Infomatsiooni lekkimise vältimise meetodite selgitus: millised peaksid olema ettevõtte sisekorraeeskirjade sisu?
Informatsiooni lekkimine võib ettevõtlusele põhjustada saatuslikke kahjustusi. Seetõttu on oluline luua sisemised ennetusmeetmed.
Konkreetselt võib kaaluda selliseid meetmeid nagu ettevõtte sisekorraeeskirjade väljatöötamine ja nende järgi toimimine. Kuid milliseid sisekorraeeskirju peaks täpsemalt välja töötama? Selles artiklis selgitame ettevõtete õigusosakondadele, kuidas vähendada informatsiooni lekkimise riski, luues sisekorraeeskirju.
Mis on infot lekitava sisemise korraeeskirjad?
Infot lekitamine võib juhtuda igal ajal ja igasugustes olukordades. Seetõttu on oluline luua ettevaatlikult sisemised kordaeeskirjad ja olla valmis infot lekitamiseks.
Lisaks, isegi kui juhtub, et info lekitamine toimub, on võimalik minimeerida kahju, mis tuleneb infot lekitamisest, kui järgitakse eelnevalt määratud sisemisi kordaeeskirju.
Põhipoliitika väljatöötamine
Esmalt võib ettevõttena kaaluda põhipoliitika väljatöötamist, et selgitada, millise strateegia alusel käsitletakse infolekkeid.
Põhipoliitikas võib näiteks sisalduda järgmisi punkte:
- Ettevõtte ja juhtkonna vastutusega seotud küsimused
- Seaduste ja muude õigusaktide järgimisega seotud küsimused
- Sisemiste süsteemide loomisega seotud küsimused
- Infohaldusega seotud küsimused
- Töötajatele suunatud tegevustega seotud küsimused
- Infolekke ilmnemisel rakendatavate meetmetega seotud küsimused
- Põhipoliitika regulaarse ülevaatamisega seotud küsimused
Põhipoliitika osas võib lisaks sisemistele reeglitele kaaluda ka sellist lähenemist nagu privaatsuspoliitika, mis teeb põhisuunised avalikuks. Avalikustades oma põhisuunised, saab ettevõte näidata oma kõrget teadlikkust infolekete suhtes, mis võib omakorda aidata parandada sotsiaalset usaldusväärsust.
Siiski, nagu on ilmselge, ei ole põhipoliitika lihtsalt väljatöötamine piisav. On vaja välja töötada põhipoliitika, mis vastab ettevõtte tegelikele oludele, ja on oluline, et põhipoliitika järgi toimuks ka tegelik tegevus.
Seotud artikkel: Mis on olulised punktid privaatsuspoliitika loomisel, võttes arvesse isikuandmete kaitse seadust?[ja]
Teabe kaitse eeskirjad
Ettevõtte sise-eeskirjade sisu võib hõlmata teabe kaitsega seotud sätteid.
Teabe kaitsega seotud sisu võib näiteks hõlmata järgmisi punkte:
Infolekkide riskianalüüs
Kui infolekkide riskianalüüsi ei tehta piisavalt, ei saa te teha asjakohaseid meetmeid riskidega toimetulemiseks. Seetõttu on oluline määratleda infolekkide riskianalüüsi sisu ettevõtte sise-eeskirjades teabe kaitse osana.
Ettevõtte poolt omatava teabe mõistmine ja andmebaasistamine
Kui ettevõte ei mõista täielikult ettevõtte poolt omatavat teavet, on raske teostada piisavat haldamist. Lisaks võimaldab ettevõtte poolt omatava teabe andmebaasistamine teabe haldamist asjakohaselt.
Teabe käitleja määramine
Kui määratlete ettevõtte sise-eeskirjades ettevõtte poolt omatava teabe käitleja, saate piirata teabe kasutamise ulatust miinimumini ja vähendada infolekkide riski.
Teabe avalikustamise ja pakkumise protseduuride määramine
Kui määratlete ettevõtte sise-eeskirjades ettevõtte poolt omatava teabe avalikustamise ja pakkumise protseduurid, toimub protseduuride järgi toimimine. Seetõttu saab vältida olukordi, kus töötajad kasutavad ettevõtte teavet ainult oma otsustusel, ja see võib omakorda aidata vältida infolekkide tekkimist.
Teabe väljaviimise piiramine
Kui määratlete ettevõtte sise-eeskirjades ettevõtte poolt omatava teabe väljaviimise, saate vältida olukordi, kus teavet viiakse välja ilma vajaduseta, ja see võib aidata vältida infolekkide tekkimist.
Teabe kaitse süsteemi auditeerimise määramine
Ka siis, kui ettevõte on loonud teabe kaitse süsteemi, pole sellest kasu, kui süsteemi ei kasutata vastavalt.
