|
Każda organizacja powinna ustanowic politykę SZBI uwzględniajacą charakter prowadzonej działalności biznesowej, jej organizację, lokalizację, aktywa i technologie.
Polityka ta - SZBI powinna:
- stanowić podstawę do wyznaczania celów i wytyczać zasadniczy kierunek i zasady działania w związku z bezpieczeństwem informacji
- brać pod uwagę wymagania biznesowe, prawne i regulacyjne oraz obowiązki w zakresie bezpieczeństwa wynikające z umów
- być zgodna z kontekstem zarzadzania przez organizację ryzykiem strategicznym, w którym zostanie ustanowiony i utrzymany SZBI
- ustanawiać kryteria w oparciu o które ryzyko bedzie oceniane
- zostać zaakceptowana przez kierownictwo
Polityka SZBI jest dokumentem nadrzędnym w stosunku do polityki bezpieczeństwa informacji.
|
