Beveiligingsprocedures

Zowel in de wereld van de informatietechnologie als in serieuze bedrijven die aan veiligheidsprocedures voldoen, zijn de regels strikt geschreven en moeten ze worden gerespecteerd. We zullen slechts enkele belangrijke voorbeelden geven van informatiebeveiligingsbeleid en -procedures.

  • Acceptabel gebruiksbeleid (AGB)

Een AGB bepaalt de beperkingen en praktijken waarmee een werknemer die IT-middelen van de organisatie gebruikt, moet instemmen om toegang te krijgen tot het bedrijfsnetwerk of internet. Het is standaard onboarding-beleid voor nieuwe medewerkers. Ze krijgen een AGB om te lezen en te ondertekenen voordat ze een netwerk-ID krijgen. Het wordt aanbevolen dat en organisaties IT-, beveiligings-, juridische en HR-afdelingen bespreken wat er in dit beleid is opgenomen.

  • Toegangscontrolebeleid (TCB)

Het TCB schetst de toegang die beschikbaar is voor werknemers met betrekking tot de gegevens- en informatiesystemen van een organisatie. Sommige onderwerpen die doorgaans in het beleid worden opgenomen, zijn standaarden voor toegangscontrole, zoals NIST’s toegangscontrole en implementatiegidsen. Andere items die in dit beleid worden behandeld, zijn normen voor gebruikerstoegang, netwerktoegangscontroles, besturingssysteemsoftwarecontrole en de complexiteit van bedrijfswachtwoorden. Aanvullende aanvullende items die vaak worden beschreven, zijn onder meer methoden om te controleren hoe bedrijfssystemen worden benaderd en gebruikt, hoe onbeheerde werkstations moeten worden beveiligd en hoe de toegang wordt verwijderd wanneer een medewerker de organisatie verlaat.

  • Veranderingsbeheerbeleid

Een wijzigingsbeheerbeleid verwijst naar een formeel proces voor het aanbrengen van wijzigingen in IT, softwareontwikkeling en beveiligingsdiensten / -operaties. Het doel van een verandermanagementprogramma is om het bewustzijn en begrip van voorgestelde veranderingen in een organisatie te vergroten en ervoor te zorgen dat alle veranderingen methodisch worden doorgevoerd om eventuele nadelige gevolgen voor diensten en klanten te minimaliseren.

  • Informatiebeveiligingsbeleid

Het informatiebeveiligingsbeleid van een organisatie is doorgaans beleid op hoog niveau dat een groot aantal beveiligingsmaatregelen kan omvatten. Het primaire informatiebeveiligingsbeleid wordt uitgevaardigd door het bedrijf om ervoor te zorgen dat alle werknemers die IT-middelen gebruiken binnen de breedte van de organisatie of haar netwerken, zich houden aan de gestelde regels en richtlijnen. Dit beleid is bedoeld om medewerkers te laten erkennen dat er regels zijn waaraan ze verantwoording moeten afleggen met betrekking tot de gevoeligheid van de bedrijfsinformatie en IT-middelen.

  • Beleid inzake respons op incidenten (IR)

Het incidentresponsbeleid is een georganiseerde benadering van hoe het bedrijf een incident zal beheren en de impact op de activiteiten zal herstellen. Het doel van dit beleid is om het proces van afhandeling van een incident te beschrijven met betrekking tot het beperken van de schade aan bedrijfsactiviteiten en klanten en het verminderen van hersteltijd en kosten.

  • Beleid voor externe toegang

Het BET-beleid is een document dat aanvaardbare methoden beschrijft en definieert om op afstand verbinding te maken met de interne netwerken van een organisatie. Dit beleid is een vereiste voor organisaties met verspreide netwerken die zich kunnen uitbreiden naar onveilige netwerklocaties, zoals het lokale koffiehuis of onbeheerde thuisnetwerken.

  • E-mail- / communicatiebeleid

Het e-mailbeleid van een bedrijf is een document dat wordt gebruikt om formeel uiteen te zetten hoe werknemers het door het bedrijf gekozen elektronische communicatiemedium kunnen gebruiken. Soms dekt dit beleid e-mail, blogs, sociale media en chattechnologieën. Het primaire doel van dit beleid is om richtlijnen te geven aan werknemers over wat wordt beschouwd als het aanvaardbare en onaanvaardbare gebruik van elke bedrijfscommunicatietechnologie.

  • Beleid voor noodherstel

Het noodherstelplan van een organisatie omvat over het algemeen zowel cyberveiligheid als de input van IT-teams en zal worden ontwikkeld als onderdeel van het grotere bedrijfscontinuïteitsplan. De CISO en teams zullen een incident beheren via het incidentresponsbeleid. Als de gebeurtenis een aanzienlijke zakelijke impact heeft, wordt het bedrijfscontinuïteitsplan geactiveerd.

  • Bedrijfscontinuïteitsplan (BCP)

De BCP coördineert de inspanningen in de hele organisatie en gebruikt het noodherstelplan om hardware, applicaties en gegevens te herstellen die essentieel worden geacht voor de bedrijfscontinuïteit. BCP’s zijn uniek voor elk bedrijf omdat ze beschrijven hoe de organisatie zal opereren in geval van nood.