Politika ta’ Sensibilizzazzjoni u Taħriġ dwar is-Sigurtà tal-Informazzjoni

Il-Politika ta’ Sensibilizzazzjoni u Taħriġ dwar is-Sigurtà tal-Informazzjoni (P08) tistabbilixxi qafas ta’ sensibilizzazzjoni u taħriġ formali, fuq livell ta’ organizzazzjoni sħiħa, biex tiżgura li l-persunal kollu, kuntratturi, u fornituri ta’ servizzi ta’ partijiet terzi jifhmu r-responsabbiltajiet tagħhom dwar is-sigurtà tal-informazzjoni. Tesiġi taħriġ komprensiv li jappoġġa konformità ma’ ISO/IEC 27001:2022 u oqfsa globali ewlenin oħra. Id-dokument jiddeskrivi programm ta’ sensibilizzazzjoni u taħriġ ibbażat fuq ir-riskju, u jeħtieġ li s-sensibilizzazzjoni dwar is-sigurtà tiġi indirizzata b’mod kontinwu permezz ta’ onboarding, taħriġ perjodiku ta’ aġġornament, u tattiċi ta’ taħriġ immexxija minn avvenimenti adattati għal theddid li qed jevolvi u obbligi regolatorji. Din il-politika tipprovdi kamp ta’ applikazzjoni ċar, u tistipula li l-utenti kollha b’aċċess għal sistemi tal-informazzjoni jew faċilitajiet tal-organizzazzjoni, kemm jekk utenti interni, ħaddiema temporanji, kuntratturi, jew fornituri terzi, iridu jipparteċipaw. Ir-rekwiżiti jispeċifikaw taħriġ inizjali ta’ sensibilizzazzjoni dwar is-sigurtà, moduli ta’ taħriġ ibbażati fuq ir-rwoli għal pożizzjonijiet bħal żviluppaturi jew utenti bi privileġġi għoljin, u kampanji ta’ sensibilizzazzjoni kontinwi. Mekkaniżmi tat-twassil jinkludu tagħlim elettroniku, sessjonijiet ta’ informazzjoni bi preżenza fiżika, simulazzjonijiet, u assi multimedjali, b’taħriġ perjodiku ta’ aġġornament annwali obbligatorju jew taħriġ addizzjonali attivat minn inċidenti jew bidliet legali/teknoloġiċi ewlenin. Rekwiżiti dettaljati ta’ governanza jiżguraw li l-utenti kollha jkunu ggwidati minn kontenut edukattiv aċċessibbli u inklużiv li jkopri temi essenzjali bħal reżistenza għall-phishing, iġjene tal-passwords, u obbligi regolatorji. Il-funzjonijiet tar-Riżorsi Umani u l-Uffiċjal Kap tas-Sigurtà tal-Informazzjoni (CISO) huma ċentrali biex iżommu reġistri tat-tlestija tat-taħriġ, jiżguraw li l-impjegati ġodda u dawk b’bidliet fir-rwoli jilħqu d-dati ta’ skadenza, u jsegwu t-tlestija permezz ta’ sistema ta’ ġestjoni tat-tagħlim. Nuqqas ta’ konformità jwassal għal miżuri dixxiplinari progressivi, minn tfakkiriet awtomatizzati sa revoka tal-aċċess u eskalazzjoni tar-Riżorsi Umani. Simulazzjonijiet ta’ phishing perjodiċi u kampanji ta’ sensibilizzazzjoni huma obbligatorji; ir-riżultati tagħhom jiggwidaw ir-raffinar tal-kontenut u l-eskalazzjoni ta’ taħriġ mill-ġdid immirat fejn ir-riskji jiġu nnutati ripetutament. Immaniġġjar tal-eċċezzjonijiet huwa definit permezz ta’ proċess ta’ talba għal eċċezzjoni dokumentat u bbażat fuq ir-riskju, u l-politika tpoġġi enfasi qawwija fuq rekwiżiti ta’ rieżami u aġġornament regolari, aġġornamenti tal-kontenut, u tħejjija għall-awditu, biex tiżgura allinjament kontinwu ma’ ISO/IEC 27001, 27002, NIST SP 800-53, GDPR, NIS2, DORA, u COBIT 2019. B’hekk, il-politika sservi ta’ bażi għal difiża miżurabbli u li tevolvi kontra vulnerabbiltajiet relatati mal-bniedem, essenzjali biex tinżamm ir-reżiljenza tal-organizzazzjoni.