Как грамотно разработать политику информационной безопасности организации?

Политика информационной безопасности - самый важный документ в системе управления информационной безопасностью (СУИБ) организации, выступающий в качестве одного из ключевых механизмов безопасности.

Согласно ISO 17799 документированная политика информационной безопасности должна заявлять о приверженности руководства и устанавливать подход к управлению информационной безопасностью, определять понятие информационной безопасности, ее основные цели и область действия, содержать основные положения для определения целей и механизмов контроля, включая структуру оценки и управления рисками и многое другое.

Согласно ISO 27001 политика информационной безопасности является подмножеством более общего документа - политики СУИБ, включающей в себя основные положения для определения целей СУИБ и устанавливающей общее направление и принципы деятельности по отношению к информационной безопасности, учитывающей требования бизнеса, законодательной или нормативной базы, контрактные обязательства, устанавливаливающей критерии для оценивания рисков и т.д.

Политика информационной безопасности и политика СУИБ организации могут быть описаны в одном документе. Разработка такого документа - задача непростая и очень ответственная. С одной стороны политика информационной безопасности должна быть достаточно емкой и понятной для всех сотрудников организации. С другой стороны, на основе этого документа строится вся система мер по обеспечению информационной безопасности, поэтому он должен быть досточно полным и всеохватывающим. Любые упущения и неоднозначности могут серьезным образом отразиться на функционировании СУИБ организации. Политика информационной безопасности должна полностью соответствовать требованиям международных стандартов ISO 27001/17799. Это необходимое условие для успешного прохождения сертификации.

Для того, чтобы упростить организациям задачу разработки политики ИБ и политики СУИБ и заложить прочный фундамент для создания СУИБ, GlobalTrust разработал типовую высокоуровневую политику информационной безопасности, в полном соответствии с требованиями международных стандартов ISO 27001/17799. Целью данной Политики является защита информационных ресурсов организации от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, обеспечение непрерывности бизнеса и минимизация ущерба, наносимого бизнесу в результате осуществления инцидентов информационной безопасности, максимизация прибыли на инвестированный капитал и получение дополнительных возможностей для бизнеса.

Приобретение политики информационной безопасности можно в Интернет-магазине GlobalTrust.ru:

http://globaltrust.ru/shop/show_good.php?idtov=1055

Подробнее о разработке и внедрении эффективных политик информационной безопасности:

http://globaltrust.ru/shop/osnov.php?idstat=54&idcatstat=13