• admin@kibc
• 21 grudnia 2021
• Brak komentarzy

Polityka bezpieczeństwa jest dokumentem opisującym jak organizacja zarządza, zabezpiecza i realizuje kluczowe procesy biznesowe. Są to zorganizowane działania mające doprowadzić do osiągnięcia założonego celu(ów) biznesowych.

Zaleca się, aby polityka bezpieczeństwa informacji była zatwierdzona przez kierownictwo oraz opublikowana i zakomunikowana pracownikom w organizacji, a także dostępna dla stron zainteresowanych tj. właściwych stron zewnętrznych. Jeśli PBI jest udostępniana na zewnątrz organizacji należy zwróć uwagę czy nie są ujawniane informacje poufne.

Polityka bezpieczeństwa informacji ustanowiona przez kierownictwo powinna odpowiadać celowi istnienia organizacji. Powinna być zgodna z właściwymi normami prawnymi, regulacjami oraz wymaganiami biznesowymi. PBI można zdefiniować również jako wytyczne i wsparcie działań na rzecz bezpieczeństwa informacji.

Polityka bezpieczeństwa powinna być dla pracowników jasna i zrozumiała, dlatego m.in. powinna zawierać taki element jak definicję bezpieczeństwa informacji.

Bezpieczeństwo informacji to ochrona informacji i systemów informatycznych przed nieuprawnionym dostępem, wykorzystaniem, ujawnieniem, uszkodzeniem, modyfikacją i zniszczeniem, w celu zapewnienia poufności, integralności i dostępności.

Dokument PBI obejmuje swoim zakresem takie elementy jak np. zmiany środowiska w którym występują zagrożenia dla BI , wyznaczenie odpowiedzialności w zakresie zarządzania BI przypisaną do konkretnych stanowisk, ale także zasady postępowania i kierowania wszystkimi działaniami związanymi z BI. W swoim zakresie może obejmować wszelkiego rodzaju procedury i polityki mające wpływ na bezpieczeństwo informacji np. polityka stosowania urządzeń mobilnych, polityka kontroli dostępu, polityka stosowania zabezpieczeń kryptograficznych, polityka czystego biurka i ekranu, polityka bezpieczeństwa informacji w relacjach z dostawcami, procedura obsługi incydentu itd.

Norma EN ISO/IEC 27001 zwraca uwagę na uświadamianie pracowników nie tylko z zasad określonych w polityce bezpieczeństwa informacji, ale również ich wkładu w skuteczność SZBI, w tym korzyści z doskonalenia BI. Istotne jest również, aby pracownicy organizacji byli świadomi konsekwencji niezgodności z wymaganiami SZBI.

Zaleca się aby do PBI była przypisana osoba odpowiedzialna za jej opracowanie i zarządzanie, ale także jej przegląd i ocenę. Wszelkie zmiany w PBI powinny być zaakceptowane w udokumentowany sposób przez kierownictwo oraz udostępnione i opublikowane dla pracowników. Przeglądy PBI, które umożliwiają jej doskonalenie należy wykonywać w zaplanowanych odstępach czasu oraz, gdy wystąpią istotne zmiany tak aby jej treść była aktualna i właściwa.

Dobrą praktyką jest aby do każdego aktywu lub procesu BI był wyznaczony odpowiedzialny podmiot, a szczegóły zakresu odpowiedzialności winny być udokumentowane. Osoby wyznaczone do sprawowania odpowiedzialności powinny posiadać kompetencje i możliwości na bieżąco nabierania umiejętności w tej dziedzinie wiedzy, aby rzetelnie i zgodnie z obowiązującym prawem oraz dobrymi praktykami wywiązywać się ze swojego zadania.