Seetõttu võib ettevõtte sise-eeskirjades kaaluda sätte lisamist, mis näeb ette, et sõltumatu üksus viib läbi auditi teabe kaitse süsteemi üle.
Inimeste haldamise eeskirjad
Infolekked võivad tekkida ka inimeste eksimuste (inimlikud vead) tõttu, kes tegelevad info haldamisega. Seetõttu võib ettevõtte sisereeglites olla mõistlik kehtestada eeskirjad, mis puudutavad infot käsitlevaid isikuid.
Need inimeste haldamise eeskirjad võivad olla määratletud tööreeglites või konfidentsiaalse info haldamise eeskirjades.
Näiteks võib kehtestada järgmised eeskirjad:
Info konfidentsiaalsuse kohustus
Ettevõtte sisereeglites võib olla mõistlik määratleda töötajatele info konfidentsiaalsuse kohustus. Info konfidentsiaalsuse kohustuse kehtestamisega saab töötajatele lepingulise kohustusena määrata konfidentsiaalsuse kohustuse.
Lisaks võib töötajatele teha teadlikkust tõstvat tööd info konfidentsiaalsuse kohustuse osas.
Info kasutamise keeld väljaspool ettenähtud eesmärki
Info konfidentsiaalsuse kohustus tähendab esmajoones seda, et infot ei tohi lekitada. Kuid lisaks sellele võib olla efektiivne info lekke vältimiseks kehtestada ka eeskiri, mis keelab info kasutamise väljaspool ettenähtud eesmärki.
Saladuse hoidmise vande esitamine tööle asumisel
Töötajatele võib olla mõistlik nõuda tööle asumisel saladuse hoidmise vande esitamist, mis sisaldab konfidentsiaalsuse kohustust ja info kasutamise keeldu väljaspool ettenähtud eesmärki.
Tööle asumisel esitatava vande osas on oluline nii lepingulise vastutuse määramine kui ka töötajate teadlikkuse tõstmine info lekke vältimise osas.
Saladuse hoidmise vande esitamine töölt lahkumisel
Töötajate puhul on oluline mitte ainult vältida info leket töö ajal, vaid ka pärast töölt lahkumist.
Seetõttu võib olla mõistlik nõuda töölt lahkumisel vande esitamist, mis kohustab töötajat mitte lekitama töö ajal saadud infot ka pärast töölt lahkumist. See on oluline, kuna ettevõtte sisereeglid kehtivad põhimõtteliselt ainult töötajatele ja pärast töölt lahkumist need enam ei kehti.
Töötajate koolitus info lekke vältimiseks
Kuigi töötajatelt vande saamine aitab teatud määral tõsta teadlikkust info lekke vältimise osas, ei pruugi vande esitamine üksi olla piisav, et töötajad mõistaksid info lekke tekitamise tõsidust.
Seetõttu võib olla kasulik määrata ettevõtte sisereeglites, et teatud ajavahemike järel viiakse läbi ettevõttesiseseid koolitusi, et tõsta töötajate teadlikkust info lekke vältimise osas.
Füüsilise halduse eeskirjad
Infolekkide vältimiseks on vaja luua keskkond, kus füüsiliselt on info lekkimine raskendatud.
Näiteks võib ettevõtte sisekorraeeskirjades info haldamise teemal olla järgmised punktid:
Info hoidmise ruumi sisenemise ja väljumise haldus
Ettevõtte sees tuleb selgelt määratleda turvapiirkonnad vastavalt käideldavale infole. Infole füüsilise ligipääsu vähendamiseks võib iga piirkonna sisenemise ja väljumise ning lukustamise haldamist kaaluda.
Infole füüsilise ligipääsu vähendamine võib vähendada infolekkide riski.
Juurdepääs serverile
Kui info on salvestatud serverisse, võib ettevõtte sisekorraeeskirjades kaaluda serverile juurdepääsuõiguste piiramist.
Kui kõik töötajad saavad hõlpsasti infole juurde pääseda, suureneb infolekkide risk. Seega, juurdepääsu piiramine info hoidmise serverile on efektiivne meetod infolekkide vältimiseks.
Dokumentide ja muude meediumite käsitsemine
Ettevõtte sisekorraeeskirjades on oluline määratleda konkreetseid reegleid info käsitsemise ja hoidmise kohta.
Näiteks, kui info on paberil, võib kaaluda selle hoidmist lukustatavas kapis või määrata kindlaks, et infot saab vaadata ainult teatud ruumis ja seda ei saa teistesse ruumidesse viia.
IT-seadmete kasutamise eeskirjad
Viimasel ajal on IT-seadmete kasutamise võimalused suurenenud, tulenevalt interneti arengust ja kaugtöö kasvavast rakendamisest.
Seetõttu võib ettevõtte sisekorraeeskirjades olla mõistlik määrata kindlaks järgmised IT-seadmete kasutamise põhimõtted.
