1. Четкие цели и задачиЭто особенно важно для программных политик. Помните, что многие сотрудники могут не иметь представления об угрозах безопасности и будут воспринимать любой вид контроля как обузу. Четкая формулировка миссии или цели, прописанная на верхнем уровне политики безопасности, должна помочь всей организации понять важность информационной безопасности.
2. Область примененияКаждая политика безопасности должна иметь область применения, которая четко указывает на кого распространяется данная политика. Это может быть географический регион, бизнес-подразделение, должность или любая другая организационная структура.
3. Поддержка со стороны высшего руководстваПолитики безопасности должны отражать намерения высшего руководства, без этой поддержки любая программа безопасности, скорее всего, потерпит неудачу. Чтобы добиться успеха, ваши политики должны быть доведены до сведения сотрудников, регулярно обновляться и неуклонно соблюдаться. Отсутствие поддержки со стороны руководства значительно усложняет процесс.
4. Реалистичные и выполнимые политикиЕсть большой соблазн создать идеальные политики безопасности, основанные на лучших образцах, однако вы должны помнить, что ваши сотрудники скорее всего тяжело воспримут слишком обременительные политики. Аналогичным образом, политика, не имеющая механизма обеспечения соблюдения, может быть легко проигнорирована большинством сотрудников. Важно соблюдать баланс в реалистичности политик и контролем за их исполнением.
5. Четкие определения важных терминовПомните, что аудитория политик безопасности может быть слабо подкована с технической точки зрения. Важно использовать лаконичный и не жаргонный язык, а все технические термины в документе должны быть четко определены.
6. Определение рисковЧтобы разработать надлежащие процедуры реагирования на риски, ваша организация должна определить потенциальные риски. Многие организации делают это с помощью оценки рисков. Будьте открыты для новых средств контроля безопасности. Например, в для аудита и анализа неструктурированных данных, а также учета и контроля прав доступа сотрудников используют современные DCAP-решения, такие как
Makves DCAP.
7. Актуальная информацияОбновление политики безопасности имеет решающее значение для поддержания ее эффективности. Несмотря на то что программная политика не нуждается в частых изменениях, ее все равно следует пересматривать время от времени. Частные и системные политики необходимо обновлять чаще, поскольку меняются технологии, тенденции организации трудовой деятельности и прочее. Со временем может возникнуть необходимость и в новых политиках.