Слайд 14
Документирование политики информационной безопасности
(5.1.1 ГОСТ ИСО/МЭК 27002)
Рекомендация по реализации.
Политика информационной
безопасности должна устанавливать ответственность руководства, а также излагать подход организации к менеджменту информационной безопасности, Документ, в котором излагается политика, должен содержать положения относительно:
определения информационной безопасности, ее общих целей и сферы действия, а также упоминания значения безопасности как инструмента, обеспечивающего возможность совместного использования информации;
изложения намерений руководства, поддерживающих цели и принципы информационной безопасности в соответствии со стратегией и целями бизнеса;
подхода к установлению мер и средств контроля и управления и целей их применения, включая структуру оценки риска и менеджмента риска;
краткого разъяснения наиболее существенных для организации политик безопасности, принципов, стандартов и требований соответствия: например:
соответствие законодательным требованиям и договорным обязательствам;
требования по обеспечению осведомленности, обучения и тренинга в отношении безопасности;
менеджмент непрерывности бизнеса;
ответственность за нарушения политики информационной безопасности;
определения общих и конкретных обязанностей сотрудников в рамках менеджмента информационной безопасности, включая информирование об инцидентах безопасности;
ссылок на документы, дополняющие политику информационной безопасности, например, более детальные политики и процедуры безопасности для определенных информационных систем, а также правила безопасности, которым должны следовать пользователи.