ГОСТ Р ИСО/ТО 13569-2007 Финансовые услуги. Рекомендации по информационной безопасности (с Поправкой)

     5.3 Разработка

После определения целей информационной безопасности организации и оценки воздействия положений и законодательства необходимо разработать план действий, согласованный с установленными бизнес-целями. План действий должен использоваться как руководство для разработки политики информационной безопасности организации (далее - политика)*.

_______________

* В настоящем стандарте термин "политика" является синонимом термина "общая политика информационной безопасности".

Важно, чтобы организация разработала политику, которая принимает в расчет цели организации и ее конкретные аспекты. Политика должна согласовываться с бизнесом организации, культурой, нормативной и правовой обстановкой, в которых действует предприятие. Разработка политики необходима для обеспечения целесообразности и эффективности процесса менеджмента риска программы обеспечения безопасности. Для разработки и эффективного внедрения политики нужна поддержка руководства всей организации. Адаптировав политику к бизнес-целям организации, политика будет способствовать наиболее эффективному использованию ресурсов и реализует последовательный подход к обеспечению безопасности во всем спектре разных информационных систем.