効果的なセキュリティポリシーの作成の概要
この記事では、すべての組織が採用を検討すべき6つのポリシーを紹介します。 実装する具体的な方針とそれに含まれる詳細の量は、企業が成長するにつれて変化します。 確かに、2人の従業員を持つ組織は、数千人の組織とは異なるセキュリティ問題を抱えています。 このリストは、物理的セキュリティ問題と情報セキュリティ問題の両方に対処するもので、特定のセキュリティニーズを評価するための出発点となります。
インターネット利用
インターネットアクセスの危険性には、ウイルス、スパイウェア、トロイの木馬などの悪質なソフトウェアのダウンロードが含まれます。 インターネット使用ポリシーは、従業員が会社のコンピュータを個人的に使用することが許可されているかどうか、およびシステム管理者以外の人がソフトウェアをダウンロードできるかどうかに対処する必要があります。 また、インスタントメッセージングを会社の時間中に使用するか、または社内の機器で使用するかどうかを検討する必要があります。
メール/ソーシャルネットワーキング
電子メールとソーシャルネットワーキングは、独自のセキュリティ上の懸案事項を作り出しました。 これらの技術は、情報の普及を非常に簡単にします。 そして、その情報があなたの建物を離れたら、それはめったに想起されることはありません。 電子メールポリシーは、企業の電子メールやソーシャルメディアのページに適切な内容を記述する必要があります。
インターネット上でプライベートなものは何もないと仮定します。 色の違うユーモアやイメージを含むコンテンツは、あなたの会社のイメージを損なう可能性があり、機密情報を明らかにするとセキュリティが損なわれる可能性があります。
キーコントロール
電子アクセス装置とは異なり、メカニカルキーはトレイルを残さずに複製して使用できます。 キー制御ポリシーには、現在メカニカルキーを保持している人とそのキーを複製する権限を持つ人を追跡する手段が含まれている必要があります。 この重要なポリシーの詳細については、私の記事「 キーコントロールを無視しない 」を読んでください。
PDA /モバイルデバイスのセキュリティ
あなたは、モバイルデバイスがあなたのセキュリティ堤防に穴を開けることができるすべての漏れを埋め込むのに十分な指を持っていません。 現代の携帯電話は機密情報を保存するだけでなく、ネットワークにアクセスポイントを提供することができます。 PDAやモバイルデバイスを使用している場合は、データ暗号化やパスワードポリシーなどの問題に対処する必要があります。 一般的なモバイルデバイスの詳細については、 自分のBlackBerry Protectingの記事を読むことができます。
訪問者管理
許可されていない、または迷子でない訪問者は、物理的な脅威になる可能性があり、機密情報を盗む可能性があります。 可能であれば、ゲートまたは受付係の机のように、すべての訪問者を制御された入り口に誘導します。
あなたのポリシーを書くときに、訪問者が常に護衛されるべきか、または特定の地域でのみ護衛されるべきかを決定します。 訪問者にバッジを着用してサインインとサインインを要求する必要があります。 お客様の訪問者管理ポリシーが明確に伝えられれば、従業員は疑わしい個人に近づいたり報告したりすることがより快適になるため、より簡単にあなたの目と耳になります。
非開示契約
このポリシーは、電子メール、ソーシャルメディア、口頭でのコミュニケーション、および情報を共有するその他の手段に触れます。 従業員がどのような情報を理解できるようにする必要があります。
結論
効果的なポリシーを作成するための鍵は、それらが明確であり、できるだけ遵守しやすいことを確認することです。 過度に複雑なポリシーは、人々がシステムをバイパスするよう促すだけです。
従業員を受刑者のように感じさせないでください。 必要性を伝えると、セキュリティの文化を作り出すことができます。
セキュリティと利便性の間には常にトレードオフがあります。 あなたはTSAのチェックポイントを通過することなく飛行機に乗りたいですか? しかし、飛行機に乗っている誰も安心していないことを知っていれば、どれくらい快適でしょうか? この記事に記載されているポリシーは、あなたとあなたの従業員が確実に保護されるようにするのに役立ちます。