Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная РУБРИКАТОР Политика безопасности Политика безопасности (BS ISO/IEC 27002:2005 RU, раздел 5)
Protectiva Compliance Manager
Навигация
 

Политика безопасности (BS ISO/IEC 27002:2005 RU, раздел 5)

Операции с документом
Цель: Обеспечить управление и поддержку в области информационной безопасности со стороны руководства в соответствии с требованиями бизнеса, а также действующей законодательной и нормативной базой. Руководство должно определить четкое стратегическое направление и продемонстрировать поддержку и приверженность информационной безопасности посредством опубликования и сопровождения политики информационной безопасности для всей организации.

Документированная политика информационной безопасности

Механизм контроля

Документированная политика информационной безопасности должна быть утверждена руководством, опубликована и доведена до сведения всех сотрудников организации и внешних сторон, к которым она относится.

Руководство по внедрению

Документированная политика информационной безопасности должна заявлять о приверженности руководства и устанавливать подход к управлению информационной безопасностью в организации. Документированная политика должна содержать  следующие заявления:

  • определение понятия информационной безопасности, ее основных целей, области действия и важности безопасности как механизма, дающего возможность осуществлять совместное использование информации;
  • заявление о намерении руководства поддерживать достижение целей и соблюдение принципов информационной безопасности в соответствии с целями и стратегией бизнеса;
  • основные положения для определения целей и механизмов контроля, включая структуру оценки и управления рисками;
  • краткое разъяснение политик безопасности, стандартов, принципов и требований, особенно важных для организации, включая:
    • соответствие требованиям законодательства, нормативной базы и договоров;
    • требования к повышению осведомленности, обучению и тренингам в области безопасности;
    • управление непрерывностью бизнеса;
    • последствия нарушений политики информационной безопасности;
  • определение общей и индивидуальной ответственности за управление информационной безопасностью, включая оповещение об инцидентах безопасности;
  • ссылки на документы, которые могут поддерживать политику, например, более детализированные политики и процедуры безопасности для отдельных информационных систем или правила безопасности, которым должны следовать пользователи.

Эта политика информационной безопасности должна быть доведена до сведения всех пользователей организации в форме, являющейся актуальной, доступной и понятной для читателей, которым она предназначена.

Другая информация

Политика информационной безопасности должна быть частью более общей документированной политики. Если политика информационной безопасности распространяется за границы организации, должны быть приняты меры для предотвращения раскрытия конфиденциальной информации.  Дополнительная информация  содержится в ISO/IEC 13335-1:2004.

Пересмотр политики информационной безопасности

Механизм контроля

Политика информационной безопасности должна пересматриваться через запланированные интервалы времени или в случае, если произошли существенные изменения, для того, чтобы обеспечить ее непрерывную пригодность, адекватность и эффективность.

Руководство по внедрению

Политика должна иметь владельца, на которого руководством возлагается ответственность за ее разработку, пересмотр и оценку. Пересмотр должен включать в себя оценку возможностей для совершенствования политики информационной безопасности организации и подходов к управлению информационной безопасностью в ответ на изменения внешней среды, условий ведения бизнеса, законодательной базы или технического окружения.

При пересмотре политики информационной безопасности должны приниматься во внимание результаты проверок со стороны руководства. Должны быть определены процедуры проверки со стороны руководства, включая график или периодичность проведения проверок.

Входные данные для проведения проверок со стороны руководства должны включать в себя следующую информацию:

  • обратную связь от заинтересованных сторон;
  • результаты независимых проверок;
  • статус превентивных и корректирующих мер;
  • результаты предыдущих проверок со стороны руководства;
  • производительность процесса и соответствие политике информационной безопасности;
  • изменения, которые могут повлиять на подход организации к управлению информационной безопасностью, включая изменения внешней среды организации, условий ведения бизнеса, доступности ресурсов, договорных обязательств, законодательной и нормативной базы или технического окружения;
  • тенденции, относящиеся к угрозам и уязвимостям;
  • сообщения об инцидентах информационной безопасности;
  • рекомендации регулирующих органов.

Результаты проверки со стороны руководства должны включать в себя любые решения или действия имеющие отношение к:

  • совершенствованию подхода организации к управлению информационной безопасностью и ее процессов;
  • совершенствованию целей и механизмов контроля;
  • совершенствованию в системе выделения ресурсов и/или распределении ответственности.

Должно осуществляться протоколирование результатов проверки со стороны руководства.

Пересмотренная политика должна быть утверждена руководством.

Comments (0)

Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2019 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex