Куда я попал?
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022
Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Body
5.2 Policy
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 5 п. 5.8
5.8. Наиболее правильный и эффективный способ добиться недопущения проявления в деятельности организации БС РФ неприемлемых для нее рисков нарушения ИБ - разработать политику ИБ организации БС РФ и в соответствии с ней реализовать, эксплуатировать и совершенствовать СОИБ организации БС РФ.
Р. 7 п. 10 п.п. 5 п.п.п. 2
7.10.5.2. Организация БС РФ должна опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему ее политику в отношении обработки ПДн, а также к сведениям о реализуемых требованиях по обеспечению безопасности персональных данных.
Р. 8 п. 6 п.п. 2
8.6.2. В организации БС РФ должны разрабатываться/корректироваться следующие внутренние документы:
- политика ИБ организации БС РФ;
- частные политики ИБ организации БС РФ;
- документы, регламентирующие процедуры выполнения отдельных видов деятельности, связанных с обеспечением ИБ организации БС РФ.
Кроме того, должен быть определен перечень и формы документов, являющихся свидетельством выполнения деятельности по обеспечению ИБ в организации БС РФ.
Политика ИБ организации БС РФ должна быть утверждена руководством
Политика ИБ организации БС РФ должна быть утверждена руководством
ГОСТ Р № 22301 от 01.01.2022 "Надежность в технике. Системы менеджмента непрерывности деятельности. Требования":
Р. 5 п. 2 пп. 2
5.2.2 Обмен информацией о политике в области обеспечения непрерывности деятельности
Политика в области обеспечения непрерывности деятельности должна:
Политика в области обеспечения непрерывности деятельности должна:
- а) быть доступна в качестве документированной информации;
- b) включена в процесс обмен информацией внутри организации;
- с) доступна для соответствующих заинтересованных сторон.
Р. 5 п. 2 пп. 1
5.2.1 Установление политики в области обеспечения непрерывности деятельности
Высшее руководство должно установить политику в области обеспечения непрерывности деятельности. которая:
Высшее руководство должно установить политику в области обеспечения непрерывности деятельности. которая:
- а) соответствует целям организации;
- b) обеспечивает основу для установления целей в области обеспечения непрерывности деятельности;
- с) включает в себя обязательство организации о выполнении применимых требований;
- d) включает в себя обязательство по постоянному улучшению СМНД.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Тело стандарта":
5.2 Политика
5.2 Политика
Высшее руководство должно установить политику информационной безопасности, которая:
Высшее руководство должно установить политику информационной безопасности, которая:
- а) соответствует цели организации;
- b) содержит цели информационной безопасности (см. п.6.2) или предоставляет структуру для формирования целей информационной безопасности;
- c) содержит приверженность удовлетворению применимых требований, относящихся к информационной безопасности;
- d) содержит приверженность непрерывному улучшению системы менеджмента информационной безопасности.
Политика информационной безопасности должна:
- e) быть доступной к качестве документированной информации;
- f) быть распространенной в пределах организации; а также
- g) быть доступной заинтересованным сторонам, если это необходимо.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования":
5.2
5.2 Политика
Высшее руководство организации должно установить политику информационной безопасности, которая:
а) соответствует целям деятельности организации;
b) содержит цели информационной безопасности (см. 6.2) или обеспечивает основу для их установления;
с) содержит обязательство соответствовать применимым требованиям, относящимся к информационной безопасности;
d) содержит обязательство постоянно улучшать систему менеджмента информационной безопасности.
Политика информационной безопасности должна быть:
е) доступна в виде документированной информации;
f) доведена до сведения работников организации;
g) доступна заинтересованным сторонам.
Высшее руководство организации должно установить политику информационной безопасности, которая:
а) соответствует целям деятельности организации;
b) содержит цели информационной безопасности (см. 6.2) или обеспечивает основу для их установления;
с) содержит обязательство соответствовать применимым требованиям, относящимся к информационной безопасности;
d) содержит обязательство постоянно улучшать систему менеджмента информационной безопасности.
Политика информационной безопасности должна быть:
е) доступна в виде документированной информации;
f) доведена до сведения работников организации;
g) доступна заинтересованным сторонам.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 2.1.1
Definitions:
Security policies define the entity’s security objectives and principles.
Operational procedures describe how to perform activities, and define the controls, methods, and processes that are followed to achieve the desired result in a consistent manner and in accordance with policy objectives.
2.1.1
Defined Approach Requirements:
All security policies and operational procedures that are identified in Requirement 2 are:
Defined Approach Requirements:
All security policies and operational procedures that are identified in Requirement 2 are:
- Documented.
- Kept up to date.
- In use.
- Known to all affected parties
Customized Approach Objective:
Expectations, controls, and oversight for meeting activities within Requirement 2 are defined and adhered to by affected personnel. All supporting activities are repeatable, consistently applied, and conform to management’s intent.
