Suggerimenti del Sans Institute per una corretta politica di Valutazione Rischio

1.0 Finalità
Abilitare InfoSec nel dare periodiche informazioni sulle valutazioni di rischio (Ras) per determinare aree di vulnerabilità e avviare rimedi appropriati.

2.0 Ambito
Le valutazioni di rischio possono essere condotte su qualsiasi entità all’interno di <Nome della Compagnia> o su qualsiasi entità esterna che abbia sottoscritto un Contratto di Parte Terza con la compagnia. Le Ras possono essere condotte su qualsiasi sistema informativo, da includere applicazioni, servizi e reti, e qualsiasi processo o procedura da cui questi sistemi sono amministrati o / mantenuti.

3.0 Politica
L’esecuzione, lo sviluppo e l’impianto dei programmi di riparazione sarà di responsabilità congiunta di InfoSec e la sezione responsabile dei sistemi. Prevedibilmente i dipendenti coopereranno pienamente con ogni RA che sarà condotta sui sistemi di cui sono tenuti a rendere conto. Inoltre i dipendenti lavoreranno con il Team di valutazione rischio della InfoSec per lo sviluppo di un piano di recupero.

4.0 Processo di Valutazione Rischio
Per ulteriori informazioni, vedere il Processo di Valutazione Rischio.

5.0 Applicazione
Il dipendente scoperto aver violato questa politica può essere soggetto ad azione disciplinare, sino ad includere la perdita del posto di lavoro.

6.0 Definizioni

Termini

Definizioni

Entità Qualsiasi unità di lavoro, sezione, gruppo o terza parte, interna od esterna alla compagnia, responsabile del mantenimento del patrimonio della compagnia.
RischioI fattori che potrebbero riguardare la riservatezza, la validità e l’integrità del patrimonio e dei sistemi informativi. InfoSec è responsabile per assicurarne l’integrità, la riservatezza e la validità del patrimonio informativo e di calcolo, rendendo minime l’impatto delle procedure e della politica sulla produttività dell’azienda.

.