GoldenLine
Zaloguj się
Sylwia Bielińska

Sylwia Bielińska prawnik zajmujący
się bezpieczeństwem
informacji,
ochroną...

Temat: ISO 27001

Pracuję w 60-cio osobowej organizacji.Ponieważ mamy duży ruch w zakresie przyjmowania i zwalniania pracowników problemem staje się wypisywanie każdemu początkowych uprawnień do dysku ,poczty, internetu i całości Active Directory .Czy jest możliwe wpisanie do procedur iż te uprawnienia początkowe są bez żadnych dokumentów tj wniosku .
Link do wypowiedziLink

konto usunięte

Temat: ISO 27001

Dość kuriozalny pomysł biorąc pod uwagę iż nikt nie powinien przystępować do przetwarzania jakichkolwiek danych bez odpowiedniego przeszkolenia, po którym to otrzymuje dopiero upoważnienie.
Link do wypowiedziLink
Jakub Bryl

Jakub Bryl Head of Security and
Compliance (CISO) at
Tenthpin | CISM...

Temat: ISO 27001

Dlaczego kuriozalny? Jeśli zostanie przeprowadzona analiza ryzyka związanego z udzielaniem "na start" nowym pracownikom dostępu w pewnym zakresie, i analiza ta wykaże że ryzyko jest akceptowalne (przy danych zyskach biznesowych - przykładowo zaoszczędzony czas pracy IT i przełożonych na wypełnianie wniosków), to dlaczego nie? ISO 20071, poza kilkoma miejscami, niczego nie nakazuje. Ważne jest aby podejmować *świadome*, oparte o analizę ryzyka decyzje. Bezpieczeństwo ma służyć biznesowi, a nie go sztucznie ograniczać.
Link do wypowiedziLink
Sylwia Bielińska

Sylwia Bielińska prawnik zajmujący
się bezpieczeństwem
informacji,
ochroną...

Temat: ISO 27001

Rafał K.:
Dość kuriozalny pomysł biorąc pod uwagę iż nikt nie powinien przystępować do przetwarzania jakichkolwiek danych bez odpowiedniego przeszkolenia, po którym to otrzymuje dopiero upoważnienie.
Niestety moim współpracownikom trudno to zrozumieć. Myślałam o tym od dawna, ale poczekam do audytu. Może uwzględnienie w analizie ryzyka jest dobrym pomysłem.W naszym przypadku upoważnienie do danych osobowych to inny dokument niż wniosek o nadanie uprawnień do poczty, netu,dysku itd. Bardziej obawiam się o wskazania normy, jednak A 7.1.3 nie odnosi się wprost do nadania uprawnień, ale odwołuje do naszych procedur.Do audytu zewnętrznego przygotuję projekt zmian i zapytam o ewentualne uwagi.
Link do wypowiedziLink

konto usunięte

Temat: ISO 27001

Pracownikom przeważnie ciężko zrozumieć coś co z ich perspektywy utrudnia życie. Wszelkie procedury działają tak jak pozwala na to kierownictwo organizacji. Jeżeli nie ma u nich wsparcia, zrozumienia i woli egzekucji to cała gra jest nie warta świeczki, a standardy bezpieczeństwa istnieją jedynie na papierze. Powiem szczerze grubo bym się zastanawiał nad podjęciem współpracy z organizacją która wykazała że dopuszczenie do danych każdego bez odpowiedniego przeszkolenia i udokumentowania jest dla niej korzystne biznesowo.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj