Politica privind conștientizarea și instruirea în domeniul securității informației

Politica privind conștientizarea și instruirea în domeniul securității informației (P08) stabilește un cadru formal, la nivelul întregii organizații, pentru a se asigura că întregul personal, contractanții și agenții terți înțeleg responsabilitățile lor privind securitatea informației. Aceasta impune instruire cuprinzătoare care sprijină conformitatea cu ISO/IEC 27001:2022 și alte cadre globale de referință. Documentul detaliază o abordare bazată pe risc, solicitând ca conștientizarea securității să fie abordată continuu prin înrolare, instruire periodică de reîmprospătare și tactici de instruire declanșate de evenimente, adaptate la amenințări în evoluție și la obligații de reglementare. Această politică oferă un domeniu de aplicare clar, stipulând că toți utilizatorii cu acces la sisteme informatice sau la facilitățile organizației, fie angajați interni, lucrători temporari, contractanți sau furnizori, trebuie să participe. Cerințele specifică instruire inițială de conștientizare în domeniul securității la angajare, module de instruire bazate pe roluri pentru poziții precum dezvoltatori sau utilizatori cu privilegii ridicate și campanii de conștientizare continue. Mecanismele de livrare includ e-learning, sesiuni conduse de instructor, simulări și active multimedia, cu instruire anuală de reîmprospătare obligatorie sau instruire suplimentară declanșată de incidente sau de schimbări juridice/tehnologice majore. Cerințele detaliate de guvernanță asigură că toți utilizatorii sunt ghidați de conținut educațional accesibil și incluziv, care acoperă teme esențiale precum rezistență la phishing, igiena parolelor și obligații de reglementare. Funcțiile Resurse Umane și Ofițerul-șef pentru securitatea informațiilor (CISO) sunt centrale pentru menținerea înregistrărilor privind finalizarea instruirii, asigurând că noii angajați și persoanele cu schimbări de rol respectă termenele-limită și urmărind finalizarea prin sistemul de management al învățării. Neconformitatea conduce la măsuri disciplinare progresive, de la reamintiri automate până la revocarea accesului și escaladare către Resurse Umane. Simulările de phishing și campaniile de conștientizare periodice sunt obligatorii; rezultatele acestora ghidează rafinarea conținutului și escaladarea reinstruirii țintite acolo unde riscurile sunt observate în mod repetat. Gestionarea excepțiilor este definită printr-un proces documentat de aprobare bazat pe risc, iar politica pune un accent puternic pe cerințe de revizuire și actualizare regulate, actualizări de conținut și pregătire pentru audit, asigurând alinierea continuă cu ISO/IEC 27001, 27002, NIST SP 800-53, GDPR, NIS2, DORA și COBIT 2019. Astfel, politica susține o apărare măsurabilă și în evoluție împotriva vulnerabilităților legate de factorul uman, vitală pentru menținerea rezilienței organizaționale.