Политика по сигурност на информацията

Политиката по сигурност на информацията е основна част от СУСИ, чрез която ръководството на организацията демонстрира своето лидерство и ангажимент спрямо СУСИ.

Цел на политиката за сигурност на информацията

Политиката има за цел да даде общи насоки за виждането на ръководството на организацията по отношение на сигурността на информацията или с други думи казано – какво иска ръководството да се постигне в тази посока. От друга страна, политиката осигурява рамката за определяне на целите за сигурност на информацията.

Какви са изисквания на ISO/IEC 27001:2022?

В т.5.2 от ISO/IEC 27001:2022 са определени изискванията към съдържанието на политиката, които включват:

  • политиката трябва да е подходяща за целта на организацията – това означава, че ангажиментите на ръководството трябва да бъдат адекватни за дейността и целите на организацията. Не може да се вземе политика от една компания и просто да се копира за друга, пък било то и за организации от един сектор и с един и същи предмет на дейност. Ръководството е различно, стремежите са различни, начините на работа са различни, което предполага и различни политики;
  • политиката трябва да съдържа цели или да осигурява рамка за определяне на цели за сигурност на информацията. Обикновено в политиката се посочват стратегическите цели на организацията, които се отнасят за по-дълъг период от време, на база на които се определят конкретните(оперативни) цели съгласно т.6.2 от ISO/IEC 27001:2022;
  • чрез политиката ръководството трябва да поеме ангажимента за изпълнение на приложимите изисквания и за постоянното подобряване на СУСИ, което обикновено се постига чрез изявление в рамките на политиката.

Освен това, стандартът поставя изисквания относно разпространението на политиката:

  • тя трябва да бъде комуникирана в рамките на организацията, по такъв начин, че служителите да са наясно освен с нейното съществуване, а и с нейното значение, например чрез провеждане на периодични обучения;
  • тя трябва да бъде достъпна за заинтересованите страни, когато това е подходящо. Най-често това се постига чрез публикуване на политиката на интернет страница на организацията.

ISO/IEC 27001:2022 поставя изискване политиката за сигурност на информацията да е налична като документирана информация. Добра практика е политиката да се представи в отделен документ от СУСИ.

Как се пише политика за сигурност на информацията?

Както стана ясно в началото на статията, чрез политиката ръководството изразява своето намерение и ангажимент по отношение на сигурността на информацията. Проблемът е, че не можем да очакваме ръководството само да напише политиката. Тази задача обикновено се възлага на лицето, което ще отговаря за СУСИ. В повечето случаи, разговорът с ръководството по такъв тип въпроси представлява сериозно предизвикателство. Въпреки това, виждането на ръководството относно сигурността на информацията е от ключово важно значение за СУСИ и трябва да се намери начин да се получи тази информация от него.

Освен това, предварително е необходима информация за приложимите законодателни и договорни изисквания, защото в политиката се поема ангажимент за тяхното спазване. Това не означава, че те трябва да бъдат изброявани в политиката, а че не би следвало да се поеме ангажимент за нещо, което не се знае какво е точно.

Друг ангажимент, който ръководството поема в политиката е за постоянно подобряване. Разработването на СУСИ не е еднократен акт, който прилкючва с нейното внедряване. Системата се развива и подобрява на базата на внедрения процес на наблюдение, анализ и оценяване. Това е постоянно функциониращ процес, който изисква изпълнението на определени дейности, а много често е свързан и с инвестиции. Ръководството трябва да е наясно с процеса на постоянно подобряване на СУСИ и да потвърди своя ангажимент към неговото прилагане. Колкото ръководството е по-наясно с ангажиментите, които поема с внедряването на СУСИ, толкова по-голяма е вероятността системата да е реално работеща и да носи ползи на организацията.

Въпреки, че няма изискване на ISO/IEC 27001:2022, добра практика е в политиката за сигурност на информацията да се включи информацията за обхвата на СУСИ.

Важна подробност – в политиката не се включват правилата за сигурност на информацията, които се прилагат от организацията. Тези правила се документират в отделни оперативни политики за сигурност като политика за контрол на достъпа, за класифициране на информацията и т.н.

Както е видно, политиката за сигурност на информацията не е необходимо да е дълъг и сложен документ. Тя трябва да бъде кратка и ясна, както за ръководството, така и за служителите на организацията, което ще ѝ позволи да изпълнява своята роля.

 

Източник на изображението

0 отговори на "Политика по сигурност на информацията"

Публикувай коментар

Вашият имейл адрес няма да бъде публикуван.

© Качеството ЕООД. Всички права запазени

Изработка на уеб сайт от Vipe Studio