ТРЕБОВАНИЯ СТАНДАРТА ISO/IEC 27001:2013
5.2 Политика
Высшее руководство должно установить политику ИБ, которая:
- a) соответствует назначению организации;
- b) включает цели ИБ, (см. 6.2) или служит основой для установления целей ИБ;
- c) включает обязательства соответствовать применимым требованиям, относящимся к ИБ; и
- d) включает обязательство постоянно улучшать СМИБ.
Пример содержания документа «Политика СМИБ»:
ПОЛИТИКА СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ООО «XYZ»
ООО «XYZ» (далее – Компания), выступая в качестве поставщика услуг в области технической и (или) криптографической защиты информации несет ответственность за обеспечение высокого уровня информационной безопасности при оказании услуг, путем решения следующих задач:
- вовлечение высшего руководства Компании в управление процессами информационной безопасности;
- проведение оценки рисков;
- управление рисками информационной безопасности;
- предоставление необходимых ресурсов для обеспечения функционирования процессов информационной безопасности;
- проведение внутренних оценок эффективности системы менеджмента информационной безопасности;
- реализацию требований законодательства Республики Беларусь в области защиты информации;
- подтверждение соответствия требованиям ISO/IEC 27001, путем проведения соответствующих внешних аудитов.
Политика системы менеджмента информационной безопасности направлена на минимизацию негативных последствий, которые могут возникнуть в случае реализации рисков информационной безопасности.
Руководство обеспечением информационной безопасности осуществляет представитель руководства Компании по информационной безопасности, который подчиняется непосредственно директору.
С целью управления рисками ИБ в Компании осуществляется ежегодная плановая оценка рисков ИБ. При ее проведении учитывается вероятность угроз ИБ и степень их влияния на предоставляемые услуги, бизнес-процессы, финансовое состояние и деловую репутацию. В Компании применяются средства контроля ИБ, включая организационные (административные), физические, технические, программные и программно-аппаратные меры и средства обеспечения ИБ.
В Компании проводится ежегодный плановый внутренний и внешний аудит информационной безопасности.
В Компании установлен и функционирует режим коммерческой тайны, определяющий порядок использования и защиты информации ограниченного распространения.
...
Директор Компании берет на себя обязательства:
- реализовать политику информационной безопасности;
- соответствовать применимым требованиям по информационной безопасности;
- постоянно улучшать систему менеджмента информационной безопасности.
Директор ООО «XYZ»
ВАЖНО: Представленные образцы - это лишь один из вариантов реализации требований стандарта.