Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная ФОРУМ Разработка документов по информационной безопасности Политика информационной безопасности
Protectiva Compliance Manager

Политика информационной безопасности

Операции с документом
Вверх к Разработка документов по информационной безопасности

Политика информационной безопасности

Послано Александр К. в 18.Июнь.2012 12:44
Есть вопрос по написанию Политики ИБ: документ вышел более похожий на стратегию нежели на политику, в том плане, что там описано что должны быть задокументированы и выполнены следующие процедуры и перечислены какие… а процедур-то этих еще нет… В общем получился документ описывающий то, к чему Банк должен придти, но не то, что есть в реальности – это нормально? Управление рисков в нашем Баке сказало, что регуляторы при проверке за это по голове не погладят и что в политике должно быть описано лишь то что есть.

Политика информационной безопасности

Послано Слав Петров в 18.Июнь.2012 12:51
Здравствуйте, если вы строите СУИБ по требованиям стандарта ISO 27001:2005, пожалуйста посмотрите пункт 4.2.1 б) ISO 27001:2005 - там очень хорошо написано что должа содержить политика ИБ

[signature]
Слав Петров
iSMS консультант, ITSMS консультант
IRCA сертифицированный iSMS аудитор
www.mscservices.eu/ru
[/signature]

Политика информационной безопасности

Послано Александр Астахов в 18.Июнь.2012 13:05
Если руководствоваться определениями международных стандартов (ISO 27001, ISO 27002 и т.д.), то Политика ИБ - это как-раз документ, выражающий, прежде всего, намерение руководства обеспечивать защиту информации, а затем определяющий основные направления, по которым эта защита будет обеспечиваться.

Вот, например, выдержка из BS ISO/IEC 17799:2005 (п. 5.1.1):

Документированная политика информационной безопасности должна заявлять о приверженности руководства и устанавливать подход к управлению информационной безопасностью в организации. Документированная политика должна содержать следующие заявления:
a) определение понятия информационной безопасности, ее основных целей, области действия и важности безопасности как механизма, дающего возможность осуществлять совместное использование информации (см. Введение);
b) заявление о намерении руководства поддерживать достижение целей и соблюдение принципов информационной безопасности в соответствии с целями и стратегией бизнеса;
c) основные положения для определения целей и механизмов контроля, включая структуру оценки и управления рисками;
d) краткое разъяснение политик безопасности, стандартов, принципов и требований, особенно важных для организации, включая:
1) соответствие требованиям законодательства, нормативной базы и договоров;
2) требования к повышению осведомленности, обучению и тренингам в области безопасности;
3) управление непрерывностью бизнеса;
4) последствия нарушений политики информационной безопасности;
e) определение общей и индивидуальной ответственности за управление информационной безопасностью, включая оповещение об инцидентах безопасности;
f) ссылки на документы, которые могут поддерживать политику, например, более детализированные политики и процедуры безопасности для отдельных информационных систем или правила безопасности, которым должны следовать пользователи.

Политика информационной безопасности

Послано Александр К. в 19.Июнь.2012 14:38
Спасибо за информацию
Быстрый ответ
Адреса автоматически превратятся в ссылки. Основные тэги HTML в порядке
Разработано Ploneboard
Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2020 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex