Przygotowanie firmy: Lista kontrolna programu bezpieczeństwa informacji

BigTime

Aktualizacja: 7 listopada 2023 r.
17 lutego 2022 r.
UDOSTĘPNIJ TEN ARTYKUŁ
Lista kontrolna programu bezpieczeństwa informacji

To jest post gościnny napisany przez Elizabeth B. Vandesteeg, Partner ds. usług finansowych i restrukturyzacji w Levenfeld Pearlstein, LLC.

W ostatnich latach rośnie liczba naruszeń danych i incydentów związanych z prywatnością, a bezpieczeństwo informacji nie jest już czymś, co firmy mogą po prostu odłożyć na dalszy plan. Jest ono raczej niezbędne do skutecznego prowadzenia działalności i ograniczenia znacznego ryzyka i kosztów. Bezpieczeństwo informacji odnosi się do procesów i metodologii zaprojektowanych i wdrożonych w celu ochrony drukowanych, elektronicznych lub innych form informacji lub danych, w tym: poufnych, prywatnych i wrażliwych informacji; lub danych pochodzących z nieautoryzowanego dostępu, użycia, niewłaściwego użycia, ujawnienia, zniszczenia, modyfikacji lub zakłócenia. Program Bezpieczeństwa Informacji (ISP) to udokumentowany zestaw zasad, wytycznych i procedur firmy w zakresie bezpieczeństwa informacji. Celem ISP jest ocena ryzyka, monitorowanie zagrożeń i łagodzenie ataków cyberbezpieczeństwa.

Wszystkie firmy, niezależnie od wielkości, powinny mieć dostawcę usług internetowych. Niezależnie od tego, czy Twoja organizacja ma do czynienia z dużą ilością danych osobowych, czy też nie, Twoje dane nadal mogą być celem ataku. Twoje własne dane finansowe, informacje o pracownikach lub inne poufne informacje mogą być atrakcyjnym celem dla atakujących, ponieważ mogą potencjalnie sprzedawać lub manipulować w inny sposób w celu osiągnięcia zysku.

Dowiedz się, co CEO BigTime ma do powiedzenia na temat korzyści związanych z bezpieczeństwem oprogramowania opartego na chmurze w niedawnym artykule 2022 predictions.

Ponieważ dostawca usług internetowych został zaprojektowany w celu zmniejszenia ryzyka naruszenia bezpieczeństwa informacji i spełnienia wymogów regulacyjnych, dostawca usług internetowych firmy powinien skupić się na tworzeniu polityk i procedur związanych z następującymi kwestiami: (1) zarządzanie i klasyfikacja danych; (2) kontrola dostępu; (3) planowanie pojemności i wydajności; (4) bezpieczeństwo systemów i sieci; (5) monitorowanie systemów i sieci; (6) rozwój systemów i aplikacji; (7) bezpieczeństwo fizyczne i kontrole środowiskowe; (8) ocena ryzyka; (9) reagowanie na incydenty; oraz (10) szkolenie personelu.

Poniższa lista kontrolna ma na celu pomóc w stworzeniu dostawcy usług internetowych, który spełnia potrzeby Twojej firmy:

