Розширення ІТ-інфраструктури та інформаційних технологій тягне з собою появу все більшої кількості ризиків і сфері інформаційної безпеки. Надійний партнер має усвідомлювати і задекларувати шляхом добровільної сертифікації рівень відповідальності за збереження конфіденційності не лише власних даних, а також і сторонніх інформаційних ресурсів.
Політика інформаційної безпеки – це сукупність правил і принципів, якими керується компанія в цій області, в тому числі і з метою виконання умов сертифікації.
Що має містити політика інформаційної безпеки?
Оскільки організація інформаційної безпеки має здійснюватися шляхом комплексного підходу, політика інформаційної безпеки має встановлювати відповідальність вищого керівництва, його цілі і принципи щодо дотримання інформаційної безпеки; є дієвим засобом успішного проходження процедури проведення сертифікації у цій сфері.
Крім того, політика містить загальне визначення інформаційної безпеки як можливості спільного використання інформації, законодавчий і правовий аспект питання, навчання персоналу з питань цієї сфери, протидії появі шкідливого програмного забезпечення, обов’язки персоналу, відповідальність за порушення власне політики безпеки, а також управління безперервністю бізнесу.
Як правильно розробити політику інформаційної безпеки?
Розробка політики інформаційної безпеки є початковим етапом процедури проведення сертифікації та починається з аналізу ризиків у цій сфері, в тому числі і визначення оптимального рівня ризику. Досягнення такого цього рівня має стати визначальною віхою та метою розробки системи управління інформаційною безпекою.
Наступний етап розробки – аналіз інформаційних ресурсів, визначення їх цінності та побудова моделі взаємозв’язків між ними. Отримана модель дає можливість обрати оптимальні способи протидії інформаційних ризикам та дотримуватися загальної схеми сертифікації системи управління.
Останній крок – розробка документації у сфері забезпечення інформаційної безпеки.
Результатом цих дій має бути створення документа, що вбирає в себе основні принципи і правила, яких дотримується компанія для забезпечення інформаційної безпеки – власне політики інформаційної безпеки.
Якщо Ви потребуєте допомоги, підтримки чи супроводу запровадження та сертифікації системи управління інформаційною безпекою – заповніть заявку на сертифікацію – і ми зв’яжемося з Вам в найближчий час, щоб обговорити деталі.