Шаблон политики кибербезопасности компании

Опубликовано пользователем

Этот шаблон политики кибербезопасности компании готов к адаптации к потребностям вашей компании и должен рассматриваться как отправная точка для создания политики занятости.

политика кибербезопасности

Краткое описание политики & цель

Политика кибербезопасности нашей компании описывает наши руководящие принципы и положения по сохранению безопасности наших данных и технологической инфраструктуры.

Чем больше мы полагаемся на технологии для сбора, хранения и управления информацией, тем более уязвимыми мы становимся для серьезных нарушений безопасности. Человеческие ошибки, хакерские атаки и сбои в работе системы могут нанести большой финансовый ущерб и поставить под угрозу репутацию нашей компании.

По этой причине мы внедрили ряд мер безопасности. Мы также подготовили инструкции, которые могут помочь снизить риски безопасности. Мы изложили оба положения в данной политике.

Область применения

Эта политика распространяется на всех наших сотрудников, подрядчиков, волонтеров и всех, кто имеет постоянный или временный доступ к нашим системам и оборудованию.

Элементы политики

Конфиденциальные данные

Конфиденциальные данные являются секретными и ценными. Общие примеры:

  • Неопубликованная финансовая информация
  • Данные клиентов/партнеров/поставщиков
  • Патенты, формулы или новые технологии
  • Списки клиентов (существующих и перспективных)

Все сотрудники обязаны защищать эти данные. В этой политике мы даем нашим сотрудникам инструкции о том, как избежать нарушений безопасности.

Защита личных устройств и устройств компании

Когда сотрудники используют свои цифровые устройства для доступа к электронной почте или учетным записям компании, они создают риск безопасности для наших данных. Мы рекомендуем нашим сотрудникам обеспечивать безопасность как личных, так и предоставленных компанией компьютеров, планшетов и мобильных телефонов. Они могут сделать это, если:

  • Защитить все устройства паролем.
  • Выбрать и обновить полноценное антивирусное программное обеспечение.
  • Не оставлять свои устройства открытыми или без присмотра.
  • Устанавливайте обновления безопасности браузеров и систем ежемесячно или как только появляются обновления.
  • Вход в учетные записи и системы компании только через защищенные и частные сети.

Мы также советуем нашим сотрудникам избегать доступа к внутренним системам и учетным записям с чужих устройств или одалживать свои собственные устройства другим людям.

Когда новые сотрудники получают оборудование, выдаваемое компанией, они получают инструкции:

  • [Настройка шифрования дисков]
  • [Настройка инструмента управления паролями]
  • [Установка антивирусного/противовирусного программного обеспечения]

Они должны следовать инструкциям по защите своих устройств и обращаться к нашим [Специалисты по безопасности/ сетевые инженеры], если у них возникают какие-либо вопросы.

Обеспечивать безопасность электронных писем

В электронных письмах часто встречаются мошеннические и вредоносные программы (e.g. черви.) Чтобы избежать заражения вирусами или кражи данных, мы инструктируем сотрудников:

  • Не открывать вложения и не переходить по ссылкам, если их содержание не объяснено должным образом (например.g. "посмотрите это видео, оно потрясающее.")
  • Относитесь с подозрением к заголовкам кликбейт (e.g. предлагать призы, советы.)
  • Проверяют электронную почту и имена людей, от которых они получили сообщение, чтобы убедиться в их легитимности.
  • Ищите несоответствия или предложения призов (e.g. грамматические ошибки, заглавные буквы, чрезмерное количество восклицательных знаков.)

Если сотрудник не уверен, что полученное им электронное письмо безопасно, он может обратиться к нашему [ИТ-специалист.]

Правильно управлять паролями

Утечка паролей опасна, так как может поставить под угрозу всю нашу инфраструктуру. Пароли должны быть не только надежными, чтобы их было невозможно легко взломать, но и оставаться секретными. По этой причине мы рекомендуем нашим сотрудникам:

  • Выбирайте пароли не менее чем из восьми символов (включая заглавные и строчные буквы, цифры и символы) и избегайте информации, которую можно легко угадать (e.g. дни рождения.)
  • Запоминать пароли вместо того, чтобы записывать их. Если сотрудникам необходимо записать свои пароли, они обязаны хранить бумажный или цифровой документ конфиденциально и уничтожить его по окончании работы.
  • Обмениваться учетными данными только в случае крайней необходимости. Если обмен ими при личной встрече невозможен, сотрудники должны предпочесть телефон вместо электронной почты, и только в том случае, если они лично узнают собеседника.
  • Меняйте пароли каждые два месяца.

Запоминание большого количества паролей может оказаться сложной задачей. Мы приобретем услуги инструмента управления паролями, который генерирует и хранит пароли. Сотрудники обязаны создать надежный пароль для самого инструмента, следуя вышеупомянутым советам.

