Необходимые мероприятия
Высшее руководство устанавливает политику ИБ.
Пояснение
Политика ИБ описывает стратегическую важность СМИБ для организации и является доступной в виде документированной информации. Политика управляет деятельностью в области ИБ в организации.
Политика устанавливает, что необходимо для ИБ в реальном контексте организации.
Руководство
Политика ИБ должна содержать краткие заявления высокого уровня о намерении и направлении в отношении ИБ. Она может быть определенной под область действия СМИБ или иметь более широкий охват.
Все другие политики, процедуры, мероприятия и цели, связанные с ИБ, должны быть согласованы с политикой ИБ.
Политика ИБ должна отражать деловую ситуацию организации, корпоративную культуру, факторы и цели организации, связанные с ИБ. Масштабы политики ИБ должны соответствовать целям и культуре организации и должны обеспечивать баланс между удобством чтения и полнотой информации. Важно, чтобы пользователи политики могли отождествлять себя со стратегическими направлениями политики.
Политика ИБ может либо включать цели ИБ для организации, либо описывать порядок установки целей ИБ (т.е. кто устанавливает их и как они должны быть раскрыты в рамках СМИБ). Например, в очень крупных организациях цели высокого уровня должны быть установлены высшим руководством всей организации, а затем в соответствии с порядком, установленным в политике ИБ, цели должны быть детализированы таким образом, чтобы они задавали направление всем заинтересованным сторонам.
Политика ИБ должна содержать четкое заявление высшего руководства об их обязательствах выполнять требования, связанные с ИБ.
Политика ИБ должна содержать четкое заявление о том, что высшее руководство поддерживает постоянное совершенствование всех видов деятельности. Этот принцип важно изложить в политике, чтобы лица, входящие в область действия СМИБ, знали о нем.
Политика ИБ должна быть доведена до сведения всех лиц, входящих в область действия СМИБ. Следовательно, ее формат и язык должны быть легкими для понимания сотрудниками.
Высшее руководство должно решить, каким заинтересованным сторонам следует сообщить о политике. Политика ИБ может быть сформулирована таким образом, чтобы ее можно было донести до соответствующих внешних заинтересованных сторон за пределами организации. Примерами таких внешних заинтересованных сторон являются заказчики, поставщики, подрядчики, субподрядчики и регулирующие органы. Если политика ИБ предоставляется внешним заинтересованным сторонам, она не должна включать конфиденциальную информацию.
Политика ИБ может быть реализована либо как отдельная независимая политика, либо как часть общей политики, охватывающей несколько систем менеджмента в рамках организации (например, качество, окружающая среда и ИБ).
Политика ИБ должна быть доступна в виде документированной информации. Требования ИСО/МЭК 27001 не предполагают какой-либо конкретной формы для этой документированной информации, и поэтому организация может решить, какая форма является наиболее подходящей. Если организация имеет стандартный шаблон для политик, политика ИБ должна ему соответствовать.
Дополнительная информация
Дополнительную информацию о политиках, связанных с ИБ, можно найти в ИСО/МЭК 27002.
Дополнительную информацию о взаимосвязи политики ИБ и других политик можно найти в приложении А.