Infoturbe poliitika dokumendi koostamine

Koolidele vajalikud koondatud dokumendid
Vasta
Milana
Postitusi: 47
Liitunud: E Nov 12, 2018 2:14 pm

Infoturbe poliitika dokumendi koostamine

Postitus Postitas Milana » R Aug 09, 2019 10:35 am

Alljärgnevalt loetelu teemadest (peatükkidest), mis peaks olema kooli infoturbe poliitika dokumendis.
Infoturbepoliitika dokument peab sätestama asutuse infoturbe eesmärgid ning kirjeldama üldise turbekorralduse. Turbepoliitika peaks põhinema ISKE (Infosüsteemide Kolmeastmelise Etalonturbe Süsteemi) suuniste, mudelite, metoodikate ja mõiste kasutamisel, vt ka Vabariigi Valitsuse määrus „Infosüsteemide turvameetmete süsteem“, 20.12.2007 nr 252
Infoturbe poliitika dokument koos arvutite või arvutivõrgu kasutamise eeskirjade dokumendiga peaks vastama asutuse vaates asjakohastele ISKE B.1 moodulitele (kirjeldama protseduurireeglid moodulite meetmete rakendamiseks).

1. Põhimõisted ja rakendusala.
Siin määrata ära dokumendis kasutatavad põhimõisted (sh kindlasti infovara ja infoturbe intsidendi mõiste), rakendamisala (sh töötajate kohustus seda järgida). Tuua välja tegevused infovarade kaitsmiseks ning vajadusel ka erandite kinnitamise kord.

2. Infoturbe juhtimine ja töökorraldus.
Siin määrata vastutus infoturbe korraldamise eest (nt kas on olemas infoturbe juht), tuua välja vastutajad eri liiki infovarade kohta (IKT taristu, infosüsteemid, arvutid jne) ning asendamiste põhimõtted. Oluline lõik siin peatüks on infoturbe intsidentidest teavitamise korraldus.

3. Riskianalüüs ja kontroll
Kirjeldada, kuidas on korraldatud riskihaldus. Võib viidata ISKE ohtude kataloogile. Samuti kirjeldada, kuidas on korraldatud turbemeetmete rakendamise kontrollimine

4. Infovarade loetelu.
Tuua välja asutuse peamised infovarade klassid(liigid) või teha viide dokumendile, kus see loetelu on leitav. Sh tuua välja ka asutuse infovarade füüsilised asukohad. Kirjeldada, kuidas toimub varade arvestus.

5. Turbepoliitikate kirjeldus
Tuua liigiti välja infoturbe poliitika kirjeldus infovarade või oluliste IKT teenuste kohta:
- Kasutajate identifitseerimine ja autoriseerimine
- Kasutajaõiguste haldus (juurdepääsuõigused)
- Info krüpteerimise korraldus
- Logide korraldus ja revisjon
- IKT varade arvestus (inventariseerimine)
- Viirusetõrje kasutamine
- Tarkvara hankimise ja arenduse korraldus
- Arvutivõrgu nõuded
- Telefonikõnede ja fakside kasutamine
- Kaugtöö IKT vahendite abil
- (isiklike) mobiilseadmete kasutamine
- Andmekandjate kasutamine
- Asutuse hoonete füüsiline turve
- Asutusevälise personali kasutamine
Sõltuvalt asutuses spetsiifikast lisada veel punktid, mis täpsustavad:
- Arhiveerimise korraldust
- Andmete hävitamise korraldust
- Asutuse tüüptarkvara või tüüpriistavara nõudeid
- Side ja serveriruumide nõudeid
- Koolitus- ja nõupidamisruumide nõudeid

6. Andmevarunduse korraldus.
Tuua välja andmete ja tarkvara varundamise, varukoopiate hoidmise ja kontrollimise nõuded. Samuti vajadusel nõuded tagavara riistvarale, sideliinidele ja toitelahendusele.
Vajadusel kirjeldada tagavara tööruumide kasutamine

7. Turbepoliitika muudatuste haldus.
Kirjeldada, kuidas toimub turbepoliitika muutmine, samuti kuidas korraldatakse kontrolli ja tagasiside andmist

8. Personali turve
Tuua välja infoturbe valdkonnas personali puudutavad nõuded ja tegevused:
- Tegevused personali valimisel (töölevõtmine)
- Tegevused personali lahkumisel (töölepingu lõpetamisel vms)
- Infoturbe alased teavitused, sh operatiivne suhtlus
- Infoturbe koolituste korraldus

Vasta