6. System zarządzania bezpieczeństwem informacji (ISMS, SZBI)

6.6. Bezpieczeństwo zasobów ludzkich

Podmioty są również zobowiązane do dbania o bezpieczeństwo zasobów ludzkich jako jednego z aktywów w ramach ISMS. Jak wspomniano wcześniej, człowiek jest zwykle najsłabszym ogniwem w systemie bezpieczeństwa cybernetycznego. W szczególności podmioty te są zobowiązane do:

·      Ustanowienia planu rozwoju świadomości bezpieczeństwa w celu zapewnienia odpowiednich szkoleń i poprawy świadomości bezpieczeństwa,

Plan ten obejmuje formę, treść i zakres:

-       szkolenia użytkowników, administratorów, osób pełniących role związane z bezpieczeństwem oraz wykonawców w zakresie ich obowiązków i polityki bezpieczeństwa,

-       niezbędnego teoretycznego i praktycznego szkolenia użytkowników, administratorów i osób pełniących role związane z bezpieczeństwem.

·      wskazania osób odpowiedzialnych za realizację poszczególnych działań wymienionych w planie,

·      zapewnienia, aby użytkownicy, administratorzy, osoby pełniące role związane z bezpieczeństwem oraz wykonawcy byli informowani o swoich obowiązkach i polityce bezpieczeństwa poprzez szkolenia wstępne i regularne,

·      zapewnienia regularnych szkoleń dla osób pełniących funkcje związane z bezpieczeństwem,

·      zapewnienia regularnych szkoleń i weryfikacji świadomości bezpieczeństwa pracowników zgodnie z ich opisem stanowiska pracy,

·      zapewnienia, że użytkownicy, administratorzy i osoby pełniące role związane z bezpieczeństwem są monitorowani pod kątem zgodności z polityką bezpieczeństwa,

·      w przypadku zakończenia stosunku umownego z administratorami i osobami pełniącymi role związane z bezpieczeństwem zapewnienia przekazania obowiązków,

·      ocenienia skuteczności planu rozwoju świadomości bezpieczeństwa, przeprowadzonych szkoleń i innych działań związanych z podnoszeniem świadomości bezpieczeństwa,

·      określenia zasad i procedur postępowania w przypadku naruszenia ustalonych zasad bezpieczeństwa przez użytkowników, administratorów i osoby pełniące role związane z bezpieczeństwem.

Istnieje obowiązek prowadzenia rejestru powyższych szkoleń, zawierającego temat szkolenia oraz listę osób, które odbyły szkolenie.

Przykład: ponieważ standardowe szkolenia, które są obowiązkowe tylko dla użytkowników, nie okazują się zbyt skuteczne, niektóre organizacje uciekają się do metod sprawdzających
faktyczne zrozumienie informacji przedstawionych na szkoleniu. Może to być np. wysyłanie wiadomości phishingowych do użytkowników po sesji szkoleniowej
poświęconej temu zagadnieniu. Następnie organizacja monitoruje, ilu użytkowników odpowiedziało na atak przez pomyłkę. Należy jednak zauważyć, że takie testy muszą być dobrze przemyślane i nie powinno się w ich planowaniu
pomijać doradztwa prawnego, aby ocenić, czy zastosowany test nie będzie np. nadmiernym naruszeniem prywatności pracownika.