Політика навчання персоналу інформаційної безпеки
П - 8
версія 4.0
ТОВ "Бінотел"
Затверджено:
Генеральний директор
Корзун А.В.
20 травня 2021 року
Переглянуто 15 березня 2022 року
Переглянуто 20 березня 2023 року
Переглянуто 21 березня 2024 року
1. Терміни, абревіатури та скорочення
СУІБ – система управління інформаційної безпеки
КІБ – комітет з інформаційної безпеки.
2. Призначення та сфера застосування
Політика навчання персоналу в галузі інформаційної безпеки (далі – Політика) – встановлюють стратегію управління ризиками, пов'язаними з відсутністю поінформованості, комунікації та навчання співробітників у галузі інформаційної безпеки. Ці ризики керуються шляхом створення ефективної програми підвищення обізнаності з інформаційною безпекою.
Ця Політика поширюється на всіх співробітників Компанії, і всі співробітники несуть відповідальність за дотримання цієї Політики.
3. Нормативні посилання
Політика розроблена відповідно до вимог чинних документів:
• Міжнародний стандарт ISO/IEC 27001:2013 «Інформаційні технології. Методи захисту. Системи керування інформаційною безпекою. Вимоги»;
• Міжнародний стандарт ISO/IEC 27002:2013 «Інформаційні технології. Методи захисту. Практичні правила управління інформаційною безпекою».
4. Загальні положення
Компанія повинна проводити базове навчання з питань інформаційної безпеки для всіх співробітників у рамках початкового навчання нових співробітників та щорічно для всіх співробітників, а також забезпечувати розуміння користувачами політик та процедур безпеки. Крім того, всі співробітники повинні бути навчені тому, як виявляти, повідомляти та запобігати потенційним інцидентам безпеки.
Відповідно до програми навчання співробітників, Компанія має вести записи навчання: документувати та контролювати окремі навчальні заходи з безпеки, включаючи базове навчання з питань безпеки та навчання безпеки конкретних інформаційних активів, а також зберігати записи про індивідуальне навчання протягом року.
5. Програма навчання
Метою програми навчання в галузі інформаційної безпеки є ознайомлення користувачів з поточними загрозами кібербезпеки, що виникають, та пропозиція їм простих кроків, які вони можуть зробити для захисту систем і даних Компанії. Ця програма також надає нагадування про: політиків та процедур Компанії, які допомагають уникати, запобігати або пом'якшувати кіберзагрози.
Програма повинна готуватися на щорічній основі та включати останні тенденції в галузі безпеки, кібер-тенденції, забезпечення безпеки у воєнний час, політику компанії та галузеві правила.
Програма повинна використовувати різні методи передачі інформації, щоб бути найбільш ефективними: нагадування електронною поштою, банери, онлайн-курси, вікторини і т.д.
Вимоги до навчання нових співробітників
Усі нові співробітники Компанії протягом десяти (10) робочих днів з початку роботи повинні пройти початкове навчання політикам та процедурам інформаційної безпеки. Після закінчення навчання кожен співробітник повинен ухвалити політики та процедури інформаційної безпеки, підтвердивши, що він прочитав і зрозумів їх, і згоден їх дотримуватися.
Вимоги до регулярного навчання
Усі співробітники Компанії мають успішно проходити щорічні курси підвищення кваліфікації з політик та процедур інформаційної безпеки. Ці заняття повинні проводитись відповідно до затвердженої програми навчання інформаційної безпеки.
Незалежно від початкового або щорічного навчання, визначеного вище, якщо були випущені нові політики та процедури інформаційної безпеки або були оновлені існуючі, всі користувачі повинні ухвалити нові або оновлені політики та процедури протягом 10 робочих днів з моменту їх випуску.
Оцінка та огляд програми навчання інформаційної безпеки
Програма має щорічно перевірятися КІБ, щоб допомогти визначити її ефективність та відповідність політикам інформаційної безпеки.
6. Ролі та відповідальності
Усі співробітники несуть персональну відповідальність за розуміння та дотримання всіх політик та процедур, пов'язаних з інформаційною безпекою.
КІБ несе відповідальність за забезпечення розуміння та дотримання всіма співробітниками політик та процедур, пов'язаних з безпекою, а також за розробку та підтримку програми навчання співробітників інформаційної безпеки.
Нові співробітники зобов'язані пройти тренінг з інформаційної безпеки протягом 10 днів з початку роботи.
Усі співробітники повинні проходити постійне навчання безпеки відповідно до вимог КІБ.
Усі співробітники несуть відповідальність за ознайомлення та виконання будь-яких інструкцій, що містяться у матеріалах безпеки.
Керівники підрозділів несуть відповідальність за те, щоб їхні співробітники брали участь у заходах щодо підвищення обізнаності, навчання та освітньої діяльності у сфері інформаційної безпеки.
Усі користувачі несуть особисту відповідальність за постійне дотримання політик, законів та постанов у сфері інформаційної безпеки.
7. Перегляд документа
Перегляд Політики відбувається за потребою, але не рідше ніж один раз на рік від дати затвердження.