Regulamin Sieci obejmuje wyłącznie zakres odpowiedzialności pracowników w ich pracy z wykorzystaniem zasobów informatycznych firmy, czyli precyzuje zasady pracy konkretnego pracownika na przeznaczonym mu stanowisku roboczym. Kierownictwo firmy często wybiera tę opcję z uwagi na fakt, że jego opracowaniem mogą zająć się informatycy firmowi, a następnie, po dostosowaniu przez prawnika do przepisów kodeksu pracy i innych, może on w miarę szybko zostać wprowadzony w życie.

Koszt jego opracowania jest indywidualny i zależy głównie od stopnia komplikacji sieci korporacyjnej, liczby zatrudnionych pracowników i powierzonych im obowiązków. Dla przykładowej firmy zatrudniającej ok. 150 osób (ramka obok) koszt ten wyniesie ok. 10 000 zł.

Niemniej wdrożenie regulaminu nie wiąże się już praktycznie z żadnymi dodatkowymi kosztami. Konieczne jest jedynie wyznaczenie osoby, która poinformuje o jego wprowadzeniu wszystkich pracowników i dopilnuje, by każdy zatrudniony poznał jego treść, poświadczając ten fakt własnoręcznym podpisem, zobowiązując się w ten sposób do jego przestrzegania. Nowo zatrudniani pracownicy powinni składać takie zobowiązanie w momencie przyjęcia do pracy.

Regulamin jednak przez sam fakt swej ograniczoności nie obejmuje np. mechanizmów ochrony fizycznej pomieszczeń, w których znajdują się dane firmy. Zawiera zasady postępowania z informacją chronioną dla pracowników, ale wyłącznie w odniesieniu do danych elektronicznych.

Nie mówi jednak, w jaki sposób powinno odbywać się przekazywanie pozostałych informacji, np. w kancelarii, gdzie wprowadza się do obiegu listy i przesyłki. W jej przypadku należałoby albo zmodyfikować stare przepisy określające pracę kancelarii, albo stworzyć odrębne przepisy, np. w formie Regulaminu Pracy Kancelarii.

Innym przykładem jest wyprowadzanie informacji na zewnątrz sieci komputerowej w postaci wydruków. Czy wydruki powinny być niszczone? Jeżeli wydruk jest wykorzystywany jedynie w pomieszczeniu, w którym znajdują się komputery, można nakazać jego zniszczenie w momencie wykorzystania, gdy przestanie być potrzebny. Jednak, jak pokazuje życie, niezwykle trudno zapanować nad stertą papierów w pokoju i najczęściej część ważnych dokumentów pozostaje nie zniszczona. Nawet jeżeli każdy z pracowników wyposażony zostanie w niszczarkę papieru, to jak zapanować nad dokumentami krążącymi po budynku w różnym celu? Czy tworzyć kolejne regulaminy podległe regulaminowi pracy? Chyba nie tędy droga...

Polityka bezpieczeństwa

Znacznie szerszy zakres zabezpieczeń oferuje Polityka Bezpieczeństwa. Obejmuje ona swoim zakresem nie tylko sieć korporacyjną, ale także całość zagadnień związanych z bezpieczeństwem danych będących w dyspozycji firmy. W przeciwieństwie do Regulaminu Pracy w Sieci Komputerowej trudno jest stwierdzić, ile będzie kosztowało wdrożenie pełnej Polityki Bezpieczeństwa w danej firmie. Jest to sprawa indywidualna i zależy od wielu czynników, a w szczególności wielkości firmy, lokalizacji jej pomieszczeń i istniejącego już sposobu ich zabezpieczenia. Wiadomo że w odróżnieniu od Regulaminu..., im większa firma, tym więcej za Politykę Bezpieczeństwa trzeba zapłacić. Niektóre firmy będą musiały ponieść dodatkowe koszty związane z zakupem specjalistycznego sprzętu i oprogramowania.

W przykładowej firmie, której zasoby zdefiniowano w ramce, słuszne może okazać się wprowadzenie dodatkowych zabezpieczeń do niektórych lub wszystkich pomieszczeń z pełnym monitoringiem przemieszczania się pracowników. Można by także zastosować scentralizowane stanowisko nadzoru dostępu do wszystkich lub większości zasobów firmy. Jednocześnie wskazane byłoby połączenie komórek bhp i straży przemysłowej, w wyniku czego powstałby oddzielny dział ochrony z Security Officerem w randze kierownika lub dyrektora.

W pierwszym etapie wdrażania Po- lityki Bezpieczeństwa firma ta wyda ok. 300 tys. zł. Jego realizacja potrwa rok lub nawet dłużej. W tym czasie zostanie przeprowadzona szczegółowa analiza zasobów, struktury i potrzeb firmy, a także zagrożeń. Opracowana też będzie pełna wymagana dokumentacja, stanowiąca podstawę wdrożenia Polityki....

Niebagatelną część tej kwoty stanowi koszt przeprowadzenia szkoleń, które muszą przejść wszyscy pracownicy firmy. Kończą się one egzaminami, których niezaliczenie stawia pod znakiem zapytania dalszą pracę danej osoby w przedsiębiorstwie. Nie ma bowiem gwarancji, że pracownik będzie przestrzegał odpowiednich procedur. Szkolenia muszą być zindywidualizowane dla poszczególnych działów i stanowisk pracy, co znacznie podnosi ich koszt.

Po zakończeniu tego etapu, przykładowa firma będzie wydawała średnio ok. 40 tys. zł rocznie na obsługę Polityki Bezpieczeństwa. Ogółem zawarte jest przeprowadzenie kwartalnego audytu poziomu bezpieczeństwa z uwzględnieniem kosztów przygotowania ewentualnych poprawek do istniejącej Polityki... (ok. 10 tys. zł w przypadku opisywanej firmy), roczna obsługa w zakresie doradztwa prawnego i technicznego (dyrektor działu ochrony musi zatrudniać bądź korzystać z pomocy zewnętrznego doradcy prawnego i informatycznego) i okresowe szkolenia pracowników. Należy także uwzględnić dodatkowe szkolenia dla pracowników zmieniających stanowisko pracy, jeżeli jest to związane ze zmianą funkcji czy zakresu odpowiedzialności.