Расширение ИТ-инфраструктуры и информационных технологий влечет за собой появление все большего количества рисков и сфере информационной безопасности. Надежный партнер должен осознавать и задекларировать путем добровольной сертификации уровень ответственности за сохранение конфиденциальности не только собственных данных, но и посторонних информационных ресурсов.
Политика информационной безопасности – это совокупность правил и принципов, которыми руководствуется компания в этой области, в том числе с целью выполнения условий сертификации.
Что должна содержать политика информационной безопасности?
Поскольку организация информационной безопасности должна осуществляться путем комплексного подхода, политика информационной безопасности должна устанавливать ответственность высшего руководства, его цели и принципы по соблюдению информационной безопасности; является действенным средством успешного прохождения процедуры проведения сертификации в данной сфере.
Кроме того, политика содержит общее определение информационной безопасности как возможности совместного использования информации, законодательный и правовой аспект вопроса, обучение персонала вопросам этой сферы, противодействия появлению вредоносного программного обеспечения, обязанности персонала, ответственность за нарушение собственно политики безопасности, а также управление непрерывностью бизнеса.
Как правильно разработать политику ИТ-безопасности?
Разработка политики информационной безопасности является начальным этапом процедуры проведения сертификации и начинается с анализа рисков в этой сфере, в том числе и определения оптимального уровня риска. Достижение такого уровня должно стать определяющей вехой и целью разработки системы управления информационной безопасностью.
Следующий этап разработки – анализ информационных ресурсов, определение их ценности и построение модели взаимосвязей между ними. Полученная модель позволяет выбрать оптимальные способы противодействия информационным рискам и придерживаться общей схемы сертификации системы управления.
Последний шаг – разработка документации в сфере обеспечения информационной безопасности.
Результатом этих действий должно быть создание документа, включающего основные принципы и правила, которые придерживается компания для обеспечения информационной безопасности – собственно политики информационной безопасности.
Если Вы нуждаетесь в помощи, поддержке или сопровождении внедрения и сертификации системы управления информационной безопасностью – заполните заявку на сертификацию – и мы свяжемся с Вами в ближайшее время, чтобы обсудить детали.