Разработка политики информационной безопасности
Формирование общей политики компании подразумевает определение частных целей для всех областей деятельности, в том числе для процесса обеспечения информационной безопасности.
Правильно разработанная политика информационной безопасности позволяет ответить на важные вопросы:
- В каком состоянии находится информационная безопасность сейчас, и в каком направлении необходимо двигаться дальше?
- Какие из задач информационной безопасности наиболее приоритетны?
- Как распределять инвестиции?
- Что именно нужно сделать для решения поставленных задач?
- Как именно должна работать служба информационной безопасности, чтобы достичь поставленных целей?
- Как оценивать эффективность выполнения задач политики?
- Как избежать конфликтов между долгосрочными и краткосрочными целями?
- Что нужно сделать, чтобы политика реализовывалась, а не была всего лишь еще одним неработающим документом?
Эти вопросы становятся особенно актуальными в период, когда в компании или в законодательстве происходят значительные изменения. Пересмотр политики информационной безопасности необходим в случае смены стратегического курса компании, при слиянии или поглощении, в случае смены владельцев или высшего руководства.
Разработка политики информационной безопасности одновременно с политикой ИТ позволяет избежать впоследствии значительных затрат на изменение уже построенной ИТ-инфраструктуры в угоду требованиям по информационной безопасности.
Услуга по разработке политики информационной безопасности включает следующие работы:
- анализ политики бизнеса, кадровой политики и политики ИТ;
- анализ законодательных требований и требований регулирующих органов, действующих в отношении компании, в области информационной безопасности;
- разработка, оценка и выбор стратегических альтернатив;
- определение основных стратегических целей ИБ;
- определение задач, решение которых необходимо для реализации поставленных целей;
- формирование плана реализации стратегических задач и бюджетная оценка стоимости их выполнения.