Definisanje korporativne politike za bezbednost
Organizacija mora da obezbedi jasna očekivanja zaposlenih u pogledu bezbednosti informacija, imovine i poslovanja. Takva očekivanja se obezbeđuju definisanjem minimalnog seta ishoda učenja za koje su odgovorni, kao i opis njihovih uloga i odgovornosti. Samo tada se može očekivati da će zaposleni biti odgovoran za razumevanje šta treba da se uradi kako bi zaštitili podatke i imovinu preduzeća. Odgovornost za zaštitu informacija i imovine mora biti eksplicitna na svim nivoima u organizaciji. Takva odgovornost je neophodna da bi se obezbedile odgovarajuća bezbednost podataka u okviru organizacije, i bezbednost u komunikaciji sa drugim organizacijama i privatnim provajderima usluga sa kojima se podaci dele.
Opseg:
Izvršni menadžment organizacije mora da odobri korporativno bezbednosnu politiku upravljanja. On propisuje osnovne principe, i minimalne obavezne zahteve i odgovornosti za zaštitu ljudi, imovine i informacija. Minimalni obavezni uslovi su izjave o ciljevima koje treba postići iz perspektive višeg rukovodstva.Funkcionalne (sektorske) odgovornosti se definišu kako bi se osiguralo postizanje ciljeva. Upravni odbor na čelu sa izvršnim direktorima je odgovoran za sprovođenje bezbednosne politike kao i svih ostalih politika koje utiču na celokupnu organizaciju. Operativne politike i procedure treba da omoguće implementaciju korporativno bezbednosnu politike, i definišu politike i procedure, kako bi se obezbedilo njeno dosledno tumačenje i sprovođenje na tehničkom nivou. Svi rukovodioci i zaposleni su obavezni da prate operativne politike i procedure.
Grupe koje je potrebno uključiti:
Grupe koje je potrebno konsultovati:
Prepreke za kompanije da preuzmu mere za unapređenje korporativne bezbednosti