Security Awareness Policy

Topics: Security, Computer security Pages: 6 (1733 words) Published: April 18, 2015
Security Awareness Policy ​
(statement 1)
The Information Security (IS) team is responsible for promoting on­going security awareness  to all information system users.  A Security Awareness program must exist to establish formal  methods by which secure practices are communicated throughout the corporation.     

Security guidance must exist in the form of formal written policies and procedures that define  the principles of secure information system use and the responsibility of users to follow them.  Security awareness articles, posters, and bulletins should be periodically created and  distributed throughout the corporation to educate employees about new and existing threats  to security and how to cope with them.  

 
All employees are responsible for promptly reporting to their management and Information  Systems (IS) management any suspected insecure conditions or security violations they  encounter.  All employees must be made aware of their security responsibilities on their first  day of employment as part of the new­hire orientation program.  All employees must comply  with IS security policies by signing a compliance agreement that is retained in their personnel  file.   

 
IS Security policies and procedures must remain current and readily available (e.g., via the  intranet site) for Information System users to review and understand them.  Information  Systems (IS) management must ensure that the terms and conditions of authorized system  access are clearly communicated to potential users of those systems before access is  granted.  A formal process must exist to document that appropriate management was aware  of and approved all access and privileges granted to corporate system users.   

 

Justification:
Organizational security awareness is an essential part of the corporate security posture.  Information is one of the most valuable assets owned by the corporation, and securing  information is the responsibility of every employee. Many security breaches might easily have  been avoided if everyone in the corporation understood the importance of maintaining the  security of corporate assets. 

 
The security awareness policy is intended to ensure that employees understand how  corporate information assets are to be protected. Although senior management does not  believe that the breach originated from within the organization, drafting a formal security  awareness policy, ensures that employees obtain the necessary skills and training to spot  suspicious activities throughout the organization.  

 
HIPAA, which regulates the protection of patient health information (PHI), defines the  requirement for security awareness and training for all members of the workforce (including 

management). (HIPAA, 2014) The various regulations and safeguards outlined under HIPAA  see to the proper care and exchange of patient health information (PHI) (e.g., patient records  and other sensitive data). The creation of a sound security awareness program ensures that  everyone understands the integral roles they play in preventing and maintaining security  throughout the corporation.  

 
 

Remote Access Policy ​
(statement 2)
All users who remotely access corporate systems are subject to two (2) factor authentication.  Remote access to the Company’s resources should be limited to authorized entry points (e.g.,  connection to centralized communication servers).   Modems and remote access server  software not specifically approved by IS infrastructure management are not allowed on  desktop computers and workstations within the Company’s networks.  Computers remotely  accessing the Company network must not simultaneously be connected to the Internet  through an outside provider.  A Virtual Private Network (VPN) session is the only  remote­access user session conducted over the Internet that is approved for use by the  corporation.  Remote access of sensitive information (i.e. financial reports, patient health ...

References: HIPAA,. (2014). Retrieved 19 November 2014, from 
http://www.hhs.gov/ocr/privacy/hipaa/administrative/securityrule/securityrulepdf.pdf 
 
PCI DSS,. (2014). Retrieved 19 November 2014, from 
PCI DSS,. (2014). Retrieved 19 November 2014, from 
https://www.pcisecuritystandards.org/documents/pci_dss_v2.pdf 
 
NIST,. (2014). Retrieved 19 November 2014, from 
NIST,. (2014). Retrieved 19 November 2014, from 
http://csrc.nist.gov/publications/nistpubs/800­92/SP800­92.pdf 
 
NIST,. (2014). Retrieved 19 November 2014, from 
PCI DSS,. (2014). Retrieved 19 November 2014, from 
https://www.pcisecuritystandards.org/documents/PCI_DSS_v3.pdf 
 
ISO,. (2005). ISO/IEC 27002:2005(E), Information technology — Security techniques — Code 
 
ISO,. (2013). ISO/IEC FDIS 27001:2013(E), Information technology — Security techniques — 
Information security management systems — Requirements. (2013). Retrieved from 
http://www.iso.org/ 
 
Qcode.co.uk,. (2014). PCI DSS Requirement 8: Part 3 – User & Password Policy « Qcode 
 
Software, S. (2014). HIPAA Compliance Checklist for Password Security. 
 
Webdrive.com,. (2014). Terminology. Retrieved 24 November 2014, from 
Whaley, A. (2012). Are Your Passwords Secure AND HIPAA Compliant?. Manage My 
Practice. Retrieved 19 November 2014, from 
Continue Reading

Please join StudyMode to read the full document

You May Also Find These Documents Helpful

  • IT 244 Week 9 Final Project Information Security Policy Essay
  • IT255 Project 1 Essay
  • General Security Policy Essay
  • Information Security Policy Essay
  • Security paper
  • Data Security Essay
  • security management practices Essay
  • Aircraft Solutions: Security Assessments and Recommendations Essay

Become a StudyMode Member

Sign Up - It's Free