2015-05-13
912
В Политике безопасности требуется кратко описать все процедуры системы обеспечения и управления информационной безопасностью. В частности, следует отметить такие процедуры, как контроль доступа к информационным активам компании, внесение изменений в информационную систему, взаимодействие с третьими лицами, повышение квалификации сотрудников компании в области информационной безопасности, расследование инцидентов, аудит информационной безопасности, обеспечение непрерывности ведения бизнеса и прочее.
В описании каждой процедуры необходимо четко определить цели и задачи процедуры, основные правила выполнения процедуры, регулярность или сроки выполнение процедуры.
В Политике безопасности требуется описать ответственность сотрудников компании за обеспечение и управление информационной безопасностью. Обязанность обеспечения безопасности возложена на всех сотрудников компании, а также — в соответствии с договором — на сторонних пользователей, имеющих доступ к информационным активам компании. Обязанность управления информационной безопасностью возложена на руководство компании.
Естественно, что вместе с изменениями в информационной системе компании, которые могут происходить достаточно часто, требуется вносить коррективы в Политику безопасности как документированное отражение основных правил работы системы управления.
Политика безопасности, по сути, является каркасом, объединяющим все остальные документы, регламентирующие обеспечение и управление информационной безопасностью. Следовательно, при описании процедур системы управления информационной безопасностью следует указывать ссылки на документы, в которых требования к процедуре изложены подробно.
Таким образом, в Политике безопасности описываются все необходимые требования к обеспечению и управлению информационной безопасностью, структура управления безопасностью, а также обязанности и ответственность за обеспечение безопасности. В результате следования Политике безопасности и сопутствующим документам по обеспечению и управлению безопасности, защищенность информационной системы компании достигнет требуемого уровня, сотрудники компании будут осознавать свою роль и вовлеченность в процесс обеспечения безопасности. И, как следствие, требуемые информационные активы будут доступны в необходимые моменты времени, изменения будут вноситься только авторизованными пользователями, а конфиденциальность не будет нарушаться.