  • Czy dostawca usług internetowych zawiera dobrze zdefiniowaną misję, która obejmuje główną funkcję firmy, rolę zespołu ds. bezpieczeństwa firmy, głównych klientów firmy, produkty i usługi, które składają się na przychody firmy, oraz lokalizację geograficzną, w której działasz (jeśli dotyczy)?
  • Czy ISP zawiera następujące elementy?
    • Cel
    • Zakres
    • Cele w zakresie bezpieczeństwa informacji
    • Poufność, dostępność i integralność danych 
    • Polityka uprawnień i kontroli dostępu 
    • Klasyfikacja danych 
    • Obsługa danych i operacje 
    • Sesje dotyczące świadomości bezpieczeństwa 
    • Odpowiedzialność i obowiązki personelu
    • Odpowiednie przepisy (które mogą się znacznie różnić w zależności od stanu lub kraju, w którym organizacja prowadzi działalność)
  • Czy dostawca usług internetowych przewiduje i chroni przed naruszeniem bezpieczeństwa informacji (tj. niewłaściwym wykorzystaniem danych, sieci, systemów komputerowych i aplikacji)?
  • Czy usługa ISP obejmuje wszystkie dane, programy, systemy, obiekty, personel i inną infrastrukturę technologiczną?
  • Czy dostawca usług internetowych stosuje zasadę najmniejszych przywilejów?
    • Zasada najmniejszego przywileju, ważna koncepcja bezpieczeństwa komputerowego, to praktyka ograniczania praw dostępu dla użytkowników, kont i procesów komputerowych tylko do tych, które są potrzebne do wykonania danego zadania.
    • Uprawnienie odnosi się do upoważnienia do ominięcia pewnych ograniczeń bezpieczeństwa. W odniesieniu do ludzi, minimalne uprawnienia oznaczają egzekwowanie minimalnego poziomu praw użytkownika i dostępu, które nadal pozwalają użytkownikowi wykonywać swoją funkcję. W przypadku procesów, aplikacji, systemów i urządzeń odnosi się to tylko do posiadania uprawnień wymaganych do wykonywania autoryzowanych działań. 
  • Czy dostawca usług internetowych rozróżnia typy danych i sposób obsługi każdego z nich?
    • Często dostawca usług internetowych klasyfikuje dane jako klasy wysokiego ryzyka, poufne lub publiczne. 
    • Dane wysokiego ryzyka zazwyczaj obejmują dane chronione przez ustawodawstwo stanowe i federalne; informacje objęte ustawą o ochronie danych, HIPAA i FERPA; informacje finansowe; informacje o wynagrodzeniach; oraz informacje o personelu. 
    • Poufne dane mogą często obejmować informacje, które nie są chronione prawem, ale mimo to powinny być chronione przed nieautoryzowanym ujawnieniem. 
    • Dane publiczne obejmują informacje, które są swobodnie rozpowszechniane.
  • Czy w organizacji istnieje świadomość bezpieczeństwa ISP?
    • Firmy powinny zapewnić pracownikom szkolenia, które pomogą im uzyskać informacje na temat gromadzenia/wykorzystywania/usuwania danych, utrzymywania jakości danych, zarządzania dokumentacją, poufności, prywatności, odpowiedniego wykorzystania systemów informatycznych i prawidłowego korzystania z sieci społecznościowych, a także innych ważnych środków bezpieczeństwa danych. 
  • Czy dostawca usług internetowych uznaje prawa klientów (tj. zapewnia skuteczny mechanizm reagowania na skargi lub wnioski)?
  • Czy dostawca usług internetowych wyznacza zespół reagowania na incydenty w celu obsługi incydentów bezpieczeństwa i naruszeń danych?

Firmy powinny również uzyskać polisę ubezpieczenia cybernetycznego jako część ich ogólnego programu bezpieczeństwa. Firmy ubezpieczeniowe stały się ostatnio znacznie bardziej rygorystyczne w gwarantowaniu tych polis cybernetycznych. Wdrożenie i udokumentowanie silnego i przemyślanego ISP może być bardzo skutecznym narzędziem dla firm w celu uzyskania lepszej ochrony ubezpieczeniowej za niższą składkę.

Zespół BigTime ma obsesję na punkcie prywatności i bezpieczeństwa Twojej firmy. Dlatego też zachęcamy naszych klientów do przejścia z akceptowania czeków papierowych na zintegrowane rozwiązanie płatności online, takie jak BigTime Wallet. Dzięki płatnościom online ryzyko kradzieży tożsamości i oszustw związanych z czekami jest znacznie zmniejszone. Zobacz, jakie inne korzyści w zakresie bezpieczeństwa oferuje BigTime Wallet.

UDOSTĘPNIJ TEN ARTYKUŁ

Gotowy, by z nami działać?

Twój czas jest cenny, nie będziemy go marnować.

Zalecane dla Ciebie

Rekomendacje podcastów i książek, które pobudzą inspirację
BLOG
WEBINAR
PRZEWODNIK
HISTORIA KLIENTA
PODCAST

Rekomendacje podcastów i książek, które pobudzą inspirację

BLOG
WEBINAR
PRZEWODNIK
HISTORIA KLIENTA
PODCAST

BigTime w rankingu #6 najlepszych firm technologicznych w Chicago

Rok 2020 z perspektywy czasu: Wyciągnięte wnioski i prognozy dla branży PS
BLOG
WEBINAR
PRZEWODNIK
HISTORIA KLIENTA
PODCAST

Rok 2020 z perspektywy czasu: Wyciągnięte wnioski i prognozy dla branży PS

Subskrybuj

Uzyskaj najnowsze informacje na temat zarządzania firmą.