Polityka świadomości i szkoleń w zakresie bezpieczeństwa informacji

Polityka świadomości i szkoleń w zakresie bezpieczeństwa informacji (P08) ustanawia formalne, ogólnorganizacyjne ramy podnoszenia świadomości i szkoleń, aby zapewnić, że cały personel, wykonawcy oraz agenci stron trzecich rozumieją swoje obowiązki w zakresie bezpieczeństwa informacji. Nakazuje kompleksowe szkolenia wspierające zgodność z ISO/IEC 27001:2022 oraz innymi wiodącymi globalnymi ramami. Dokument opisuje podejście oparte na ryzyku, wymagając, aby świadomość bezpieczeństwa była stale adresowana poprzez wdrażanie, okresowe szkolenie odświeżające oraz taktyki szkoleniowe wyzwalane zdarzeniami, dostosowane do zmieniających się zagrożeń i wymagań regulacyjnych. Niniejsza polityka zapewnia jasny zakres, wskazując, że wszyscy użytkownicy mający dostęp do systemów informatycznych lub obiektów organizacji — niezależnie od tego, czy są to użytkownicy wewnętrzni, pracownicy tymczasowi, wykonawcy czy zewnętrzni dostawcy — muszą uczestniczyć. Wymagania określają wstępne szkolenie w zakresie świadomości bezpieczeństwa, moduły szkoleniowe oparte na rolach dla stanowisk takich jak programiści lub użytkownicy uprzywilejowani oraz kampanie budowania świadomości. Mechanizmy dostarczania obejmują e-learning, odprawy stacjonarne, symulacje oraz zasoby multimedialne, z obowiązkowymi corocznymi odświeżeniami lub dodatkowymi szkoleniami wyzwalanymi przez incydenty lub istotne zmiany prawne/technologiczne. Szczegółowe wymagania dotyczące zarządzania zapewniają, że wszyscy użytkownicy są prowadzeni przez dostępne, inkluzywne treści edukacyjne obejmujące kluczowe tematy, takie jak odporność na phishing, higiena haseł oraz obowiązki regulacyjne. Funkcje HR oraz Dyrektor ds. bezpieczeństwa informacji (CISO) odgrywają kluczową rolę w utrzymywaniu zapisów o ukończeniu szkoleń, zapewnianiu, że nowi pracownicy i osoby po zmianie ról dotrzymują terminów, oraz śledzeniu ukończenia poprzez system zarządzania nauczaniem. Niezgodność prowadzi do progresywnych środków dyscyplinarnych — od zautomatyzowanych przypomnień aż po cofnięcie uprawnień dostępu i eskalację do działu HR. Okresowe symulacje phishingowe oraz kampanie budowania świadomości są wymagane; ich wyniki kierują doskonaleniem treści oraz eskalacją ukierunkowanego ponownego szkolenia tam, gdzie ryzyka są wielokrotnie odnotowywane. Obsługa wyjątków jest zdefiniowana poprzez udokumentowany, oparty na ryzyku proces zatwierdzania, a polityka kładzie silny nacisk na regularne przeglądy polityki, aktualizacje treści oraz gotowość do audytu, zapewniając stałe dostosowanie do ISO/IEC 27001, 27002, NIST SP 800-53, GDPR, NIS2, DORA oraz COBIT 2019. W ten sposób polityka stanowi mierzalną, rozwijającą się ochronę przed podatnościami związanymi z czynnikiem ludzkim, kluczową dla utrzymania odporności organizacyjnej.