap komputer yang sedia ada (dan khususnya, keselamatan maklumat) pengetahuan.
2) Motivasi
Sebagai penginjil program, pengurusan utama perlu memahami bagaimana program ini akan memberi manfaat kepada organisasi. Motivasi pengurusan dan eksekutif bergantung kepada mewujudkan kesedaran tentang keperluan bagi program-program maklumat latihan keselamatan dan risiko yang berkaitan dengan tidak melaksanakan program-program ini secukupnya. Untuk memberi motivasi lagi pekerja dalam organisasi dan untuk memastikan pengurusan yang tidak hanya menerima tetapi menerima program ini, satu siri "lobak dan kayu" proses perlu dilaksanakan. Kunci kepada ini adalah menghubungkan proses keselamatan kepada pekerja KPI. Selain itu, pengurusan perlu mempunyai bonus mereka dikaitkan dengan prestasi kakitangan mereka berhubung keselamatan organisasi.
HR perlu melaksanakan proses disiplin kerana melanggar proses keselamatan dan piawaian dalam organisasi. Dengan mengingatkan pengurusan risiko yang dihadapi oleh organisasi dan kerugian yang mungkin boleh dikurangkan melalui pelaksanaan program-program ini, mereka lebih cenderung untuk evangelise program ini. Membeli Pengurusan masuk ke program ini adalah satu-satunya cara untuk mendapatkan sumber-sumber yang diperlukan. Atas sebab ini, oleh dalam adalah penting di semua peringkat pengurusan dalam organisasi. Pekerja individu organisasi tidak boleh diharapkan untuk memahami nilai aset maklumat yang mereka gunakan dalam peranan masing-masing tanpa latihan yang mencukupi. Dengan melibatkan pekerja individu dalam pembangunan program ini secara aktif, mereka mungkin menjadi kedua-dua lebih sedar tentang keperluan untuk keselamatan maklumat dan lebih cenderung untuk menyokong program ini.
2.5. POLISI, STANDARD DAN GARIS PANDUAN
Latihan keselamatan maklumat yang boleh dan harus digunakan untuk menyokong semua kawalan keselamatan maklumat. Dengan teliti melatih semua kakitangan, sama ada pereka, pengurusan, atau pengguna sistem umum, pematuhan dengan dasar-dasar piawaian dan garis panduan organisasi akan menjadi lebih berkemungkinan untuk dilaksanakan dengan jayanya.
Latihan keselamatan maklumat yang boleh dan harus digunakan untuk menyokong semua kawalan keselamatan maklumat. Dengan teliti melatih semua kakitangan, sama ada pereka, pengurusan, atau pengguna sistem umum, pematuhan dengan dasar-dasar piawaian dan garis panduan organisasi akan menjadi lebih berkemungkinan untuk dilaksanakan dengan jayanya.
3.0 LATIHAN
Latihan yang berterusan adalah satu langkah penting dalam memastikan bahawa semua pekerja mengetahui dasar-dasar organisasi. Kejayaan menyiapkan satu keselamatan maklumat dan program kesedaran dan latihan kepada pekerjaan adalah satu keperluan untuk akses kepada komputer beliau sistem dan rangkaian yang diberikan
3.1. KESEDARAN
Kesedaran dasar dan prosedur organisasi adalah penting dalam memastikan akauntabiliti. Semua kakitangan baru adalah untuk melengkapkan sesi kesedaran keselamatan maklumat sebagai sebahagian daripada induksi awal mereka. Ia adalah satu syarat pekerjaan bahawa semua kakitangan membaca dan memahami prosedur maklumat dasar dan standard kerana ia berkaitan dengan peranan mereka dalam organisasi. Jika kakitangan mempunyai apa-apa isu dengan ini atau tidak memahami dasar-dasar, piawaian atau prosedur yang secukupnya, mereka digalakkan untuk membincangkan isu-isu ini dengan sama ada pengurus mereka atau pengurus keselamatan maklumat organisasi. Ia adalah satu syarat pekerjaan yang semua pekerja menandatangani dokumen yang menyatakan bahawa mereka telah membaca dan memahami dasar-dasar keselamatan maklumat, prosedur dan piawaian organisasi.
