Politika sociálních médií a externí komunikace

Politika sociálních médií a externí komunikace (P36) slouží jako komplexní rámec pro řízení veškeré veřejně prezentované komunikace týkající se organizace, jejího personálu a její značky. Tento dokument poskytuje jasné pokyny a povinné postupy navržené tak, aby předcházely reputačním škodám, porušením regulačních povinností, únikům duševního vlastnictví a neoprávněným zveřejněním prostřednictvím sociálních a digitálních mediálních kanálů. Politika se vztahuje na všechny zaměstnance, dodavatele, stážisty a zástupce třetích stran, kteří komunikují jménem organizace, odkazují na ni ve veřejném prostředí nebo používají účty jakéhokoli typu (osobní nebo firemní) k účasti v diskusích souvisejících s organizací. Pokryté kanály zahrnují běžné platformy sociálních médií, blogy, fóra, veřejné e-maily, rozhovory pro média, veřejná vystoupení a online komunity. Do působnosti politiky spadají všechny formy předem plánované i komunikace v reálném čase z jakéhokoli zařízení. Její hlavní cíle jsou: zabránit náhodnému nebo úmyslnému uvolnění citlivých nebo regulovaných dat; zajistit, aby oficiální prohlášení byla autorizovaná, přesná a v souladu se standardy značky; předcházet poškození dobré pověsti prostřednictvím konzistence sdělení; plnit příslušné právní a regulační povinnosti; a vymezit jasné odpovědnosti, případy použití a opatření vynucování pro všechny, kteří se podílejí na veřejné komunikaci. Politika popisuje konkrétní role: pracovníci marketingu/komunikace dohlížejí na schvalování obsahu a online monitorování; týmy IT a informační bezpečnosti sledují úniky, útoky a vydávání se za jinou osobu; právní a compliance provádějí přezkum souladu obsahu a spravují regulační oznámení; vedoucí oddělení vynucují politiku na úrovni týmů; zatímco veškerý personál nese osobní odpovědnost za jakýkoli odkaz na organizaci. Mezi požadavky správy patří pravidla stanovující, že oficiální prohlášení vydávají pouze autorizovaní mluvčí, všechny firemní účty používají vícefaktorovou autentizaci (MFA) a bezpečnou správu hesel a nevhodná nebo neautorizovaná externí komunikace je přísně zakázána. Politika vyžaduje centralizované auditní protokolování přístupu k účtům na sociálních sítích, pravidelné přezkumy přístupových práv a schvalování obsahu pro plánované příspěvky. Zmínky o značce, neautorizované nebo napodobující účty a nárůsty negativního sentimentu jsou monitorovány marketingem/týmy IT a informační bezpečnosti, s požadavky na eskalace a reakce na incidenty pro jakékoli podezření na porušení nebo zneužití. Protokoly reakce na incidenty jsou jasně definovány a vyžadují okamžité zamezení šíření (smazání, dokumentace, hlášení), aktivaci politiky reakce na incidenty (P30) v případech, kdy jsou dotčena osobní nebo citlivá data, oznámení právnímu a compliance a pověřenci pro ochranu osobních údajů (DPO) a oznámení porušení zabezpečení v rámci stanovených oznamovacích lhůt (například pravidlo GDPR 72 hodin). Přezkoumání po incidentu, nápravná opatření a auditní protokolování jsou nedílnou součástí mechanismu vynucování politiky. Výjimky mohou být uděleny pouze v přísně kontrolovaných scénářích, jako je krizová komunikace nebo schválené rozhovory pro média, a musí být formálně dokumentované, vymezené a přezkoumané. Opatření vynucování zahrnují možné formální napomenutí, pozastavení přístupu, disciplinární opatření nebo soudní řízení při nedodržení, zatímco audit a dodržování předpisů a monitorování souladu probíhá průběžně. Přezkumy jsou povinné nejméně jednou ročně a po významných regulačních, provozních nebo strukturálních změnách. Tato politika je sladěna s širokou škálou rámců včetně ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev. 5, EU GDPR, NIS2, DORA a COBIT 2019, aby byla komunikace organizace bezpečná, v souladu s předpisy a konzistentní v čím dál složitějším digitálním prostředí.