Формирование общей политики компании подразумевает определение частных целей для всех областей деятельности, в том числе для процесса обеспечения информационной безопасности.

Правильно разработанная политика информационной безопасности позволяет ответить на важные вопросы:

 

  • В каком состоянии находится информационная безопасность сейчас, и в каком направлении необходимо двигаться дальше?
  • Какие из задач информационной безопасности наиболее приоритетны?
  • Как распределять инвестиции?
  • Что именно нужно сделать для решения поставленных задач?
  • Как именно должна работать служба информационной безопасности, чтобы достичь поставленных целей?
  • Как оценивать эффективность выполнения задач политики?
  • Как избежать конфликтов между долгосрочными и краткосрочными целями?
  • Что нужно сделать, чтобы политика реализовывалась, а не была всего лишь еще одним неработающим документом?

 

Эти вопросы становятся особенно актуальными в период, когда в компании происходят значительные изменения. Пересмотр политики информационной безопасности необходим в случае смены стратегического курса компании, при слиянии или поглощении, в случае смены владельцев или высшего руководства.

Разработка политики информационной безопасности одновременно со политикой ИТ позволяет избежать впоследствии значительных затрат на изменение уже построенной ИТ-инфраструктуры в угоду требованиям по информационной безопасности.

 

Услуга по разработке политики информационной безопасности включает следующие работы:

 

  • анализ политики бизнеса, кадровой политики и политики ИТ;
  • анализ законодательных требований и требований регулирующих органов, действующих в отношении компании, в области информационной безопасности;
  • разработка, оценка и выбор стратегических альтернатив;
  • определение основных стратегических целей ИБ;
  • определение задач, решение которых необходимо для реализации поставленных целей;
  • формирование плана реализации стратегических задач и бюджетная оценка стоимости их выполнения.