Знают ли конкуренты ваши коммерческие тайны?

1. В компании на уровне высшего руководства учрежден орган, принимающий решения по вопросам безопасности. Функциональные обязанности внутри него четко разграничены, каждый менеджер осознает и принимает ответственность за внедрение адекватных мер для обеспечения информационной безопасности.

а. До подобного решения наш бизнес еще не дорос (0 баллов).
в. В ближайшем будущем планируем создать (1 балл).
с. Ответственность распределяется нередко между членами совета директоров, когда возникает в этом острая необходимость (2 балла).
d. Эти функции полностью возложены на службу безопасности (3 балла).
e. Да, подобный орган создан в компании (4 балла).
f. Да, подобный орган создан и функционирует, ориентируясь на передовой опыт западных компаний (5 баллов).

2. Ведется и классифицируется единая база информационных активов, которая регулярно обновляется. Каждый актив закреплен за конкретным должностным лицом, а также указан сотрудник, ответственный за безопасность этой информации.

a. А зачем это нужно? (0 баллов).
b. Планирую в ближайшем будущем этим заняться (1 балл).
c. База информационных активов есть. Но она не обновляется (2 балла).
d. Эта задача отдана на откуп службе безопасности (3 балла).
e. Так оно и есть (4 балла).
f. База информационных активов создана, разработаны правила ее формирования и обновления (5 баллов).

3. В компании сформирована эффективная служба безопасности. Разработаны и совершенствуются регламенты и политика информационной безопасности. Руководство регулярно получает полные отчеты о состоянии системы обеспечения информационной безопасности.

a. У нас и скрывать-то особенно нечего (0 баллов).
b. Службы безопасности пока нет, мы только планируем начать набирать людей (1 балл).
c. В случае необходимости мы привлекаем профессионалов со стороны (2 балла).
d. Есть служба охраны, отчасти она взяла на себя выполнение этих функций (3 балла).
e. Служба безопасности создана. Но отчетов или регламентов ни разу не видел (4 балла).
f. Служба безопасности, а также внутренняя нормативная база созданы и регулярно оцениваются (5 баллов).

4. Разработана, задокументирована и реализуется стратегия информационной безопасности. А именно: внедрены процессы идентификации, оценки и управления операционными и финансовыми рисками; функционирует система регистрации и хранения ключевых рисков; проводится внутренний аудит системы управления рисками и т.д.

a. Зачем все так усложнять? (0 баллов).
b. В этом году планировали разработать все вышеописанное (1 балл).
c. Некоторые из предложенных процессов и процедур уже реализованы (2 балла).
d. Всем этим занимается служба безопасности. Она утверждает, что все перечисленное выполняется (3 балла).
e. Мы разработали стратегию, но заниматься еще и аудитом информационных рисков нет ни желания, ни средств (4 балла).
f. Все верно (5 баллов).

5. Требования безопасности отражены в конт¬р¬акте найма сотрудников, а также в договорах с третьими лицами или организациями. В компании определена мера ответственности за нарушение правил или политики информационной безопасности.

a. Не стоит людей пугать без необходимости (0 баллов).
b. Нам еще только предстоит это сделать (1 балл).
c. В случае острой необходимости специалисты службы безопасности проводят разъяснительные беседы (2 балла).
d. Сотрудники ознакомлены с правилами соблюдения коммерческой тайны. С контрагентами подобная работа ведется избирательно (3 балла).
e. Для нашей компании это нормальная практика (4 балла).
f. Все перечисленное сделано. Кроме того, проводится аттестация сотрудников по безопасности (5 баллов).

6. Привилегии каждого сотрудника достаточны только для выполнения его бизнес-функций. Сотрудники отдела безопасности и IT-департамента собирают, анализируют и хранят журналы регистрации доступа ко всем информационным активам предприятия.

a. Не уверен, что это оправданно. Затраты на IT-отдел будут чрезмерными (0 баллов).
b. В полном объеме мы этого не делаем (1 балл).
c. Мы собираем данные о том, к каким информационным ресурсам компании обращался тот или иной пользователь, только если необходимо разобраться в каком-то неприятном инциденте (2 балла).
d. Журналы регистрации не ведутся. Остальное верно (3 балла).
e. Насколько я знаю, всем этим регулярно занимается IT-отдел (4 балла).
f. Описанные работы проводятся и подкреплены соответствующими регламентами и правилами (5 баллов).