web-dev-qa-db-ja.com

ITポリシーは取締役会に適用されますか?どのようなポリシーが適用されますか?

ITポリシーを取締役会に適用した経験は何ですか?

共有しているアドバイスはすべての業界で同じである場合とそうでない場合があるため、経験のある国と業界について言及してください。

[編集]

1人の取締役が複数の取締役会/会社に関与することは珍しいことではありません。この場合、両方が同じマシンに適用された場合、その個人が競合するITポリシーを設定している可能性があります。これは最終的に彼らのビジネスのやり方にどのように影響しますか?

5

私はヘルスケアで働いており、ITポリシーを作成しています(とりわけ)。私のすべてのポリシーは、最終決定される前に、企業コンプライアンスチームなどによってレビューされます。ポリシーが承認されると、私がポリシーを最初に保持するのは、ポリシーを要求したか、ポリシーの作成を支援した人です。

私の考えでは、ポリシーの作成を支援した人は、それが機能するかどうかを知るために、最初にそれに対処しなければならない人でなければなりません。パスワードの複雑さの要件を変更したとき、CEOは会議のためにPCから情報を取得する必要がありました。彼は、パスワードポリシーの変更を一時的に免除するのではなく、他のすべての人と同じ基準を維持することを主張しました。

ボード上の誰かが私たちのネットワークに接続されたシステムを使用している場合、彼らはゲストワイヤレスを使用するか、ポリシーに従うことができます。私が作成するすべてのポリシーには例外条項がありますが、例外は書面で確認する必要があります。すべての例外は、例外から30日以内にコンプライアンス監査人に送信され、毎年完全なリストが送信されます。例外は、レビューを強制するために、例外から1年以内に期限切れになります。

文書化され、必要である限り、合理的な例外があっても大丈夫です。それが起こったとき、私はただ実証されるために補償コントロールを必要とします。

5
Wayne

組織内のすべての人がポリシーを遵守する必要があります。そうは言っても、彼らが担当しているので、彼らはポリシーを変更する権利の範囲内にあります。

それらはそれらを変更しないようにポリシーで販売されるべきです。 ITは、取締役会の投資を保護するためにそれを行っています。

編集:組織間で競合するポリシーに関しては、同じポリシーが適用されると言います。外部の請負業者のラップトップをどのように扱いますか?

3
Steve

スティーブに同意します-ただし、コンプライアンス違反の一般的な原因は、取締役または取締役会レベルです。これらの個人は、多くの場合、最新のテクノロジーを求めているか、スタッフよりも自由度や柔軟性を求めており、それを要求できる力を持っているため、情報セキュリティチームは、これらの場合の例外による安全なソリューション。

上級管理職/経営幹部がセキュリティポリシーに完全に賛同している場合、組織は通常、より堅牢で、ガバナンスとコンプライアンスがより簡単に示されますが、より一般的なビジネス組織では、セキュリティに影響を与えずにビジネスを可能にする妥協を行うことが目的です。過度に。

私の経験では、これはヨーロッパ、アメリカ、中東の国々の間、または業界間でそれほど変わりません。重要なのは、上級職の個人は自分のやり方でビジネスをしたいと考えており、通常、彼らが収益を上げれば、彼らのやり方はビジネスに適していると見なされ、情報セキュリティの専門家としての私たちの出番です。

個人が複数のボードに座っている状況は大きな問題です。セキュリティの理想は、明らかに各役割を完全に分離することですが、ディレクターに複数のラップトップを持ち歩くことはほとんどありません。通常は、1つのアカウントを使用し、1台のマシンからすべての電子メールとアクセスを管理します。間違いを犯さないように頼ることになります。

危険な!

仮想マシンによる分離は論理的な次のステップのように思われますが、私はこれを一度しか見たことがありません。これは高レベルで保護できますが、構成などに同意するには、組織間である程度の通信が必要です。

2
Rory Alsop

幸運にも、 ディレクターが個人的に責任を負う 管轄区域で業務を行うことができる場合は、適切な保護に故意に違反したことに対して、彼らがポリシーを遵守したほうがよいと彼らが気付くまで、あなたは彼らにその法律の一部を振ることができます。

2
user185

取締役会のメンバーは、ポリシーが適用される会社のポリシーから逸脱してはなりません。ポリシーは、誰に何が適用され、違反の結果はどうなるかについて明確にする必要があります。ポリシーには、「許可されるか許可されないか」が人の立場と責任に依存するという矛盾した要素が含まれる可能性があります。取締役会は、彼らが答える人に方針を正当化する準備をする必要があります。株主、規制当局など.

ポリシーが関係している場合、自分自身を見つけたくない1つの位置は、ポリシーを回避する際にユーザーを故意に許可/支援する場所です。例外が必要な場合は、それらを文書化します。それでも、それらをポリシーの一部にする方がよいでしょう。取締役会が例外を文書化することに抵抗があり、それでも例外であると主張する場合は、履歴書を磨いてください。

取締役会のメンバーは、規則に従うことに関して他の従業員と何ら変わらないはずです。ただし、法的な制限がない限り、異なる一連のルールを適用するかどうかを決定するのは取締役会の責任です。

彼らに何が求められているかを理解するのは理事会メンバーの責任です。彼らが対立の立場に置かれた場合、彼らは両方の実体に手を差し伸べ、妥協点に到達しようとするべきです。技術的な観点から、最も簡単な解決策は、リソースの完全な分離、つまり2つの別々のマシンです。明らかに、これは最も使いやすいソリューションではありません。私は、彼らが仕事をするために必要なものへのアクセスが制限されている内部マシンへのリモートアクセスを彼らに与えるために撮影しようとしました。私は、個人のマシンからドキュメントを操作できる電子メールアクセスを提供するのが好きではありません。あなたが何をしようとも、それが文書化されていることを確認し、あなたはあなたがしていることをあなたの方針が述べていることをしている。

1
sdanelson