Безопасно передавать данные

Передача данных создает риск для безопасности. Сотрудники должны

  • Избегать передачи конфиденциальных данных (e.g. информации клиентов, личных данных сотрудников) на другие устройства или учетные записи, за исключением случаев крайней необходимости. При необходимости массовой передачи таких данных мы просим сотрудников обращаться к нашим [Специалисты по безопасности] за помощью.
  • Делиться конфиденциальными данными через сеть/систему компании, а не через общественный Wi-Fi или частное соединение.
  • Убедиться, что получатели данных являются надлежащим образом уполномоченными лицами или организациями и имеют адекватную политику безопасности.
  • Сообщать о мошенничестве, нарушениях конфиденциальности и попытках взлома

Наш [ИТ-специалисты/сетевые инженеры] должны знать о мошенничестве, нарушениях конфиденциальности и вредоносных программах, чтобы они могли лучше защитить нашу инфраструктуру. По этой причине мы советуем нашим сотрудникам как можно скорее сообщать нашим специалистам о предполагаемых атаках, подозрительных электронных письмах или попытках фишинга. Наша [ИТ-специалисты/сетевые инженеры] должны оперативно провести расследование, решить проблему и при необходимости отправить оповещение по всей компании.

Наши специалисты по безопасности отвечают за консультирование сотрудников о том, как обнаружить мошеннические электронные письма. Мы рекомендуем нашим сотрудникам обращаться к ним с любыми вопросами или проблемами.

Дополнительные меры

Для снижения вероятности нарушения безопасности мы также инструктируем наших сотрудников:

  • Выключать экраны и блокировать свои устройства, когда покидают рабочие места.
  • Как можно скорее сообщать о краденом или поврежденном оборудовании по адресу [отдел кадров/отдел информационных технологий].
  • При краже устройства сразу же меняйте пароли всех учетных записей.
  • Сообщать о предполагаемой угрозе или возможном недостатке безопасности в системах компании.
  • Воздерживаться от загрузки подозрительного, несанкционированного или незаконного программного обеспечения на оборудование компании.
  • Избегать посещения подозрительных веб-сайтов.

Мы также ожидаем от наших сотрудников соблюдения нашей политики использования социальных сетей и Интернета.

Наши [Специалисты по безопасности/ сетевые администраторыследует

  • Установить брандмауэры, антивирусное программное обеспечение и системы аутентификации доступа.
  • Организовать обучение по вопросам безопасности для всех сотрудников.
  • Регулярно информировать сотрудников о новых мошеннических электронных письмах или вирусах и способах борьбы с ними.
  • Тщательно расследуют нарушения безопасности.
  • Соблюдать положения данной политики, как и другие сотрудники.

Наша компания будет иметь все физические и цифровые щиты для защиты информации.

Удаленные сотрудники

Удаленные сотрудники также должны следовать инструкциям этой политики. Поскольку они будут иметь доступ к учетным записям и системам нашей компании на расстоянии, они обязаны соблюдать все стандарты шифрования данных, защиты и настройки, а также обеспечить безопасность своей частной сети.

Мы рекомендуем им обращаться за советом к нашим [Специалисты по безопасности/ IT-администраторы.]

Дисциплинарные меры

Мы ожидаем, что все наши сотрудники будут всегда следовать этой политике, а те, кто допустит нарушение безопасности, могут быть привлечены к дисциплинарной ответственности:

  • Первое, непреднамеренное, небольшое нарушение безопасности: Мы можем вынести устное предупреждение и обучить сотрудника правилам безопасности.
  • Преднамеренные, повторяющиеся или крупномасштабные нарушения (которые наносят серьезный финансовый или иной ущерб): Мы будем применять более строгие дисциплинарные меры вплоть до увольнения.
    Мы будем рассматривать каждый инцидент в индивидуальном порядке.

Кроме того, сотрудники, замеченные в пренебрежении нашими инструкциями по безопасности, будут подвергаться прогрессивному дисциплинарному взысканию, даже если их поведение не привело к нарушению безопасности.

Серьезное отношение к безопасности

Все, от наших клиентов и партнеров до наших сотрудников и подрядчиков, должны чувствовать, что их данные находятся в безопасности. Единственный способ завоевать их доверие - активно защищать наши системы и базы данных. Мы все можем способствовать этому, проявляя бдительность и не забывая о кибербезопасности.

Отказ от ответственности: Данный шаблон политики предназначен для предоставления общих рекомендаций и должен использоваться в качестве справочника. Данное руководство может не учитывать все соответствующие местные, государственные или федеральные законы и не является юридическим документом. Ни автор, ни компания не несут никакой юридической ответственности, которая может возникнуть в результате использования данной политики.
Дополнительная информация
  • Кибербезопасность для малого бизнеса
  • 10 методов обеспечения кибербезопасности
  • Самые большие угрозы кибербезопасности находятся внутри вашей компании
Вид документа: 
Ключевые слова: 
Рубрика: 

Поделиться

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий