Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы:
управление рисками, контроль соответствия требованиям, учет активов,
планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Общая и публичная политика постулирующая позицию компании по вопросам информационной безопасности.
В заметке к защитной мере приведен пример высокоуровневой Политики информационной безопасности
Рекомендации к заполнению карточки:
В заметке к защитной мере приведен пример высокоуровневой Политики информационной безопасности
Рекомендации к заполнению карточки:
- Описать в карточке меры политику компании или привести ссылку на документ
- Создать шаблон регулярной задачи на пересмотр политики
Классификация
Тип
Организационная
?
Организационные (процедурные, административные) меры
Направленные на организацию деятельности пользователей, включают выпуск документации.
Удерживающая
?
Удерживающие (сдерживающие) меры
Отговоривают злоумышленников атаковать, заставляют злоумышленника дважды подумать о своих злонамеренных намерениях.
Реализация
Вручную
Периодичность
Разово
Ответственный
Не определено
Инструменты
Не определено
Предшествующие меры
Не требуется
Следующие меры
Не определено
Исполнение требований
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования":
7.3
7.3 Осведомленность
Лица, выполняющие работу под контролем организации, должны быть осведомлены:
а) о политике информационной безопасности организации;
b) их вкладе в обеспечение результативности системы менеджмента информационной безопасности, включая пользу от улучшения деятельности по обеспечению информационной безопасности;
с) последствиях несоблюдения требований системы менеджмента информационной безопасности.
Лица, выполняющие работу под контролем организации, должны быть осведомлены:
а) о политике информационной безопасности организации;
b) их вкладе в обеспечение результативности системы менеджмента информационной безопасности, включая пользу от улучшения деятельности по обеспечению информационной безопасности;
с) последствиях несоблюдения требований системы менеджмента информационной безопасности.
5.1
5.1 Лидерство и приверженность
Высшее руководство организации должно демонстрировать свое лидерство и приверженность в отношении системы менеджмента информационной безопасности:
а) установлением политики и целей информационной безопасности, совместимых со стратегическим направлением развития организации;
b) интеграцией требований системы менеджмента информационной безопасности в процессы организации;
с) доступностью ресурсов, необходимых для системы менеджмента информационной безопасности;
d) декларированием важности обеспечения эффективного менеджмента информационной безопасностью и соответствия требованиям системы менеджмента информационной безопасности;
е) достижением системой менеджмента информационной безопасности ожидаемых результатов;
f) направляя и поддерживая лиц, способствующих повышению результативности системы менеджмента информационной безопасности;
g) постоянным улучшением системы менеджмента информационной безопасности;
h) поддержкой других руководителей в реализации их ведущих ролей в рамках зон их ответственности.
Высшее руководство организации должно демонстрировать свое лидерство и приверженность в отношении системы менеджмента информационной безопасности:
а) установлением политики и целей информационной безопасности, совместимых со стратегическим направлением развития организации;
b) интеграцией требований системы менеджмента информационной безопасности в процессы организации;
с) доступностью ресурсов, необходимых для системы менеджмента информационной безопасности;
d) декларированием важности обеспечения эффективного менеджмента информационной безопасностью и соответствия требованиям системы менеджмента информационной безопасности;
е) достижением системой менеджмента информационной безопасности ожидаемых результатов;
f) направляя и поддерживая лиц, способствующих повышению результативности системы менеджмента информационной безопасности;
g) постоянным улучшением системы менеджмента информационной безопасности;
h) поддержкой других руководителей в реализации их ведущих ролей в рамках зон их ответственности.
5.2
5.2 Политика
Высшее руководство организации должно установить политику информационной безопасности, которая:
а) соответствует целям деятельности организации;
b) содержит цели информационной безопасности (см. 6.2) или обеспечивает основу для их установления;
с) содержит обязательство соответствовать применимым требованиям, относящимся к информационной безопасности;
d) содержит обязательство постоянно улучшать систему менеджмента информационной безопасности.
Политика информационной безопасности должна быть:
е) доступна в виде документированной информации;
f) доведена до сведения работников организации;
g) доступна заинтересованным сторонам.
Высшее руководство организации должно установить политику информационной безопасности, которая:
а) соответствует целям деятельности организации;
b) содержит цели информационной безопасности (см. 6.2) или обеспечивает основу для их установления;
с) содержит обязательство соответствовать применимым требованиям, относящимся к информационной безопасности;
d) содержит обязательство постоянно улучшать систему менеджмента информационной безопасности.
Политика информационной безопасности должна быть:
е) доступна в виде документированной информации;
f) доведена до сведения работников организации;
g) доступна заинтересованным сторонам.
6.2
6.2 Цели информационной безопасности и планы по их достижению
В организации должны быть установлены цели обеспечения информационной безопасности применительно к соответствующим функциям и уровням управления организацией.
Цели информационной безопасности должны:
а) быть согласованы с политикой информационной безопасности;
b) быть измеримыми (если это практически возможно);
с) учитывать применимые требования информационной безопасности и результаты оценки и обработки рисков информационной безопасности;
d) быть доведены до сведения всех заинтересованных сторон;
е) обновляться по мере необходимости.
Организация должна хранить документированную информацию о целях информационной безопасности.
При планировании способов достижения своих целей информационной безопасности организация должна определить:
f) что должно быть сделано;
д) какие ресурсы потребуются;
h) кто будет нести ответственность;
i) когда планируемое мероприятие будет завершено;
j) как будут оцениваться результаты.
В организации должны быть установлены цели обеспечения информационной безопасности применительно к соответствующим функциям и уровням управления организацией.
Цели информационной безопасности должны:
а) быть согласованы с политикой информационной безопасности;
b) быть измеримыми (если это практически возможно);
с) учитывать применимые требования информационной безопасности и результаты оценки и обработки рисков информационной безопасности;
d) быть доведены до сведения всех заинтересованных сторон;
е) обновляться по мере необходимости.
Организация должна хранить документированную информацию о целях информационной безопасности.
При планировании способов достижения своих целей информационной безопасности организация должна определить:
f) что должно быть сделано;
д) какие ресурсы потребуются;
h) кто будет нести ответственность;
i) когда планируемое мероприятие будет завершено;
j) как будут оцениваться результаты.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.5.1.1
A.5.1.1 Политики информационной безопасности
Мера обеспечения информационной безопасности: Совокупность политик информационной безопасности должна быть определена, утверждена руководством, опубликована и доведена до сведения всех работников организации и соответствующих внешних сторон
Мера обеспечения информационной безопасности: Совокупность политик информационной безопасности должна быть определена, утверждена руководством, опубликована и доведена до сведения всех работников организации и соответствующих внешних сторон
NIST Cybersecurity Framework (EN):
ID.GV-1
ID.GV-1: Organizational cybersecurity policy is established and communicated
Связанные риски
Ничего не найдено
Комментарии 1
1 год назад
Пример одностраничной политики информационной безопасности в соответствии с требованиями ISO 27001
Закрываются требования ISO 27001 5.1 a), 5.2 a), 5.2 b), 5.2 c), 5.2 d), 6.2, 7.3 b), 7.3 c)