Политика безопасности необходима для формирования целей и задач информационной безопасности компании.
Руководство компании должно понимать, что действия любого сотрудника должны быть регламентированы не только бизнес-процессом, но и рядом ограничений, соблюдение которых позволяет снизить риски, такие как утечка или пропажа информации, ее искажение и т.п. Любые эти действия должны быть определены в руководящих документах компании – прежде всего в «Политике информационной безопасности».
Как показывает практика, рядовой пользователь не задумывается о рисках, и зачастую, не уделяет должного внимания вопросам безопасности, несмотря на постоянные напоминания о злоумышленниках в Интернете, о хакерах и об уголовной ответственности.
При наличии в компании политики ИБ вы можете потребовать с этих пользователей строгого исполнения требований политики информационной безопасности компании, которая утверждена высшим административным органом компании.
Политика ИБ документ первого уровня, который содержит в себе определение целей и задач, как информационной безопасности, так и подразделений по информационной безопасности. Дальше ее должны расширять и дополнять другие документы (положения, регламенты, инструкции и т.д.), которые уже будут описывать что-то конкретное.
Политика информационной безопасности – это основополагающий документ, разрабатываемый в организациях, которые действительно заинтересованы в безопасности бизнес-процессов.