Kesedaran dasar dan prosedur organisasi adalah penting dalam memastikan akauntabiliti. Semua kakitangan baru adalah untuk melengkapkan sesi kesedaran keselamatan maklumat sebagai sebahagian daripada induksi awal mereka. Ia adalah satu syarat pekerjaan bahawa semua kakitangan membaca dan memahami prosedur maklumat dasar dan standard kerana ia berkaitan dengan peranan mereka dalam organisasi. Jika kakitangan mempunyai apa-apa isu dengan ini atau tidak memahami dasar-dasar, piawaian atau prosedur yang secukupnya, mereka digalakkan untuk membincangkan isu-isu ini dengan sama ada pengurus mereka atau pengurus keselamatan maklumat organisasi. Ia adalah satu syarat pekerjaan yang semua pekerja menandatangani dokumen yang menyatakan bahawa mereka telah membaca dan memahami dasar-dasar keselamatan maklumat, prosedur dan piawaian organisasi.
Untuk mencapai matlamat ini, ia adalah penting bahawa dokumen-dokumen telah disediakan kepada mereka. Kakitangan yang sedia ada yang belum menandatangani dokumen penerimaan akan diperlukan untuk berbuat demikian pada penilaian prestasi dwi-tahunan yang akan datang. Rundingan dengan kesatuan bagi memastikan kejayaan pelaksanaan strategi ini adalah untuk diurus berdasarkan keperluan organisasi. Semua pekerja yang sedia ada yang tidak notattend sesi kesedaran apabila mereka pada mulanya menyertai organisasi dikehendaki untuk menghadiri sesi dalam tempoh tiga bulan akan datang. Selain itu, semua peribadi adalah untuk melengkapkan sesi update kesedaran secara tetap. Satu sampel rawak dipilih kakitangan akan sentiasa diuji dengan menggunakan gabungan kaedah seperti quizzing dalam talian untuk membangunkan model statistik dan plot kesedaran keseluruhan organisasi amalan keselamatan maklumat. Apabila keselamatan maklumat dasar, prosedur atau piawaian menukar atau dikemas kini, semua pengguna terjejas oleh perubahan yang perlu dibuat sedar tentang perubahan.
3.2. PEMBANGUNAN PENDIDIKAN & PROFESIONAL
Organisasi mengakui keperluan untuk lebih mendalam latihan keselamatan untuk profesional keselamatan, profesional pengurusan maklumat, kakitangan IT dan individu lain yang mungkin memerlukan kepakaran tambahan. Untuk tujuan ini, organisasi sebagai sebahagian daripada program pembangunan kerjaya pekerja akan bekerja dengan pekerja untuk memastikan pertumbuhan dan pengetahuan mereka melalui latihan khusus. Ini perlu individu disesuaikan dengan pengurus individu dan jabatan latihan yang terlibat dalam proses ini. Bagi individu yang dipilih, penyelenggaraan pensijilan utama dan pencapaian CPE10 jam akan ditulis ke dalam kontrak pekerjaan mereka.
Organisasi mengakui keperluan untuk lebih mendalam latihan keselamatan untuk profesional keselamatan, profesional pengurusan maklumat, kakitangan IT dan individu lain yang mungkin memerlukan kepakaran tambahan. Untuk tujuan ini, organisasi sebagai sebahagian daripada program pembangunan kerjaya pekerja akan bekerja dengan pekerja untuk memastikan pertumbuhan dan pengetahuan mereka melalui latihan khusus. Ini perlu individu disesuaikan dengan pengurus individu dan jabatan latihan yang terlibat dalam proses ini. Bagi individu yang dipilih, penyelenggaraan pensijilan utama dan pencapaian CPE10 jam akan ditulis ke dalam kontrak pekerjaan mereka.
3.3. DASAR KORPORAT
Untuk memastikan pengguna sedar ancaman keselamatan maklumat dan kebimbangan, dan dilengkapi untuk menyokong dasar keselamatan organisasi dalam menjalankan tugas biasa mereka, mereka perlu dilatih dalam prosedur keselamatan dan penggunaan yang betul bagi kemudahan IT.
Untuk memastikan pengguna sedar ancaman keselamatan maklumat dan kebimbangan, dan dilengkapi untuk menyokong dasar keselamatan organisasi dalam menjalankan tugas biasa mereka, mereka perlu dilatih dalam prosedur keselamatan dan penggunaan yang betul bagi kemudahan IT.
No comments:
Post a Comment