Biztonsági szabályzat minta, ingyen?
Egy kis cégnél dolgozom és a főnök megkért, hogy csináljak egy informatikai biztonsági szabályzatot, de még sosem csináltam ilyet, gondolom formálisan kellene megfogalmazni benne mindent, amihez nekem nincs se időm, se türelmem (és nem is az én feladatom lenne, de mindegy).
Ilyesmi mintára gondolok pl:
csak ingyenesre. Szerkeszthető, ad egy útirányt, stb...
Ennek elkészítése kb. egy külön szakma (ha azt tartalmilag és rendszerszinten is el kell fogadni és használni, beépíteni a működésbe). Le lehet másokét másolni, de ami X cégre igaz, nem biztos hogy Y-ra is az lesz. A címeken és néhány tézismondaton kívül a saját működésre kell szabni a tartalmát olyan munkatársakkal és vezetőkkel, akik konkrétan az adott rendszerben dolgoznak, és leírják annak működését és működtetését. Ezt pedig egyedül, hozzáértés nélkül nem is ajánlott megcsinálni, hacsak nem látszatmunkának és látszszabályozásnak kell, egy dokumentum a fiókba, amiről elmondják hogy van. ISO 27001-es szabványnál elvárás ez a szabályzat, de azt "kis" cégek nem szokták alkalmazni, a nagyoknak/kal pedig megcsinálja a megbízott szakértő, aki tudja mi a tartalma és elvárása.
Információbiztonsági szabályzat a neve, erre keresve van fent néhány közérdekből nyilvános adatként megosztott példány mintának. Ezekből lehetne ugyan szemezgetni, de ha életbe lép a szabályozás, akkor azt be is kell tartani, ergo tudnod kell hogy nem emelsz át hülyeséget vagy kivitelezhetetlen dolgokat, vagy bármit amit nem is értesz miről szól.
#1 Sajnos nem önszántamból vállaltam el.
Tipikus magyar vállalkozó, "munkaerőhiány van a gépemnél, te informatikával is foglalkozol, csináld meg ezt vagy ki vagy rúgva".
Aláírattam a nagy fejessel egy nyilatkozatot, amiben elismeri, ha valami hiba lesz a szabályzatban, vagy valami nem megfelelő, az nem az én felelősségem, hanem az övé. 2 független tanúval, fotózva, több másolattal, ügyvéd előtt, szóval ha valami nem lesz oké, ő a felelős, nem én.
Tudom, hogy ez nehéz téma, de a szerződés ellenében, teljesen őszintén lesz*rom hogy hibás lesz vagy sem. Ezt akarja, hát ezt kapja.
Az baj, hogy nem csak egy IBSZ-t kaptál a nyakadba. Mert ahhoz hogy a szabályzatok struktúrájába illeszkedjen, azoknak egymással is összhangban kell lenniük. Az IBSZ érinti például az adatkezelési szabályzatot, az incidenskezelésit, a munkahelyi ellenőrzésit (ha van szolgáltatási kör és ehhez kapcsolódóan minőségirányítás, azt is). Ezek - vagy lustaságból, vagy hogy ne legyen kétszer és véletlenül másféleképpen, ellentmondásosan ugyanazt - pedig keresztbe-kasul egymásra hivatkoznak oda-vissza.
Ha van/lesz IBSZ, akkor van, vagy kell legyen a többi is. És ezek mind ilyen fajsúlyos 20-50-70+ oldalas szörnyek, amit meg is kell tartalommal tölteni, és egyeztetni hogy minden stimmel.
Ingyenes minta azért nincs a neten, mert egy ilyen komplex rendszer összerakása (tudás, ráfordított idő) több százezres, milliós összegű kiadás, hogy szakember csinálja, ők pedig nyilván nem fogják felrakni azt amiből pénzt keresnek. Ezért általában a neten lévő ingyenes minták tartalmilag el sem fogadhatók, annyira rosszak. Te pedig ezt laikusként csinálod 'ingyen', és még ki tudja hány része fog a nyakadba szakadni (ha a többi szabályzat megvan, akkor azt kell bogarászgatni, hogy egyezzenek az eljárások és tartalmak, mert gondolom 4 évvel a GDPR határidő után ezek már vannak - ha nincs, az nagyobb szívás). A felelősséget lehet kihúztad, de a szarakodás vele és a stressz rajtad maradt.
Én valamelyik publikus, neten lévőt herélném ki az általános, bárkire érvényesíthető szöveget meghagyva. Így szinte csak törölni kell a szövegből, esetleg néhány saját cégre érvényes adatot átírva.
Kapcsolódó kérdések:
Minden jog fenntartva © 2024, www.gyakorikerdesek.hu
GYIK | Szabályzat | Jogi nyilatkozat | Adatvédelem | Cookie beállítások | WebMinute Kft. | Facebook | Kapcsolat: info(kukac)gyakorikerdesek.hu
Ha kifogással szeretne élni valamely tartalommal kapcsolatban, kérjük jelezze e-mailes elérhetőségünkön!