ГОСТ Р ИСО/МЭК ТО 13335-3-2007 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий

     7 Цели, стратегия и политика безопасности информационных технологий

После того как организация сформулировала цели безопасности информационных технологий, должна быть выбрана стратегия безопасности с тем, чтобы сформировать основу для разработки политики безопасности информационных технологий. Разработка политики безопасности ИТ чрезвычайно важна для обеспечения приемлемости результатов процесса менеджмента риска и должного эффекта от снижения уровня риска. Для разработки и эффективной реализации политики безопасности ИТ требуется организационное решение в рамках организации. Важно, чтобы разработанная политика безопасности информационных технологий учитывала цели и конкретные особенности деятельности организации. Она должна соответствовать политике безопасности и деловой направленности организации. При наличии такого соответствия реализация политики безопасности информационных технологий будет способствовать наиболее эффективному использованию ресурсов и обеспечит последовательный подход к проблемам безопасности для широкого диапазона условий функционирования системы.

Может возникнуть необходимость в разработке отдельной и специфической политики безопасности для каждой из систем информационных технологий. Подобная политика должна быть основана на результатах анализа риска (или результатах базового подхода) и соответствовать политике безопасности систем информационных технологий, при этом политика безопасности должна учитывать рекомендации по обеспечению безопасности, выработанные для соответствующей системы.