Információbiztonsági tudatossági és képzési szabályzat

Az információbiztonsági tudatossági és képzési szabályzat (P08) formális, szervezetszintű keretrendszert hoz létre annak biztosítására, hogy valamennyi munkatárs, vállalkozó és harmadik fél ügynök megértse információbiztonsági felelősségeit. Átfogó képzést ír elő, amely támogatja az ISO/IEC 27001:2022 és más vezető globális keretrendszerek szerinti megfelelést. A dokumentum kockázatalapú megközelítést részletez, amely megköveteli, hogy a biztonságtudatosságot folyamatosan kezeljék beléptetés, időszakos ismétlő képzés és eseményvezérelt képzési taktikák révén, az alakuló fenyegetésekhez és szabályozási igényekhez igazítva. A szabályzat egyértelmű alkalmazási területet ad, rögzítve, hogy minden felhasználónak, aki hozzáfér információs rendszerekhez vagy szervezeti létesítményekhez – legyen belső munkavállaló, ideiglenes munkavállaló, vállalkozó vagy beszállító – részt kell vennie. A követelmények meghatározzák a belépéskori biztonságtudatossági képzést, a szerepkör-specifikus modulokat olyan pozíciók számára, mint a fejlesztők vagy a kiemelt jogosultságú felhasználók, valamint a folyamatos tudatosságnövelő kampányokat. A kézbesítési mechanizmusok közé tartozik az e-learning, a személyes eligazítás, a szimulációk és a multimédiás anyagok, kötelező éves frissítő képzéssel, illetve további képzéssel, amelyet információbiztonsági incidensek vagy jelentős jogi/technológiai változások váltanak ki. A részletes irányítási követelmények biztosítják, hogy minden felhasználót hozzáférhető, inkluzív oktatási tartalom vezessen, amely lefedi az alapvető témákat, például az adathalászattal szembeni ellenállóképességet, a jelszóhigiénia és a szabályozási kötelezettségek kérdéskörét. A humánerőforrás-osztály és az információbiztonsági vezető (CISO) funkciók kulcsszerepet játszanak a képzési teljesítés nyilvántartásának fenntartásában, annak biztosításában, hogy az új belépők és a szerepkört váltók tartsák a határidőket, valamint a teljesítés nyomon követésében tanulásmenedzsment rendszer segítségével. A meg nem felelés fokozatos fegyelmi intézkedésekhez vezet, az automatikus emlékeztetőktől a hozzáférés visszavonásáig és HR-hez utalásig. Időszakos adathalászati szimulációk és tudatosságnövelő kampányok kötelezőek; eredményeik irányítják a tartalom finomítását és a célzott továbbképzés eszkalációját, ha a kockázatok ismételten megjelennek. A kivételkezelés dokumentált, kockázatalapú jóváhagyási folyamaton keresztül kerül meghatározásra, és a szabályzat erős hangsúlyt helyez a rendszeres felülvizsgálatokra, tartalomfrissítésekre és az auditfelkészültségre, biztosítva a folyamatos összhangot az ISO/IEC 27001, 27002, NIST SP 800-53, GDPR, NIS2, DORA és COBIT 2019 követelményeivel. Így a szabályzat mérhető, fejlődő védelmet alapoz meg az emberi tényezőhöz kapcsolódó sérülékenységekkel szemben, amely létfontosságú a szervezeti ellenállóképesség fenntartásához.