Политика информационной безопасности (от Агентства информационной безопасности "Атлант")
Настоящая политика определяет цели и принципы обеспечения информационной безопасности в Компании.
Политика распространяется на главный офис Компании и все филиалы. Политика обязательна для исполнения всеми сотрудниками, а также лицами, работающими с информацией, принадлежащей Компании, в рамках заключенных контрактов.
Под обеспечением информационной безопасности или защитой информации понимается сохранение ее конфиденциальности, целостности и доступности. Конфиденциальность информации обеспечивается в случае предоставления доступа к данным только авторизованным лицам, целостность - в случае внесения в данные исключительно авторизованных изменений, доступность - при обеспечении возможности получения доступа к данным авторизованным лицам в нужное для них время.
Целями обеспечения информационной безопасности являются минимизация ущерба от реализации угроз информационной безопасности и улучшение деловой репутации и корпоративной культуры Компании.
Информация является важным активом Компании и ее защита является обязанностью каждого сотрудника.
Доступ к информации предоставляется только лицам, которым он необходим для выполнения должностных или контрактных обязательств в минимально возможном объеме.
Для каждого информационного ресурса определяется владелец, отвечающий за предоставление к нему доступа и эффективное функционирование мер защиты информации.
Сотрудники Компании проходят регулярное обучение в области информационной безопасности.
В Компании ежегодно проводится независимый аудит информационной безопасности.
Генеральный директор Компании утверждает политики информационной безопасности.
Отдел информационной безопасности отвечает за определение детальных требований информационной безопасности и контролирует их исполнение в Компании.
Система управления информационной безопасностью в Компании строится на основе международных стандартов ISO 27001 и ISO 27002.
Меры защиты информации внедряются по результатам проведения оценки рисков информационной безопасности.
Оценка рисков информационной безопасности проводится ежегодно, а также в случае значительных изменений в структуре Компании и ее бизнес-процессах.
При оценке рисков учитывается влияние реализации угроз информационной безопасности на финансовое положение Компании и ее репутацию на рынке.
Стоимость принимаемых мер не должна превышать возможный ущерб, возникающий при реализации угроз.
Успешное достижение целей настоящей политики возможно только при выполнении положений следующих детальных политик информационной безопасности:
- Политика использования паролей;
- Политика использования сети Интернет;
- Политика использования электронной почты;
- …
Несоблюдение политик информационной безопасности сотрудниками Компании может повлечь дисциплинарные меры взыскания вплоть до увольнения.
Источник: сайт агентства информационной безопасности «Атлант»