12.1.1
Определенные Требования к Подходу:
Общая политика информационной безопасности - это:

Цель Индивидуального подхода:
Стратегические цели и принципы информационной безопасности определены, приняты и известны всему персоналу.

Определенные Процедуры Тестирования Подхода:

Цель:
Общая политика информационной безопасности организации связана со всеми другими политиками и процедурами, определяющими защиту данных о держателях карт, и регулирует их.
Политика информационной безопасности отражает намерения и цели руководства в отношении защиты его наиболее ценных активов, включая данные о держателях карт.
Без политики информационной безопасности отдельные лица будут принимать свои собственные ценностные решения в отношении средств контроля, которые требуются в организации, что может привести к тому, что организация не будет выполнять свои юридические, нормативные и договорные обязательства, а также не сможет надлежащим образом защитить свои активы последовательным образом.
Для обеспечения реализации политики важно, чтобы весь соответствующий персонал в организации, а также соответствующие третьи стороны, поставщики и деловые партнеры были осведомлены о политике информационной безопасности организации и их обязанностях по защите информационных активов.

Надлежащая практика:
Политика безопасности организации определяет цель, сферу охвата, подотчетность и информацию, которая четко определяет позицию организации в отношении информационной безопасности.
Общая политика информационной безопасности отличается от отдельных политик безопасности, которые касаются конкретных технологий или дисциплин безопасности. Эта политика устанавливает директивы для всей организации, в то время как отдельные политики безопасности согласовывают и поддерживают общую политику безопасности и сообщают конкретные цели для технологий или дисциплин безопасности.
Важно, чтобы весь соответствующий персонал в организации, а также соответствующие третьи стороны, поставщики и деловые партнеры были осведомлены о политике информационной безопасности организации и их обязанностях по защите информационных активов.

Определения:
“Соответствующий” для этого требования означает, что политика информационной безопасности распространяется среди лиц, чьи роли применимы к некоторым или всем разделам политики, либо внутри компании, либо из-за услуг/функций, выполняемых поставщиком или третьей стороной

12.1.2
Определенные Требования к Подходу:
Политика информационной безопасности заключается в:

Цель Индивидуального подхода:
Политика информационной безопасности продолжает отражать стратегические цели и принципы организации.

Определенные Процедуры Тестирования Подхода:

Цель:
Угрозы безопасности и связанные с ними методы защиты быстро развиваются. Без обновления политики информационной безопасности с учетом соответствующих изменений новые меры защиты от этих угроз могут быть не приняты.

12.1.3
Определенные Требования к Подходу:
Политика безопасности четко определяет роли и обязанности в области информационной безопасности для всего персонала, и все сотрудники осознают и признают свои обязанности в области информационной безопасности.

Цель Индивидуального подхода:
Персонал понимает свою роль в защите данных о держателях карт организации.

Определенные Процедуры Тестирования Подхода:

Цель:
Без четко определенных ролей и обязанностей в области безопасности может произойти неправильное использование информационных ресурсов организации или непоследовательное взаимодействие с персоналом по информационной безопасности, что приведет к ненадежному внедрению технологий или использованию устаревших или небезопасных технологий.

12.1.4
Определенные Требования к Подходу:
Ответственность за информационную безопасность официально возлагается на главного сотрудника по информационной безопасности или другого члена исполнительного руководства, обладающего знаниями в области информационной безопасности.

Цель Индивидуального подхода:
Назначенный член исполнительного руководства отвечает за информационную безопасность.

Определенные Процедуры Тестирования Подхода:

Цель:
Чтобы гарантировать, что кто-то, обладающий достаточными полномочиями и ответственностью, активно управляет и поддерживает программу информационной безопасности организации, подотчетность и ответственность за информационную безопасность должны быть распределены на исполнительном уровне внутри организации.
Общие должности исполнительного руководства для этой роли включают Главного сотрудника по информационной безопасности (CISO) и Главного сотрудника по безопасности (CSO – для выполнения этого требования роль CSO должна отвечать за информационную безопасность). Эти должности часто находятся на самом высоком уровне руководства и являются частью уровня главного исполнительного директора или уровня C, обычно подчиняясь Главному исполнительному директору или Совету директоров.

Надлежащая практика:
Организациям следует также рассмотреть планы перехода и/или преемственности для этих ключевых сотрудников, чтобы избежать потенциальных пробелов в критически важных мероприятиях по обеспечению безопасности.