Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
 

Разработка высокоуровневой политики информационной безопасности

Общая и публичная политика постулирующая позицию компании по вопросам информационной безопасности.
Классификация
Тип
Организационная ? Организационные (процедурные, административные) меры Это меры направленные на организацию деятельности пользователей. К организационным мерам относят так же выпуск документации – инструкций, регламентов, стандартов.
Удерживающая ? Удерживающие (сдерживающие) меры Организация применяет сдерживающие меры пытаясь отговорить злоумышленников атаковать ее системы или помещения. Другими словами, сдерживающая контрмера используется, чтобы заставить злоумышленника дважды подумать о своих злонамеренных намерениях. Примеры: Заборы, Охранники, Освещение, Видеонаблюдение, Сигналы тревоги, Предупреждения.
Реализация
Вручную
Периодичность
Разово
Ответственный
Не определено
Инструменты
Не определено
Предшествующие меры
Не требуется
Следующие меры
Не определено

Исполнение требований

Международный стандарт ISO № 27001 от 01.10.2013 "Информационные технологии - Методы защиты - Системы менеджмента информационной безопасности - Требования":
5.1 Лидерство и обязательства
Высшее руководство должно демонстрировать лидерство и обязательства в отношении системы менеджмента информационной безопасности посредством:
a) гарантии того, что информационная политика безопасности и цели в сфере информационной безопасности установлены и согласуются со стратегией организации;
b) гарантии того, что требования системы менеджмента информационной безопасности встроены в процессы организации;
c) гарантии доступности ресурсов, необходимых для системы менеджмента информационной безопасности;
d) донесения важности результативного управления информационной безопасностью и соответствия требованиям системы менеджмента информационной безопасности;
e) гарантии достижения системой менеджмента информационной безопасности ожидаемых результатов;
f) поддержки усилий сотрудников, направленных на обеспечение результативности системы менеджмента информационной безопасности;
g) стимулирования непрерывного совершенствования; и
h) поощрения демонстрации лидерства на различных уровнях управления в границах установленной ответственности.
6.2 Цели в области информационной безопасности и планирование их достижения

Организация должна установить цели в области информационной безопасности для соответствующих функций и уровней.

Цели в области информационной безопасности должны:
a) быть согласованными с политикой информационной безопасности;
b) быть измеримыми (если возможно);
c) учитывать действующие требования к информационной безопасности, а также результаты оценки и обработки рисков;
d) быть сообщены персоналу; и
e) соответствующим образом обновляться.

Организация должна сохранять данные по целям в области информационной безопасности как документированную информацию.

При планировании, каким образом достигнуть своих целей в области информационной безопасности, организация должна определить:
f) что будет сделано;
g) какие ресурсы потребуются;
h) кто будет ответственным;
i) когда цели будут достигнуты;
j) как результаты будут оцениваться.

Международный стандарт ISO № 27001 от 01.10.2013 "Информационные технологии - Методы защиты - Системы менеджмента информационной безопасности - Требования - Приложение А":

Связанные риски

Ничего не найдено

Комментарии 1

4 месяца назад
Пример одностраничной политики информационной безопасности в соответствии с требованиями ISO 27001
Политика информационной безопасности ООО «Наша компания»
Целью политики информационной безопасности является создание единой системы взглядов и понимания целей и принципов обеспечения информационной безопасности ООО «Наша компания» (далее – Компания).
Политика соответствует назначению и стратегии развития Компании, поддерживается высшим руководством.
Информация и информационные технологии являются одним из важнейших активов Компании, обеспечивающих возможность успешной [цель/область деятельности компании]. Компания уделяет большое внимание обеспечению информационной безопасности и обязуется соответствовать действующим требованиям в области информационной безопасности. 
Цели Компании в области информационной безопасности: 
  • Конфиденциальность ценной для Компании и ее контрагентов информации;
  • Целостность информационных активов;
  • Доступность информации пользователям;
  • Защита информационных активов от несанкционированного доступа и воздействия;
  • Исполнение нормативных и законодательных требований, договорных обязательств;
  • Компетентность и осведомленность пользователей;
  • Выявление, расследование и предотвращение инцидентов безопасности;
  • Неотказуемость нарушителей от совершаемых действий.
При реализации целей в области информационной безопасности Компания руководствуется следующими принципами:
  • Простота использования;
  • Ответственность всех участников информационного взаимодействия;
  • Минимальная достаточность прав, полномочий и доступа;
  • Многоуровневая защита;
  • Снижение поверхности возможных атак;
  • Контроль над всеми операциями с информационными активами.
Информационная безопасность в Компании обеспечивается путем создания, поддержания и непрерывного улучшения системы менеджмента информационной безопасности. 
Вкладом каждого сотрудника Компании в результативность системы менеджмента информационной безопасности и его обязанностью является: 
  • Надлежащее исполнение установленных правил и процедур обеспечения информационной безопасности;
  • Бдительность и предосторожность при использовании информационных активов;
  • Незамедлительное информирование руководства об инцидентах безопасности и любых выявленных недостатках, влияющих на безопасность Компании.
Любые преднамеренные действия или халатность, ставящие под угрозу информационную безопасность Компании, а также безопасность партнеров, поставщиков и клиентов Компании, влекут уголовную, административную, гражданско-правовую и дисциплинарную ответственность в соответствии с законодательством Российской Федерации. 
Закрываются требования ISO 27001 5.1 a), 5.2 a), 5.2 b), 5.2 c), 5.2 d), 6.2, 7.3 b), 7.3 c)