Политика информационной безопасности должна отражать совокупность официальных взглядов руководства организации на информационную безопасность: ее цели, задачи, принципы и направления. Набрел на чей-то набросок политики ИБ, который мне показался "кратким и по делу". Возможно, кому-то будет полезен:
Политика информационной безопасности <компания>
Введение
Политика информационной безопасности (далее - ИБ) определяет основные цели, задачи, принципы и направления обеспечения ИБ.
Пишем - Что компания относит к информационным активам?
Главной целью ИБ является...
……
Внедрение данной Политики важно с точки зрения нашей целостности как поставщика продуктов и услуг для внутренних и внешних заказчиков.
Применимость
Общее описание области действия Политики или ссылка на соответствующий документ.
Цели
Защита информационных активов принадлежащих Компании.
Защита информации о заказчике/партнере.
Обеспечение конфиденциальности в отношениях с партнерами, предусматривающих обмен информации.
...
Задачи
Описание того, что нужно сделать, что бы достигнуть указанных ранее целей (см. раздел “Цели”)
Например: Разработка, внедрение и поддержание в актуальном состоянии СУИБ посредством реализации следующих мер……
Специфические политики
В поддержку данной Политики должны быть разработаны следующие документы:
Перечислятся документы в поддержку Политики
Например: Политика обработки инцидентов ИБ
Заканчивается список условиями, при которых можно этот список менять и дополнять.
Отчетность
Кто и как отчитывается по ИБ. Краткое описание и/или ссылка на соответствующий документ.
Ответственность
Кто отвечает за пересмотр настоящей Политики?
Кто отвечает за разработку, внедрение настоящей Политики?
….
Все сотрудники Компании несут ответственность за внедрение и исполнение ….
Все сотрудники должны понимать свои обязанности по …..
К сотрудникам, нарушившим политики и процедуры обеспечения безопасности, могут быть применены …...
Пересмотр
Когда и как должна пересматриваться данная Политика?
Например: Настоящая Политика подлежит регулярному пересмотру с целью обеспечения её пригодности для бизнеса. Пересмотр политики должен происходить не реже одного раза в год.
Условия для непланового пересмотра Политики.