Аудит политики информационной безопасности
Документальное оформление Политики информационной безопасности (Политика)
Необходимо определить, что Политика:
- актуальна;
- надлежащим образом оформлена, утверждена и подписана руководством;
- доведена до всех работников, и имеется в общедоступном ресурсе.
Согласно стандартам этот документ (документы) должен содержать, по крайней мере, следующее:
1) определение ИБ, ее основные цели и область ее применения, а также ее значение как механизма, позволяющего коллективно использовать информацию;
2) изложение целей и принципов ИБ, сформулированных руководством, а также функции руководства по поддержанию вопросов обеспечения ИБ;
3) краткое изложение наиболее существенных для политик принципов, стандартов и требований к ее соблюдению;
4) определение общих и конкретных обязанностей работников по обеспечению режима ИБ, включая информирование об инцидентах нарушения информационной безопасности, а также требований в случае нарушения Политики;
5) разъяснение процесса уведомления о событиях, таящих угрозу безопасности.
Пересмотр Политики и оценка. При этом необходимо определить наличие:
- функций и ответственности за поддержание Политики в актуальном состоянии;
- процесса, что пересмотр будет осуществлен в ответ на любые изменения. Например, серьезный инцидент безопасности, новые уязвимости, изменения организационной или технической инфраструктуры;
- адекватных и выполнимых требований Политики;
- назначенного ответственного подразделения или работника за разработку, пересмотр и анализ Политики.
Достарыңызбен бөлісу: | 
