ГОСТ Р ИСО/МЭК 27002-2012
Рекомендация по реализации
Политика информационной безопасности должна устанавливать ответственность
руководства, а также излагать подход организации к менеджменту информационной
безопасности, Документ, в котором излагается политика, должен содержать положения
относительно:
a) определения информационной безопасности, ее общих целей и сферы
действия, а также упоминания значения безопасности как инструмента, обеспечивающего
возможность совместного использования информации (см. «Введение»);
b
) изложения намерений руководства,поддерживающихцели и принципы
информационной безопасности в соответствии со стратегией и целями бизнеса;
c) подхода к установлению мер и средств контроля и управления и целей их
применения, включая структуру оценки риска и менеджмента риска;
d) краткого разъяснения наиболее существенных для организации политик
безопасности, принципов, стандартов и требований соответствия, например:
1) соответствиезаконодательнымтребованиямидоговорным
обязательствам;
2) требования по обеспечению осведомленности, обучения и тренинга в
отношении безопасности;
3) менеджмент непрерывности бизнеса;
4) ответственность за нарушения политики информационной безопасности;
e) определения общих и конкретных обязанностей сотрудников в рамках
менеджмента информационной безопасности, включая информирование об инцидентах
безопасности;
f) ссылок на документы, дополняющие политику информационной безопасности,
например более детальные политики и процедуры безопасности для определенных
информационных систем, а также правила безопасности, которым должны следовать
пользователи.
Данная политика информационной безопасности должна быть доведена до
сведения пользователей в рамках всей организации в актуальной, доступной и понятной
форме.
9