Defined Approach Testing Procedures:
Expectations, controls, and oversight for meeting activities within Requirement 2 are defined and adhered to by affected personnel. All supporting activities are repeatable, consistently applied, and conform to management’s intent.
Defined Approach Testing Procedures:
- 2.1.1 Examine documentation and interview personnel to verify that security policies and operational procedures identified in Requirement 2 are managed in accordance with all elements specified in this requirement.
Purpose:
Requirement 2.1.1 is about effectively managing and maintaining the various policies and procedures specified throughout Requirement 2. While it is important to define the specific policies or procedures called out in Requirement 2, it is equally important to ensure they are properly documented, maintained, and disseminated.
Good Practice:
It is important to update policies and procedures as needed to address changes in processes, technologies, and business objectives. For this reason, consider updating these documents as soon as possible after a change occurs and not only on a periodic cycle
Requirement 2.1.1 is about effectively managing and maintaining the various policies and procedures specified throughout Requirement 2. While it is important to define the specific policies or procedures called out in Requirement 2, it is equally important to ensure they are properly documented, maintained, and disseminated.
Good Practice:
It is important to update policies and procedures as needed to address changes in processes, technologies, and business objectives. For this reason, consider updating these documents as soon as possible after a change occurs and not only on a periodic cycle
Definitions:
Security policies define the entity’s security objectives and principles.
Operational procedures describe how to perform activities, and define the controls, methods, and processes that are followed to achieve the desired result in a consistent manner and in accordance with policy objectives.
Requirement 5.1.1
5.1.1
Defined Approach Requirements:
All security policies and operational procedures that are identified in Requirement 5 are:
Defined Approach Requirements:
All security policies and operational procedures that are identified in Requirement 5 are:
- Documented.
- Kept up to date.
- In use.
- Known to all affected parties.
Customized Approach Objective:
Expectations, controls, and oversight for meeting activities within Requirement 5 are defined and adhered to by affected personnel. All supporting activities are repeatable, consistently applied, and conform to management’s intent.
Defined Approach Testing Procedures:
Expectations, controls, and oversight for meeting activities within Requirement 5 are defined and adhered to by affected personnel. All supporting activities are repeatable, consistently applied, and conform to management’s intent.
Defined Approach Testing Procedures:
- 5.1.1 Examine documentation and interview personnel to verify that security policies and operational procedures identified in Requirement 5 are managed in accordance with all elements specified in this requirement.
Purpose:
Requirement 5.1.1 is about effectively managing and maintaining the various policies and procedures specified throughout Requirement 5. While it is important to define the specific policies or procedures called out in Requirement 5, it is equally important to ensure they are properly documented, maintained, and disseminated.
Good Practice:
It is important to update policies and procedures as needed to address changes in processes, technologies, and business objectives. For this reason, consider updating these documents as soon as possible after a change occurs and not only on a periodic cycle.
Definitions:
Security policies define the entity’s security objectives and principles. Operational procedures describe how to perform activities, and define the controls, methods, and processes that are followed to achieve the desired result in a consistent manner and in accordance with policy objectives.
Requirement 5.1.1 is about effectively managing and maintaining the various policies and procedures specified throughout Requirement 5. While it is important to define the specific policies or procedures called out in Requirement 5, it is equally important to ensure they are properly documented, maintained, and disseminated.
Good Practice:
It is important to update policies and procedures as needed to address changes in processes, technologies, and business objectives. For this reason, consider updating these documents as soon as possible after a change occurs and not only on a periodic cycle.
Definitions:
Security policies define the entity’s security objectives and principles. Operational procedures describe how to perform activities, and define the controls, methods, and processes that are followed to achieve the desired result in a consistent manner and in accordance with policy objectives.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 2.1.1
2.1.1
Определенные Требования к Подходу:
Все политики безопасности и операционные процедуры, указанные в Требовании 2:
Определенные Требования к Подходу:
Все политики безопасности и операционные процедуры, указанные в Требовании 2:
- Задокументированы.
- Актаульны.
- Используются.
- Известны всем взаимосвязанным сторонам
Цель Индивидуального подхода:
Ожидания, средства контроля и надзор за выполнением мероприятий в рамках Требования 2 определяются и соблюдаются соответствующим персоналом. Все вспомогательные действия повторяемы, последовательно применяются и соответствуют намерениям руководства.
Определенные Процедуры Тестирования Подхода:
Ожидания, средства контроля и надзор за выполнением мероприятий в рамках Требования 2 определяются и соблюдаются соответствующим персоналом. Все вспомогательные действия повторяемы, последовательно применяются и соответствуют намерениям руководства.
