Przygotowanie firmy: Lista kontrolna programu bezpieczeństwa informacji

BigTime

Aktualizacja: 7 listopada 2023 r.
17 lutego 2022 r.
Zalecane dla Ciebie Zwiększ poziom swojej działalności w zakresie usług profesjonalnych i zmniejsz ryzyko związane z bezpieczeństwem dzięki zintegrowanym płatnościom CZYTAJ
UDOSTĘPNIJ TEN ARTYKUŁ
Lista kontrolna programu bezpieczeństwa informacji

To jest post gościnny napisany przez Elizabeth B. Vandesteeg, Partner ds. usług finansowych i restrukturyzacji w Levenfeld Pearlstein, LLC.

W ostatnich latach rośnie liczba naruszeń danych i incydentów związanych z prywatnością, a bezpieczeństwo informacji nie jest już czymś, co firmy mogą po prostu odłożyć na dalszy plan. Jest ono raczej niezbędne do skutecznego prowadzenia działalności i ograniczenia znacznego ryzyka i kosztów. Bezpieczeństwo informacji odnosi się do procesów i metodologii zaprojektowanych i wdrożonych w celu ochrony drukowanych, elektronicznych lub innych form informacji lub danych, w tym: poufnych, prywatnych i wrażliwych informacji; lub danych pochodzących z nieautoryzowanego dostępu, użycia, niewłaściwego użycia, ujawnienia, zniszczenia, modyfikacji lub zakłócenia. Program Bezpieczeństwa Informacji (ISP) to udokumentowany zestaw zasad, wytycznych i procedur firmy w zakresie bezpieczeństwa informacji. Celem ISP jest ocena ryzyka, monitorowanie zagrożeń i łagodzenie ataków cyberbezpieczeństwa.

Wszystkie firmy, niezależnie od wielkości, powinny mieć dostawcę usług internetowych. Niezależnie od tego, czy Twoja organizacja ma do czynienia z dużą ilością danych osobowych, czy też nie, Twoje dane nadal mogą być celem ataku. Twoje własne dane finansowe, informacje o pracownikach lub inne poufne informacje mogą być atrakcyjnym celem dla atakujących, ponieważ mogą potencjalnie sprzedawać lub manipulować w inny sposób w celu osiągnięcia zysku.

Dowiedz się, co CEO BigTime ma do powiedzenia na temat korzyści związanych z bezpieczeństwem oprogramowania opartego na chmurze w niedawnym artykule 2022 predictions.

Ponieważ dostawca usług internetowych został zaprojektowany w celu zmniejszenia ryzyka naruszenia bezpieczeństwa informacji i spełnienia wymogów regulacyjnych, dostawca usług internetowych firmy powinien skupić się na tworzeniu polityk i procedur związanych z następującymi kwestiami: (1) zarządzanie i klasyfikacja danych; (2) kontrola dostępu; (3) planowanie pojemności i wydajności; (4) bezpieczeństwo systemów i sieci; (5) monitorowanie systemów i sieci; (6) rozwój systemów i aplikacji; (7) bezpieczeństwo fizyczne i kontrole środowiskowe; (8) ocena ryzyka; (9) reagowanie na incydenty; oraz (10) szkolenie personelu.

Poniższa lista kontrolna ma na celu pomóc w stworzeniu dostawcy usług internetowych, który spełnia potrzeby Twojej firmy:

  • Czy dostawca usług internetowych zawiera dobrze zdefiniowaną misję, która obejmuje główną funkcję firmy, rolę zespołu ds. bezpieczeństwa firmy, głównych klientów firmy, produkty i usługi, które składają się na przychody firmy, oraz lokalizację geograficzną, w której działasz (jeśli dotyczy)?
  • Czy ISP zawiera następujące elementy?
    • Cel
    • Zakres
    • Cele w zakresie bezpieczeństwa informacji
    • Poufność, dostępność i integralność danych 
    • Polityka uprawnień i kontroli dostępu 
    • Klasyfikacja danych 
    • Obsługa danych i operacje 
    • Sesje dotyczące świadomości bezpieczeństwa 
    • Odpowiedzialność i obowiązki personelu
    • Odpowiednie przepisy (które mogą się znacznie różnić w zależności od stanu lub kraju, w którym organizacja prowadzi działalność)
  • Czy dostawca usług internetowych przewiduje i chroni przed naruszeniem bezpieczeństwa informacji (tj. niewłaściwym wykorzystaniem danych, sieci, systemów komputerowych i aplikacji)?
  • Czy usługa ISP obejmuje wszystkie dane, programy, systemy, obiekty, personel i inną infrastrukturę technologiczną?
  • Czy dostawca usług internetowych stosuje zasadę najmniejszych przywilejów?
    • Zasada najmniejszego przywileju, ważna koncepcja bezpieczeństwa komputerowego, to praktyka ograniczania praw dostępu dla użytkowników, kont i procesów komputerowych tylko do tych, które są potrzebne do wykonania danego zadania.
    • Uprawnienie odnosi się do upoważnienia do ominięcia pewnych ograniczeń bezpieczeństwa. W odniesieniu do ludzi, minimalne uprawnienia oznaczają egzekwowanie minimalnego poziomu praw użytkownika i dostępu, które nadal pozwalają użytkownikowi wykonywać swoją funkcję. W przypadku procesów, aplikacji, systemów i urządzeń odnosi się to tylko do posiadania uprawnień wymaganych do wykonywania autoryzowanych działań. 
  • Czy dostawca usług internetowych rozróżnia typy danych i sposób obsługi każdego z nich?
    • Często dostawca usług internetowych klasyfikuje dane jako klasy wysokiego ryzyka, poufne lub publiczne. 
    • Dane wysokiego ryzyka zazwyczaj obejmują dane chronione przez ustawodawstwo stanowe i federalne; informacje objęte ustawą o ochronie danych, HIPAA i FERPA; informacje finansowe; informacje o wynagrodzeniach; oraz informacje o personelu. 
    • Poufne dane mogą często obejmować informacje, które nie są chronione prawem, ale mimo to powinny być chronione przed nieautoryzowanym ujawnieniem. 
    • Dane publiczne obejmują informacje, które są swobodnie rozpowszechniane.
  • Czy w organizacji istnieje świadomość bezpieczeństwa ISP?
    • Firmy powinny zapewnić pracownikom szkolenia, które pomogą im uzyskać informacje na temat gromadzenia/wykorzystywania/usuwania danych, utrzymywania jakości danych, zarządzania dokumentacją, poufności, prywatności, odpowiedniego wykorzystania systemów informatycznych i prawidłowego korzystania z sieci społecznościowych, a także innych ważnych środków bezpieczeństwa danych. 
  • Czy dostawca usług internetowych uznaje prawa klientów (tj. zapewnia skuteczny mechanizm reagowania na skargi lub wnioski)?
  • Czy dostawca usług internetowych wyznacza zespół reagowania na incydenty w celu obsługi incydentów bezpieczeństwa i naruszeń danych?

Firmy powinny również uzyskać polisę ubezpieczenia cybernetycznego jako część ich ogólnego programu bezpieczeństwa. Firmy ubezpieczeniowe stały się ostatnio znacznie bardziej rygorystyczne w gwarantowaniu tych polis cybernetycznych. Wdrożenie i udokumentowanie silnego i przemyślanego ISP może być bardzo skutecznym narzędziem dla firm w celu uzyskania lepszej ochrony ubezpieczeniowej za niższą składkę.

Zespół BigTime ma obsesję na punkcie prywatności i bezpieczeństwa Twojej firmy. Dlatego też zachęcamy naszych klientów do przejścia z akceptowania czeków papierowych na zintegrowane rozwiązanie płatności online, takie jak BigTime Wallet. Dzięki płatnościom online ryzyko kradzieży tożsamości i oszustw związanych z czekami jest znacznie zmniejszone. Zobacz, jakie inne korzyści w zakresie bezpieczeństwa oferuje BigTime Wallet.

Zalecane dla Ciebie Zwiększ poziom swojej działalności w zakresie usług profesjonalnych i zmniejsz ryzyko związane z bezpieczeństwem dzięki zintegrowanym płatnościom CZYTAJ
UDOSTĘPNIJ TEN ARTYKUŁ

Gotowy, by z nami działać?

Twój czas jest cenny, nie będziemy go marnować.
POPROŚ O DEMO

Zalecane dla Ciebie
BLOG
WEBINAR
PRZEWODNIK
HISTORIA KLIENTA
PODCAST

Zgodność z DCAA - odpowiedzi na najważniejsze pytania
Czy metody realizacji projektów zapewniają sukces Twojej organizacji?
BLOG
WEBINAR
PRZEWODNIK
HISTORIA KLIENTA
PODCAST

Czy metody realizacji projektów zapewniają sukces Twojej organizacji?
BLOG
WEBINAR
PRZEWODNIK
HISTORIA KLIENTA
PODCAST

Jak obliczyć odchylenie od harmonogramu: Wzór i przykład

Subskrybuj

Uzyskaj najnowsze informacje na temat zarządzania firmą.