Category Archives: politica de securitate

Ce trebuie sa conţină documentul de politica de securitate?

  • Ce resurse de doresc a fi protejate,
  • Cum se obţine securitatea informaţiilor
  • Care este scopul implementarii politicii de securitate
  • Domeniul de aplicare
  • Procesele specifice
  • Responsabilitate şi autoritate

Conducerea de vârf (top managementul, directorul general, etc…)  trebuie să îşi exprime angajamentul pentru asigurarea resurselor umane şi/sau materiale şi infrastructura necesarã pentru atingerea obiectivelor şi implicarea personalã în vederea dezvoltãrii, menţinerii şi îmbunãtãţirii continue a eficacitãţii sistemului de management al securitãţii informaţiei (SMSI).

Documentul de politica de securitate

Politica de securitate este un document care conţine regulile ce guvernează activitatea din sistemele informaţionale din cadrul unei organizaţii.

Politica de securitate este totodată o declaraţie a managementului organizaţiei, indicând intenţia şi măsurile luate pentru respectarea legilor şi a convenţiilor pe care se bazează o anumita activitate.

Organizaţiile care doresc un audit al sistemelor interne pentru o anumită certificare vor folosi politica de securitate ca bază de referinţă a respectivului audit.

Procesul de creare a politicii de securitate IT implică următorii paşi:

1. Formarea echipei care va redacta documentul.

Aceasta echipa se împarte în doua nivele. La nivelul întâi, ea este formată din specialişti care vor redacta documentul ( specialişti în securitate informatică, consultantul IT pentru politici, personal tehnic pentru documentaţie, etc).

La nivelul al doilea, echipa va fi formată din reprezentanţi ai organizaţiei, consultanţi şi alţi factori de decizie, care au ca rol redactarea cerinţelor, analizarea şi aprobarea documentului.

La nivelul al doilea ar fi ideal să participe consultantul IT pe politici de securitate şi reprezentanţii organizaţiei din domeniul legal, al resurselor umane, şefi de departamente.

2. Identificarea cerinţelor şi rezolvarea contradicţiilor.

La acest pas se decid subiectele ce vor fi cuprinse în document, riscurile şi implicatiile de analizat. În urma analizei va rezulta o soluţie globală, acceptată şi din punct de vedere juridic, al costurilor , al resurselor umane şi al activităţii de ansamblu a organizaţiei, privind implicatiile politicilor respective.

Scrierea unui draft. Specialiştii din diversele domenii de activitate vor colabora pentru rezolvarea cerinţelor identificate, din punct de vedere tehnic.

3. Analizarea si aprobarea documentului.
Documentul rezultat va fi analizat de către reprezentanţii corespunzători ai organizaţiei, care îşi vor prezenta punctele de vedere. Ţinând seama de punctele de vedere exprimate, se vor face modificările necesare şi va rezulta forma finală a acestui document, urmând să fie aprobat de către toţi factorii implicaţi.

4. Publicarea şi aducerea la cunoştinţă a politicilor de securitate

Dupa ce documentul este oficial aprobat, el va trebui să fie publicat şi prin grija structurilor organizaţiei, adus la cunoştinţa fiecărui angajat şi, în funcţie de situaţie, la cunoştinta publicului.