Ettevõtte poolt IT-seadmete laenutamise protseduur
Esiteks, kui ettevõte laenab töötajale arvuti või muu IT-seadme, on oluline jälgida, kes ja millal seadme laenutas.
Lisaks on oluline regulaarselt jälgida IT-seadmete kasutamist, et veenduda, et need, kes on laenutanud IT-seadmeid ettevõttelt, ei kasuta neid infolekke riskiga keskkonnas.
Isiklike seadmete (BYOD) kasutamise protseduur
Kaugtöö suurenemise tõttu on üha sagedamini juhtumeid, kus töötajad kasutavad oma isiklikke IT-seadmeid tööülesannete täitmiseks. Kui PC või USB-mälupulk on töötaja isiklik omand, ei pruugi seal olla piisavalt turvameetmeid.
Lisaks võib töötajatel olla vähem teadlikkust tööalase info haldamise riskidest, kuna nad kasutavad seadmeid, mida nad tavaliselt kasutavad, mis võib viia ebapiisava haldamiseni.
Seetõttu võib ettevõtte sisekorraeeskirjades olla mõistlik määrata kindlaks protseduurid ja keelud, kui ettevõte lubab töötajatel kasutada oma isiklikke seadmeid (BYOD).
Muud sätted teabe lekkimise kohta
Lisaks võib teabe lekkimise kohta ettevõtte siseeeskirjades kaaluda järgmiste aspektide määratlemist.
Sotsiaalmeedia isikliku kasutamise eeskirjad
Sotsiaalmeedias on võimalik kasutada nii oma tegelikku nime kui ka anonüümsust. Anonüümsuse korral võib tekkida oht, et postitusi tehakse hooletult, kuna arvatakse, et keegi ei saa teada, kes postituse tegi. Samuti võib juhtuda, et postitus, mis tehti kergekäeliselt, arvates, et see ei jõua paljude inimesteni, võib lõpuks levida laialdaselt ja jõuda paljude inimesteni.
Kuna sotsiaalmeedial on suur levikujõud, võib teabe lekkimise korral teave kiiresti levida.
Seetõttu võib siseeeskirjades kaaluda töötajate sotsiaalmeedia kasutamise eeskirjade kehtestamist.
Näiteks võib sotsiaalmeedia kasutamise eesmärgi jagada “tööalaseks” ja “mitte-tööalaseks (isiklikuks)” ning tööalase kasutamise korral nõuda taotluse esitamist ja heakskiitu ning teavitamist juhul, kui postitus põhjustab laialdast negatiivset tähelepanu. Isegi kui kasutamine on mitte-tööalane, võib keelata ettevõtte konfidentsiaalse teabe või seadusevastase teabe postitamise ning nõuda teavitamist, kui on oht teabe lekkimiseks või kui postitus põhjustab laialdast negatiivset tähelepanu.
Teabe lekkimise vastu võitlemine on kogu kontserni ülesanne
Suurtes ettevõtetes võib olla mitu tütarettevõtet. Kuigi tütarettevõtete vahel võib toimuda konfidentsiaalse teabe vahetamine, ei pruugi kogu kontsern omada ühtset turvalisuse taset.
Seetõttu võib juhtuda, et mõned inimesed üritavad rünnata emaettevõtte turvalisusest nõrgema tütarettevõtte süsteeme, et ebaseaduslikult teavet hankida.
Selle olukorra lahendamiseks on oluline, et kontserni ettevõtted ei võitleks teabe lekkimise vastu eraldi, vaid teeksid seda ühiselt.
Kokkuvõte: Konsulteerige advokaadiga infopidavuse reeglite kohta
Ülaltoodud tekstis selgitasime ettevõtte juriidilistele töötajatele, kuidas vähendada infolekke riski, luues selleks sisemised reeglid. Infolekke vältimiseks on oluline rakendada mitmesuguseid meetmeid erinevatest vaatenurkadest.
Selliste meetmete kohta sisemiste reeglite loomisel on vaja hoolikalt kaaluda erialaseid vaatepunkte. Soovitame konsulteerida advokaadiga, kellel on asjakohane erialane teadmiste pagas, kui loote sisemisi reegleid.
Seotud artikkel: Ettevõtte isikuandmete lekke risk ja kahjude hüvitamine[ja]
Meie büroo poolt pakutavad meetmed
Monolise õigusbüroo on IT- ja eriti internetiõiguse valdkonnas kõrge spetsialiseerumisega õigusbüroo. Ettevõtte sisekorraeeskirjade koostamisel on hädavajalik spetsialiseeritud teadmised. Meie büroos tegeleme erinevate juhtumite läbivaatamisega, alates Tokyo börsil noteeritud ettevõtetest kuni idufirmadeni. Kui teil on probleeme ettevõtte sisekorraeeskirjadega, palun vaadake allpool toodud artiklit.