Tietosuojakäytäntö
Tämän politiikan soveltamisala kattaa kaikki yrityksen paikalliseen verkkoon kuuluvat laitteistot, ohjelmistot ja tietovarat. Politiikka kohdistuu myös verkoston kanssa työskenteleviin henkilöihin, mukaan lukien käyttäjät, alihankkijat ja toimittajat.
Organisaation asema. Tärkeimmät tavoitteet ovat tietojen eheys, saatavuus ja luottamuksellisuus sekä niiden täydellisyys ja asianmukaisuus.
Yksityiset tavoitteet ovat:
• sääntelyasiakirjojen mukaisen turvallisuuden tason varmistaminen;
• taloudellisten tarkoitusten noudattaminen suojatoimenpiteiden valinnassa (suojauskustannukset eivät saisi ylittää tietoturvaloukkausten arvioitua vahinkoa);
• turvallisuuden varmistaminen paikallisverkon toiminnallisella alueella;
• varmistaa kaikkien käyttäjätoimien vastuullisuus tietojen ja resurssien kanssa;
• rekisteröintitietojen analysointi;
• tarjota käyttäjille riittävästi tietoa tietoturvatilan säilyttämiseksi;
• kehittämään katastrofien palauttamista ja muita kriittisiä tilanteita suunnitelmia kaikilla toiminnallisilla alueilla verkon jatkuvuuden varmistamiseksi;
• varmistetaan voimassa olevien lakien ja yritysten turvallisuuspolitiikkojen noudattaminen. Roolien ja vastuiden jakautuminen.
Edellä mainittujen tavoitteiden toteuttamiseksi ovat verkon asianmukaiset virkamiehet ja käyttäjät. Osastojen päälliköt ovat vastuussa tietoturvapolitiikan säännösten toimittamisesta käyttäjille ja yhteydenpitoon heidän kanssaan. Paikallisen verkon ylläpitäjät varmistavat verkon jatkuvan toiminnan ja vastaavat turvallisuuspolitiikan toteuttamiseksi tarvittavista teknisistä toimenpiteistä.
Niiden on:
• suojeltava paikallisen verkon laitteita, mukaan lukien liitännät muihin verkkoihin;
• reagoi nopeasti ja tehokkaasti tapahtumiin, jotka aiheuttavat uhkaa, ilmoittavat palvelunvalvojille yrityksistä rikkoa turvallisuutta;
• käyttää todistettua auditointia ja epäilyttävien tilanteiden havaitsemista, analysoi päivittäin verkkoon liittyviä rekisteröintitietoja yleisesti ja erityisesti tiedostopalvelimiin;
• älä käytä väärin valtuuksiaan, koska käyttäjillä on oikeus salaisuuteen;
• kehittää menettelyjä ja laatia ohjeita paikallisen verkon suojaamiseksi haittaohjelmilta, auttamaan haitallisen koodin tunnistamisessa ja poistamisessa;
• varmuuskopioi säännöllisesti tiedostopalvelimiin tallennetut tiedot;
• suorittaa kaikki muutokset laitteiston ja ohjelmiston kokoonpanossa;
• Varmista, että verkkoresurssien käytön tunnistamis- ja todentamismenettelyt ovat pakollisia, ja antamaan käyttäjille käyttäjätunnukset ja alkuperäiset salasanat vasta rekisteröintilomakkeiden täyttämisen jälkeen;
• Tarkasta säännöllisesti paikallisverkon suojauksen luotettavuus, jotta luvattomat käyttäjät eivät saa oikeuksia.
Palvelun ylläpitäjät ovat vastuussa tietyistä palveluista ja erityisesti rakennusten suojaamisesta yleisen turvallisuuspolitiikan mukaisesti.
Niiden on:
• hallittava käyttöoikeuksia palvelemiin kohteisiin;
• reagoimaan nopeasti ja tehokkaasti tapahtumiin, jotka aiheuttavat uhkaa, auttavat torjumaan uhkaa, tunnistamaan rikoksentekijät ja antamaan tietoa heidän rangaistuksestaan;
• varmuuskopioi säännöllisesti palvelun käsittelemät tiedot;
• antaa käyttäjille käyttäjätunnukset ja alkuperäiset salasanat vasta rekisteröintilomakkeiden täyttämisen jälkeen;
• analysoida päivittäin palveluun liittyviä rekisteröintitietoja, seurata säännöllisesti haittaohjelmien palvelua;
• tarkistaa säännöllisesti palvelun suojan luotettavuus, jotta luvattomat käyttäjät eivät saa oikeuksia.
Käyttäjät työskentelevät paikallisen verkon kanssa tietoturvapolitiikan mukaisesti, noudattavat tietyistä turvallisuusnäkökohdista vastaavien henkilöiden määräyksiä ja ilmoittavat kaikista epäilyttävistä tilanteista.
He ovat velvollisia:
• tuntemaan ja noudattamaan lakeja, organisaation hyväksymiä sääntöjä, turvallisuuspolitiikkaa, turvallisuusmenettelyjä, käyttämään käytettävissä olevia suojamekanismeja tietojen luottamuksellisuuden ja eheyden varmistamiseksi;
• käytä tiedostojen suojausmekanismia ja määritä asianmukaiset käyttöoikeudet;
• valitse laadukkaita salasanoja, vaihda niitä säännöllisesti, älä kirjoita salasanoja paperille, älä jaa niitä muiden kanssa;
• tiedottaa järjestelmänvalvojille tai turvallisuusrikkomusten ja muiden epäilyttävien tilanteiden hallinnasta;
• olemaan käyttämättä heikkouksia palvelujen suojaamisessa ja paikallisverkossa kokonaisuutena, ei suorittamaan luvattomia töitä tietojen kanssa, ei häiritsemään muita käyttäjiä;
• aina antaa oikeat tunnistamis- ja todentamistiedot, älä yritä toimia muiden käyttäjien puolesta;
• toimittaa varmuuskopiotiedot tietokoneen kiintolevyltä;
• tietää, miten haittaohjelmat toimivat, miten se tunkeutuu ja leviää, ja tietää ja noudattaa menettelyjä, joilla estetään haitallisen koodin pääseminen, havaitseminen ja tuhoaminen;
• tiedä ja noudata käyttäytymissääntöjä hätätilanteissa, onnettomuuksien jälkeisten toimien järjestystä.
Seuraamuksia.
Turvallisuuspolitiikan rikkominen saattaa paljastaa paikallisen verkon ja siinä liikkuvan tiedon kohtuuttomalle riskille. Henkilöstön suorittamat turvallisuusrikkomukset olisi tarkistettava viipymättä kurinpitotoimiin, irtisanomiseen asti. Lisätietoja. Tietyt toteuttajien ryhmät saattavat joutua tarkastelemaan lisäasiakirjoja, erityisesti erikoistuneiden politiikkojen ja turvallisuusmenettelyjen asiakirjoja sekä muita ohjeita. Turvallisuuspolitiikan lisäasiakirjojen tarve riippuu suuresti organisaation koosta ja monimutkaisuudesta. Suuren organisaation osalta perusperiaatteiden lisäksi voidaan tarvita erikoistuneita turvallisuuspolitiikkoja. Pienemmät organisaatiot tarvitsevat vain osaa erikoistuneista politiikoista. Monet näistä tukiasiakirjoista voivat olla lyhyitä - yhden tai kahden sivun pituisia.
