6.4 Proces dyscyplinarny
Kontrola
Proces dyscyplinarny powinien być sformalizowany i zakomunikowany w celu podejmowania działań wobec personelu oraz innych zainteresowanych stron, które naruszyły politykę bezpieczeństwa informacji.
Cel
Zapewnienie, że personel i inne zainteresowane strony rozumieją konsekwencje naruszenia polityki bezpieczeństwa informacji, odstraszanie oraz odpowiednie postępowanie wobec osób, które dopuściły się naruszenia.
Wytyczne
Proces dyscyplinarny nie powinien być inicjowany bez wcześniejszego zweryfikowania, że doszło do naruszenia polityki bezpieczeństwa informacji (zob. 5.28).
Formalny proces dyscyplinarny powinien obejmować stopniowane reakcje, uwzględniające takie czynniki jak:
- a) charakter (kto, co, kiedy, jak) oraz powaga naruszenia i jego konsekwencje;
- b) czy naruszenie było celowe (złośliwe) czy niezamierzone (przypadkowe);
- c) czy było to pierwsze, czy powtarzające się naruszenie;
- d) czy osoba naruszająca politykę była odpowiednio przeszkolona.
Reakcja powinna uwzględniać obowiązujące przepisy prawne, regulacje, wymagania kontraktowe i biznesowe oraz inne istotne czynniki. Proces dyscyplinarny powinien również działać odstraszająco, zapobiegając naruszeniom polityki bezpieczeństwa informacji, polityk tematycznych oraz procedur związanych z bezpieczeństwem informacji. Celowe naruszenia polityki bezpieczeństwa mogą wymagać natychmiastowych działań.
Inne informacje
Jeżeli to możliwe, tożsamość osób poddanych postępowaniu dyscyplinarnemu powinna być chroniona zgodnie z obowiązującymi wymaganiami.
Osoby, które wykazują wzorowe zachowanie w zakresie bezpieczeństwa informacji, mogą być nagradzane w celu promowania bezpieczeństwa informacji i zachęcania do dobrych praktyk.