Informācijas drošības informētības un apmācības politika

Informācijas drošības informētības un apmācības politika (P08) nosaka formālu, organizācijas mēroga informētības un apmācību ietvaru, lai nodrošinātu, ka viss personāls, līgumslēdzēji un trešo pušu aģenti izprot savus informācijas drošības pienākumus. Tā nosaka visaptverošu apmācību, kas atbalsta atbilstību ISO/IEC 27001:2022 un citiem vadošajiem globālajiem ietvariem. Dokumentā ir aprakstīta uz riska informāciju balstīta pieeja, pieprasot, lai drošības izpratne tiktu nepārtraukti nodrošināta, izmantojot ievadīšanu, periodisku atkārtotu apmācību un uz notikumiem balstītas apmācību taktikas, kas pielāgotas mainīgajiem draudiem un regulatīvajiem pienākumiem. Šī politika nodrošina skaidru darbības jomu, nosakot, ka visi lietotāji ar piekļuvi informācijas sistēmām vai organizācijas objektiem — neatkarīgi no tā, vai tie ir iekšējie lietotāji, pagaidu darbinieki, līgumslēdzēji vai trešo pušu piegādātāji — piedalās. Prasības nosaka sākotnējo drošības informētības ievadapmācību, lomaspecifisku apmācību amatiem, piemēram, izstrādātājiem vai augstu privilēģiju lietotājiem, un informētības kampaņas. Piegādes mehānismi ietver e-apmācību, klātienes instruktāžas, simulācijas un straumēšanas multividi, ar obligātu ikgadēju atkārtotu apmācību vai papildu apmācību, ko ierosina drošības incidenti vai būtiskas juridiskas/tehnoloģiju izmaiņas. Detalizētas pārvaldības prasības nodrošina, ka visi lietotāji tiek vadīti ar piekļūstamību un iekļaujošu izglītojošu saturu, kas aptver būtiskas tēmas, piemēram, noturību pret pikšķerēšanu, paroļu higiēnu un regulatīvos pienākumus. Cilvēkresursu (HR) un galvenā informācijas drošības vadītāja (CISO) funkcijas ir centrālas apmācību pabeigšanas ierakstu uzturēšanā, nodrošinot, ka jaunie darbinieki un lomu mainītāji ievēro izpildes termiņus, un izsekojot pabeigšanu, izmantojot mācību vadības sistēmu. Neatbilstība noved pie disciplināriem pasākumiem ar progresiju — no automatizētiem atgādinājumiem līdz piekļuves tiesību atsaukšanai un HR eskalācijai. Periodiskas pikšķerēšanas simulācijas un informētības kampaņas ir obligātas; to rezultāti vada satura pilnveidi un mērķtiecīgas atkārtotas apmācības eskalāciju, ja riski tiek atkārtoti konstatēti. Izņēmumu apstrāde ir definēta, izmantojot dokumentētu, uz risku balstītu apstiprināšanas procesu, un politika uzsver regulārus politikas pārskatus, satura atjauninājumus un audita gatavību, nodrošinot pastāvīgu saskaņotību ar ISO/IEC 27001, 27002, NIST SP 800-53, GDPR, NIS2, DORA un COBIT 2019. Tādējādi politika nodrošina izmērāmu, attīstošu aizsardzību pret ar cilvēkiem saistītām ievainojamībām, kas ir būtiska organizācijas noturības uzturēšanai.