Профессиональной подготовки
Все сотрудники организации и, в соответствующих случаях, подрядчики должны получить соответствующее представление и регулярные обновления в области организационных процедур по ИБ, а также касающихся их должностных обязанностей.
Программа по вопросам безопасности должна стремиться сделать сотрудников и, в
соответствующих случаях, подрядчиков осведомлеными о своих обязанностях по
обеспечению информационной безопасности и средствах, с помощью которых эти
обязанности реализуются.
Программа информирования по информационной безопасности должна быть построена на
основе политики информационной безопасности организации и соответствующих процедур, принимать во внимание информацию организации о защите и элементы управления, которые были реализованы для защиты информации. Программа осведомленности должны включать в себя ряд информационно-просветительских мероприятий, таких как "день информационной безопасности" или выдачу буклетов, или посредством рассылки.
Программа должна планироваться с учетом обязанностей сотрудников в организации и, в
соответствующих случаях, на ожиданий организации по отношению к подрядчикам.
Деятельность в рамках программы информирования должна быть запланирована на
длительный период времени, быть регулярной, так чтобы донести требования ИБ до новых сотрудников и подрядчиков. Программа также должна регулярно обновляться, чтобы соответствовать организационной политике и процедурам, и должна строиться на уроках, извлеченных из инцидентов информационной безопасности.
Подготовка должна быть выполнена в соответствии с требованиями ИБ в организации. Обучение может быть реализовано различными средствами доставки, очное
обучение, дистанционное обучение, через веб-сайты для самостоятельного обучения и т.д.
Образование в области ИБ и подготовка должна такие аспекты как:
а) заявление о приверженности руководства к информации в рамках всей организации;
б) ознакомление о соблюдении правил безопасности , применительно к ИБ, в
соответствии с политикой, стандартами, законами, постановлениям, договорами и
соглашениями;
в) личная ответственность за свои собственные действия и бездействия, и общие
обязанности по отношению к обеспечению или защите информации, принадлежащей
организации и третьим сторонам;
г) Основные процедуры информационной безопасности (например, виды инцидентов
ИБ) и базовые элементы управления (такие как пароль безопасности, вредоносные
элементы, чистый стол);
е) контактные данные и ресурсы для получения дополнительной информации и
консультации по вопросам информационной безопасности, в том числе дополнительного
образования ИБ и учебные материалы.
Обучение по ИБ и соотвествующая подготовка должна быть периодична. Первоначальное
обучение относится к новым сотрудниками или к сотрудникам перешедшим на другую
позицию в организации с существенно различными требованиями к информационной
безопасности.
Организация должна разработать программу обучения для проведения эффективного
обучения и подготовки. Программа должна соответствовать с политике информационной
безопасности организации и соответствующим процедурам, принимать во внимание
информацию об организации защиту и элементы управления, которые были реализованы для защиты информации. Программа должна рассмотреть различные формы образования и обучения, например, лекции или самостоятельное изучение.
При создании информационно-просветительской программы, важно не только,
сосредоточиться на «что» и «как», но и «почему». Важно, что бы сотрудники понимали цели информационной безопасности и риски потенциального воздействия, положительные или отрицательные, в отношении собственного поведения.
Осведомленность, образование и обучение могут быть частью, или проводятся в составе
других учебных мероприятий, например общего ИТ образования или общего обучения по
безопасности. Понимание, образование и подготовка кадров должна быть пригодна в
отношение ролям личности, обязанностям и навыкам.
Оценка усвоенного материала работником может проводиться в конце обучения,
самоподготовки и т.п. для проверки усвоенных знаний.
Корпоративное управление
Должен быть формализован доведен дисциплинарный процесс, чтобы принять меры против сотрудников, которые совершили нарушение информационной безопасности.
Дисциплинарный процесс не должен быть начат без предварительной проверки, которая
выявила нарушение информационной безопасности.
Формально дисциплинарный процесс должен обеспечить правильное и справедливое
отношение к сотрудникам, которые подозреваются в совершении нарушения информационной безопасности. Дисциплинарный процесс должен принять во внимание
такие факторы, как характер и тяжесть нарушения и его влияние на бизнес, первое или
повторное нарушение должным образом изучено, соответствующее законодательство,
хозяйственные договоры и другие факторы.
Дисциплинарный процесс также должен быть использован в качестве сдерживающего
фактора для предотвращения нарушений политики и процедур ИБ организации,а также
любых других нарушений информационной безопасности. Умышленные нарушения требуют немедленных действий.
Дисциплинарный процесс может также стать мотивацией или стимулом, если положительные санкции определяются для примерного поведения в отношении информационной безопасности.