Политика информационной безопасности
Политика информационной безопасности компании определяет основную стратегию и принципы, относящиеся к управлению информационной безопасностью (ISMS) в соответствии с ČSN ISO/IEC 27001, определяет основные правила безопасности для эксплуатации, использования и обслуживания информационных и коммуникационных технологий с целью обеспечения требуемой доступности и защиты информации, а также минимизации ущерба от возможных инцидентов безопасности.
Основные принципы работы с информацией и способы ее защиты
- Обеспечение защиты персональных данных в соответствии с действующим законодательством.
- Разработка и продвижение системы контролируемого доступа к информации.
- Включение информационной безопасности в должностные обязанности.
- Обеспечение систематического обучения и повышение квалификации сотрудников в области информационной безопасности.
- Постоянное выявление инцидентов безопасности и принятие эффективных мер по повышению уровня информационной безопасности.
- Разработка комплекса мер по обеспечению непрерывности в случае крупного информационного сбоя, а также регулярное тестирование и проверка этих мер.
- Обеспечение доступности информационных систем, Интернета, электронной почты и других средств обмена информацией для общественности.
- Управление системой физического доступа в помещения в целях снижения угроз для информационных активов.
- Проведение политики безопасного рабочего места: чистые столы, пустые экраны и мусорные корзины.
- Обеспечение соблюдения правил техники безопасности в отношении портативных вычислительных устройств и других носителей информации.
- Обеспечение надежного контроля всей внутренней сети от вредоносного программного обеспечения.
- Техническое обеспечение, защита и развитие информационных активов, надежное резервное копирование информационных систем.
- Регулярное отслеживание и оценка рисков и инцидентов, связанных с безопасностью.
- Обеспечение требований, вытекающих из договорных обязательств и общеобязательного законодательства.
- Обеспечение своевременного предоставления информации. Критическое время доступности информации должно определяться в соответствии с ее важностью.
- Предотвращение нежелательной модификации информации.
- Предотвращение неправильного использования или потери информации. Должны быть определены ответственность и защита доступа к информации и помещениям, в которых расположены информационные активы.
Ответственность сотрудников
- Любой сотрудник, получивший доступ к информационным ресурсам для осуществления своей трудовой деятельности, берет на себя ответственность за безопасное обращение с этими ресурсами и за защиту информации в пределах своей зоны ответственности.
- Политика информационной безопасности и соответствующая документация являются обязательными для всех сотрудников, имеющих доступ к информации, независимо от их должности, положения или роли в компании. В соответствии с действующим законодательством и нормативными актами все сотрудники несут свою долю ответственности за соблюдение или нарушение правил, с которыми они ознакомлены. Все сотрудники обязаны реагировать и сообщать о дефектах, неисправностях и инцидентах, связанных с безопасностью, которые происходят в установленном порядке в соответствии с действующими политиками и руководствами.
Последствия нарушения информационной политики
- Нарушение принципов политики информационной безопасности сотрудниками и подрядчиками рассматривается как инцидент безопасности, который влияет на информационную безопасность и должен рассматриваться соответствующим образом.
- Необходимо анализировать причины нарушений и предпринять эффективные действия, чтобы извлечь уроки из этих событий.