Определенные Процедуры Тестирования Подхода:
- 2.1.1 Изучите документацию и опросите персонал, чтобы убедиться, что политика безопасности и операционные процедуры, указанные в Требовании 2, управляются в соответствии со всеми элементами, указанными в этом требовании.
Цель:
Требование 2.1.1 касается эффективного управления и поддержания различных политик и процедур, указанных в Требовании 2. Хотя важно определить конкретные политики или процедуры, указанные в Требовании 2, не менее важно обеспечить их надлежащее документирование, поддержание и распространение.
Надлежащая практика:
Важно обновлять политику и процедуры по мере необходимости для учета изменений в процессах, технологиях и бизнес-целях. По этой причине рассмотрите возможность обновления этих документов как можно скорее после внесения изменений, а не только периодически
Определения:
Политики безопасности определяют цели и принципы обеспечения безопасности организации.
Операционные процедуры описывают, как выполнять действия, и определяют средства контроля, методы и процессы, которые применяются для достижения желаемого результата последовательным образом и в соответствии с целями политики.
Требование 2.1.1 касается эффективного управления и поддержания различных политик и процедур, указанных в Требовании 2. Хотя важно определить конкретные политики или процедуры, указанные в Требовании 2, не менее важно обеспечить их надлежащее документирование, поддержание и распространение.
Надлежащая практика:
Важно обновлять политику и процедуры по мере необходимости для учета изменений в процессах, технологиях и бизнес-целях. По этой причине рассмотрите возможность обновления этих документов как можно скорее после внесения изменений, а не только периодически
Определения:
Политики безопасности определяют цели и принципы обеспечения безопасности организации.
Операционные процедуры описывают, как выполнять действия, и определяют средства контроля, методы и процессы, которые применяются для достижения желаемого результата последовательным образом и в соответствии с целями политики.
Requirement 5.1.1
5.1.1
Определенные Требования к Подходу:
Все политики безопасности и операционные процедуры, указанные в Требовании 5:
Определенные Требования к Подходу:
Все политики безопасности и операционные процедуры, указанные в Требовании 5:
- Документированы.
- Актуальны.
- Использоваться.
- Известны всем затронутым сторонам.
Цель Индивидуального подхода:
Ожидания, средства контроля и надзор за выполнением мероприятий в рамках Требования 5 определяются и соблюдаются соответствующим персоналом. Все вспомогательные действия повторяемы, последовательно применяются и соответствуют намерениям руководства.
Определенные Процедуры Тестирования Подхода:
Ожидания, средства контроля и надзор за выполнением мероприятий в рамках Требования 5 определяются и соблюдаются соответствующим персоналом. Все вспомогательные действия повторяемы, последовательно применяются и соответствуют намерениям руководства.
Определенные Процедуры Тестирования Подхода:
- 5.1.1 Изучите документацию и опросите персонал, чтобы убедиться, что политика безопасности и операционные процедуры, указанные в Требовании 5, управляются в соответствии со всеми элементами, указанными в этом требовании.
Цель:
Требование 5.1.1 касается эффективного управления и поддержания различных политик и процедур, указанных в Требовании 5. Хотя важно определить конкретные политики или процедуры, указанные в Требовании 5, не менее важно обеспечить их надлежащее документирование, поддержание и распространение.
Надлежащая практика:
Важно обновлять политику и процедуры по мере необходимости для учета изменений в процессах, технологиях и бизнес-целях. По этой причине рассмотрите возможность обновления этих документов как можно скорее после внесения изменений, а не только в периодическом цикле.
Определения:
Политики безопасности определяют цели и принципы обеспечения безопасности организации. Операционные процедуры описывают, как выполнять действия, и определяют средства контроля, методы и процессы, которые применяются для достижения желаемого результата последовательным образом и в соответствии с целями политики.
Требование 5.1.1 касается эффективного управления и поддержания различных политик и процедур, указанных в Требовании 5. Хотя важно определить конкретные политики или процедуры, указанные в Требовании 5, не менее важно обеспечить их надлежащее документирование, поддержание и распространение.
Надлежащая практика:
Важно обновлять политику и процедуры по мере необходимости для учета изменений в процессах, технологиях и бизнес-целях. По этой причине рассмотрите возможность обновления этих документов как можно скорее после внесения изменений, а не только в периодическом цикле.
Определения:
Политики безопасности определяют цели и принципы обеспечения безопасности организации. Операционные процедуры описывают, как выполнять действия, и определяют средства контроля, методы и процессы, которые применяются для достижения желаемого результата последовательным образом и в соответствии с целями политики.
Связанные защитные меры
| Название | Дата | Влияние | ||
|---|---|---|---|---|
|
Community
23 / 115
|
Разработка высокоуровневой политики информационной безопасности
Вручную
Организационная
Удерживающая
03.06.2021
|
03.06.2021 | 23 / 115 |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.