Информационная безопасность

Здесь Вы найдете только нужную информацию.

Разработка политики СМИБ (ISO/IEC 27001)

ISO

ТРЕБОВАНИЯ СТАНДАРТА ISO/IEC 27001:2013

5.2 Политика

Высшее руководство должно установить политику ИБ, которая:

  1. a) соответствует назначению организации;
  2. b) включает цели ИБ, (см. 6.2) или служит основой для установления целей ИБ;
  3. c) включает обязательства соответствовать применимым требованиям, относящимся к ИБ; и
  4. d) включает обязательство постоянно улучшать СМИБ.

 

Пример содержания документа «Политика СМИБ»:

ПОЛИТИКА СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ООО «XYZ»

ООО «XYZ» (далее – Компания), выступая в качестве поставщика услуг в области технической и (или) криптографической защиты информации несет ответственность за обеспечение высокого уровня информационной безопасности при оказании услуг, путем решения следующих задач:

  • вовлечение высшего руководства Компании в управление процессами информационной безопасности;
  • проведение оценки рисков;
  • управление рисками информационной безопасности;
  • предоставление необходимых ресурсов для обеспечения функционирования процессов информационной безопасности;
  • проведение внутренних оценок эффективности системы менеджмента информационной безопасности;
  • реализацию требований законодательства Республики Беларусь в области защиты информации;
  • подтверждение соответствия требованиям ISO/IEC 27001, путем проведения соответствующих внешних аудитов.

Политика системы менеджмента информационной безопасности направлена на минимизацию негативных последствий, которые могут возникнуть в случае реализации рисков информационной безопасности.

Руководство обеспечением информационной безопасности осуществляет представитель руководства Компании по информационной безопасности, который подчиняется непосредственно директору.

С целью управления рисками ИБ в Компании осуществляется ежегодная плановая оценка рисков ИБ. При ее проведении учитывается вероятность угроз ИБ и степень их влияния на предоставляемые услуги, бизнес-процессы, финансовое состояние и деловую репутацию. В Компании применяются средства контроля ИБ, включая организационные (административные), физические, технические, программные и программно-аппаратные меры и средства обеспечения ИБ.

В Компании проводится ежегодный плановый внутренний и внешний аудит информационной безопасности.

В Компании установлен и функционирует режим коммерческой тайны, определяющий порядок использования и защиты информации ограниченного распространения.

...

Директор Компании берет на себя обязательства:

  • реализовать политику информационной безопасности;
  • соответствовать применимым требованиям по информационной безопасности;
  • постоянно улучшать систему менеджмента информационной безопасности.

 

Директор ООО «XYZ»

 

ВАЖНО: Представленные образцы - это лишь один из вариантов реализации требований стандарта.