ГОСТ Р ИСО ТО 13569-2007; Страница 18

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ Р 52992-2008 Колбасы полукопченые для детского питания. Технические условия Semi-smoked sausages for children's nutrition. Specifications (Настоящий стандарт распространяется на полукопченые колбасы, предназначенные для питания детей старше шести лет) ГОСТ Р 52958-2008 Шкурки меховые и овчины выделанные. Правила приемки, методы отбора образцов и подготовка их для контроля Dressed fur and sheеpskins. Rules of acceptance, methods of sampling and their preparation for control (Настоящий стандарт распространяется на выделанные меховые шкурки, овчины и меховые изделия и устанавливает правила приемки, методы отбора образцов для механических и физико-химических испытаний и подготовку их для контроля) ГОСТ Р ИСО 13397-4-2008 Стоматологические кюретки, инструменты для снятия зубных отложений и экскаваторы. Часть 4. Стоматологические экскаваторы – дисковидный тип. Конструкция и размеры. Методы испытаний Dental curettes, scalers and excavators. Part 4. Dental excavators - discoid type. Construction and sizes. Test methods (Настоящий стандарт устанавливает размеры для стоматологических экскаваторов с дисковидными рабочими частями)

Страница 18

Страница 1

Untitled document

ГОСТ Р ИСО ТО 13569 —2007

и обеспечение осведомленности в области безопасности поручено руководству на самом высоком

уровне.

Всем заинтересованным сторонам должно быть ясно, что документ политики вступает в силу при

согласовании и утверждении его соответствующими должностными лицами организации. Документдолжен

содержать заявление о намерении организации действовать согласованнос соответствующими местными и

международными правовыми и нормативными структурами и основывать свою программу информацион ной

безопасности на твердых принципах и практических приемах, признанных в национальных и междуна

родных стандартах по безопасности.

Документ политики безопасностидолжен быть практически неизменным. Его изменение должно быть

обусловлено изменениями стратегических целей, воспринимаемого бизнес-риска или событиями, влияю

щими на нормативную и правовую обстановку, в которой функционирует организация. Должностные лица

организации и персонал на уровне правления должны предписывать процедуры и параметры контроля за

внесением изменений.

5.4.1.3 Представительство

В разработке политики должны принимать участие представители различных видов деятельности.

Группа разработки должна включать всебя членов совета директоров, административныхлиц. представи

телей юридической службы, членов комитета по менеджменту риска и аудиторского комитета. Формулируя

политику, группа разработкидолжна получить данные от специалистов всего предприятия, например спе

циалистов по финансам, физической безопасности и информационным технологиям.

5.4.1.4 Классификация информации

Одним из аспектов реализации политики является классификация информации ограниченногодосту

па. Во многом схожиес «совершенно секретными», «секретными» и «несекретными» военными системами

финансовые учреждения обладают информацией различной степени. Результаты классификации информа

ционных активов показывают, когда следует внедрять «хорошие», «лучшие» или «наилучшие» меры уп

равления. Существует много типов системы классификации. Важным моментом для финансовогоучрежде

ния является определение классификационных уровней и использование классификации информации при

вынесении решений о принятии риска. Например, риск, являющийся приемлемым для общественной ин

формации, вероятно,будет неприемлемым для «совершенно секретной» информации. Преимущество клас

сификации информации заключается в обеспечении поддержки руководства вотношении того, как служа

щие должны обращаться с информацией. Если документ, файл или база данных содержат информацию,

относящуюся кразличным иерархическим уровням, с ними следует обращаться всоответствии с процеду

рами. установленнымидля наивысшего классификационного уровня содержащейся в них информации.

Важно отметить, что классификационный уровень информации может меняться в течение срока ее

действия. Внесение изменения должно контролироваться согласно политикеорганизации.

5.4.2 Документы практики обеспечения безопасности

Документы практики обеспечения безопасности {далее— документы практики)основаны на содержа

нии документации политики.Данныедокументы определяютобщие стандарты безопасности, которым дол

жна следовать организация. Документы практики отражают намерения и цели, установленные

руковод ством самого высокого уровня при создании программы информационной безопасности, и

документируют намерение реализовать политику независимым от технологии способом. Областьдействия

документа прак тики значительно ужедействия документа политики. Вдокумент практики включают

требования обеспече ния безопасности организации и технологии выполнения работ по ее обеспечению.

Объем документа прак тики является переменным и зависит от его содержания.

Числодокументов практики должно быть сведено к минимуму. Число необходимых документов зави

ситот величины организации и ее бизнес-потребностей, а также объема и сложности деятельности органи

зации. Правовая и нормативная среды, оказывающие воздействие на организацию, могут также влиять на

число необходимых документов практики.

Документ практики не является общедоступным’

По своемухарактеруэтот документ общего назна

чения является технологически нейтральным. Он является менее абстрактным, чем документ политики и

может оказывать меньшее влияние на всюорганизацию, поскольку применим только кнекоторым аспектам

деятельности организации. Например, очень простойдокумент практики может содержатьследующее про

стое утверждение. «Аутентификация доступа к информационным активам организации должна осуществ-

11Возможны обстоятельства, при котором документ практики должен быть представлен регулирующим

органам.