Политики за информационна сигурност (5.1)

Първият механизъм за контрол от организационната група контроли(секция 5 от Annex A на ISO/IEC 27001:2022) се отнася до политиките за информационна сигурност.

Описание

Стандартът изисква политиките за информационна сигурност да бъдат определени, одобрени и комуникирани с подходящите заинтересовани страни. За да се осигури тяхната актуалност е необходимо те да бъдат преглеждани през планирани интервали и в случай на промяна в обстоятелствата.
Целта на този механизъм за контрол е да се осигури пригодност, адекватност и съответствие с приложимите изисквания.

Атрибути

Този вид контрол е превантивен, което означава, че той е предназначен да предотврати появата на инцидент, свързан с информационната сигурност. Освен това е насочен към запазването на трите характеристики на информацията – поверителност, цялостност, наличност.

Допълнителна информация

При разработване на СУСИ се създават политики, условно разделени в две групи.

Политики от високо ниво

Към първата група се отнасят политиките създадени и утвърдени от ръководството на организацията, които отразяват подхода на организацията по отношение управление на сигурността на информацията. Тяхната цел и съдържание се определя в зависимост от бизнес стратегията на организацията, приложимите нормативни изисквания, рисковете и заплахите за информационната сигурност. Те включват информация за политиката и целите по информационна сигурност, принципи, изявления относно спазване на приложимите нормативни актове и за постоянно подобряване, разпределяне на роли и отговорности и др.

Специфични политики

Към втората група се отнасят условно наречените специфични политики. Това са политики, които включват намерения, насоки и правила по конкретна тема за нуждите на определени целеви групи или на определени области на сигурност. Те се разработват в подкрепа(допълнение) на политиките от първата група и са пряко свързани с тях. Примери за специфични политики са политиката за контрол на достъпа, политика за чисто бюро и чист екран. Отговорност за разработването, прегледа и одобрението на специфичните политики е на лица с подходящо ниво на техническа компетентност и съответни пълномощия.

Преглед на политиките

Изискване на стандарта е политиките да се преглеждат през планирани интервали, за да се осигури тяхната актуалност и адекватност. При прегледа е необходимо да се вземат предвид резултатите от проведените одити и прегледи от ръководството. При промяна и актуализация на политика от СУСИ е необходимо да се извърши преглед на свързаните политики.

Информиране

Служителите на организацията трябва да са запознати с политиките, независимо от техния вид. За да бъдат наясно с изискванията по отношение на сигурността на информацията, политиките трябва да бъдат представени по подходящ и разбираем начин. Важно е служителите да потвърдят, че разбират политиките и че са съгласни да ги спазват.
Освен това, подходящите заинтересовани страни също трябва да бъдат запознати с политиките, които се отнасят до тях. Но, когато се разпространява политика извън рамките на организацията е необходимо да се провери дали това няма да доведе до разкриване на поверителна информация.

Документиране

Организациите могат да определят формата и наименованието на политиките в съответствие с техните нужди. В стандарта се използва термина “политика“, но се допуска използването на други термини, като например стандарт, процедура, правила, инструкция, регламент и др. Също така е допустимо двата вида политики да са представени в един документ.

Източник на изображението

0 отговори на "Политики за информационна сигурност (5.1)"

Публикувай коментар

Вашият имейл адрес няма да бъде публикуван.

© Качеството ЕООД. Всички права запазени

Изработка на уеб сайт от Vipe Studio