يوضح هذا المثال المتعلق بسياسة الموارد البشرية المتعلقة بالأمن كيفية معالجة تكنولوجيا معلومات الموظف. الهدف هو التأكد من أن جميع الموظفين على دراية بأفضل الممارسات المستخدمة لحماية المعلومات وكيفية ضمان الاستخدام المناسب لمعدات الشبكات الخاصة بهم ، وفقًا لقواعد المنظمة ومعاييرها وإرشاداتها.
بينما تغطي هذه الوثيقة العديد من القواعد والمعايير والإرشادات ، إلا أنها ليست شاملة. لذلك ، يجب على مسؤولي الموارد البشرية والموظفين والمقاولين والأطراف الثالثة توخي العناية الواجبة فيما يتعلق بكيفية التعامل مع تكنولوجيا معلومات الموظف.
يجب أن يتلقى الموظفون الجدد تدريبًا على أمن المعلومات وتحديثات توعوية من حين لآخر لتعزيز يقظة الموظفين داخل الشركة. تضمن هذه الأنشطة أن يفهم الموظفون ويتحملون المسؤولية عن معلومات الشركة ومواردها.
يجب توضيح الإجراءات الدنيا التالية وتنفيذها.
- لا يُسمح للموظف بتنزيل و / أو تثبيت برامج غير مصرح بها على أجهزة كمبيوتر المؤسسة ولا ينبغي له الاتصال بالشبكة بأجهزة غير مصرح بها.
- لا يُسمح للموظف بعرقلة التشغيل السليم لأدوات الحماية بما في ذلك برامج مكافحة الفيروسات وشاشات التوقف وما إلى ذلك.
- لا يسمح للموظف بالوصول إلى المواقع المحظورة عبر الإنترنت.
- يجب على الموظفين إبلاغ رئيسهم المباشر وإدارة تكنولوجيا المعلومات بأي حادث أمني أو عطل يواجهونه.
- يجب إرشاد الموظف إلى إنشاء كلمات مرور قوية وتخزين كلمات مرور مناسبة. بالإضافة إلى ذلك ، يجب أن تنتهي صلاحية كلمة المرور بعد فترة زمنية معينة اعتمادًا على حساسية الوصول.
- عندما يقوم موظف بنقل الأدوار أو تغييرها داخل المؤسسة ، يجب تحديث امتيازات الوصول الخاصة به وفقًا لذلك.
- عند إنهاء موظف ، يجب تعليق وصول الموظف إلى موارد التكنولوجيا على الفور.
- بمجرد إبلاغ الموظف بالإنهاء ، لا ينبغي السماح له بالعودة إلى مكتبه ولكن يجب مرافقته على الفور إلى خارج المبنى.
- يجب أن يكون لدى قسم تكنولوجيا المعلومات قائمة بجميع حسابات المستخدمين وتعليق الحسابات المناسبة على الفور.
- يجب فحص ملفات السجل بشكل روتيني للتأكد من تعليق جميع حسابات الموظفين.
- يجب أن يكون المشرف مسؤولاً عن مراجعة جميع المعلومات الإلكترونية للموظفين والتخلص منها أو إعادة توجيهها إلى من يحل محلهم.
- يجب أن يكون المشرف مسؤولاً عن إعادة جميع بطاقات وصول الموظفين وشارات الهوية والأدلة التي تم إنهاؤها.
- يجب أن يكون المشرف مسؤولاً عن إعادة جميع المعدات الإلكترونية المملوكة للشركة الصادرة إلى الموظف المنتهية خدمته بما في ذلك أجهزة الكمبيوتر المحمولة والبطاقات اللاسلكية والهواتف المحمولة وأجهزة المساعد الرقمي الشخصي.
يجب تطوير ونشر عملية تأديبية رسمية تتعلق بأي وجميع المستخدمين الذين ينتهكون قواعد الأمان داخل المنظمة.
من أجل ضمان أن المنظمة ليست مسؤولة أخلاقيا أو قانونيا عن سوء السلوك ، يجب معاملة أي موظف متهم بنشاط ضار على قدم المساواة وعدم منحه معاملة تفضيلية. أيضًا ، يجب أن يفحص أي تحقيق في سلوك الموظف المشبوه جميع الحقائق الجوهرية.