Item A7
Controle: A.7 Segurança em recursos humanos
OC: A.7.2 Durante a contratação
A.7.2.2: Conscientização, educação e treinamento em segurança da informação
Controle
Todos os funcionários da organização e, onde pertinente, partes externas devem receber treinamento, educação e conscientização apropriados, e as atualizações regulares das políticas e procedimentos organizacionais relevantes para as suas funções.
O cara tem que memorizar cada OC, imoral! As normas são enormes!
7 Segurança em recursos humanos
7.2.2 Conscientização, educação e treinamento em segurança da informação
Controle
Convém que todos os funcionários da organização e, onde pertinente, partes externas devem recebam treinamento, educação e conscientização apropriados, e as atualizações regulares das políticas e procedimentos organizacionais relevantes para as suas funções.
Diretrizes para implementação
Convém que um programa de conscientização em segurança da informação tenha por objetivo tornar os funcionários e, onde relevante, partes externas, conscientes das suas responsabilidades para a segurança da informação e os meios pelos quais essas responsabilidades são realizadas.
Convém que um programa de conscientização em segurança da informação seja estabelecido alinhado com as políticas e procedimentos ..................
Convém que o programa de conscientização considere um número de atividades de conscientização, tais como, campanhas (por exemplo, dia da segurança da informação) e a publicação de boletins ou folhetos.
Convém que o programa de conscientização seja planejado levando em consideração os papéis a serem desempenhados na organização pelos funcionários e, onde relevante, as expectativas da organização quanto à conscientização das partes externas. Convém que as atividades do programa de conscientização sejam planejadas ao longo do tempo, preferencialmente de forma regular, de tal modo que as atividades sejam repetidas e contemplem novos funcionários e partes externas.
Convém que o programa de conscientização também seja atualizado regularmente, de modo que ele permaneça alinhado com as políticas e os procedimentos da organização, e seja construídos com base nas lições aprendidas dos incidentes de segurança da informação.
Convém que o treinamento em conscientização seja realizado conforme requerido pelo programa de conscientização em segurança da informação da organização. Convém que o treinamento em consientização use diferentes formas de apresentação, tais como, treinamento presencial, treinamento a distância, treinamento baseado em web, autodidata e outros.
Convém que o treinamento e educação em segurança da informação também contemple aspectos gerais, como:
a)declaração do comprometimento da direção com a segurança da informação em toda a organização;
b)a necessidade de tornar conhecido e estar em conformidade com as obrigações .......
c)responsabilidade pessoal por seus próprios atos e omissões.......
d)procedimentos de segurança da informação básicos........
e)pontos de contato e recursos para informações adicionais e orientações sobre questões de segurança da informação, incluindo materiais de treinamento e educação em segurança da informação.
Convém ......
Convém que a organização desenvolva o programa de treinamento e educação com o ....