|
Każda organizacja powinna ustanowic politykę SZBI uwzględniajacą charakter prowadzonej działalności biznesowej, jej organizację, lokalizację, aktywa i technologie.
Polityka ta - SZBI powinna:
- stanowić podstawę do wyznaczania celów i wytyczać zasadniczy kierunek i zasady działania w związku z bezpieczeństwem informacji
- brać pod uwagę wymagania biznesowe, prawne i regulacyjne oraz obowiązki w zakresie bezpieczeństwa wynikające z umów
- być zgodna z kontekstem zarzadzania przez organizację ryzykiem strategicznym, w którym zostanie ustanowiony i utrzymany SZBI
- ustanawiać kryteria w oparciu o które ryzyko bedzie oceniane
- zostać zaakceptowana przez kierownictwo
Polityka SZBI jest dokumentem nadrzędnym w stosunku do polityki bezpieczeństwa informacji. |
|
Wdrożenie i stosowanie SZBI |
 |
 |
 |
|
Organizacja powinna:
-
stworzyć plan postępowania z ryzykiem, który określa własciwe działania, zasoby, odpowiedzialności i priorytety zwiazane z zarzadzaniem ryzykami bezpieczeństwa informacji
-
wdrożyć plan postępowania z ryzykiem w celu osiąg niecia zidentyfikowanych celów zabezpieczeń, łącznie zrozważaniem finansowania i przydzielenia ról i odpowiedzailności
-
wdrożyć wybrane zabezpieczenia, aby odiągnąć cele zabezpieczeń
-
określić jak bedzie mierzona skuteczność stosowanych zabezpieczeń lub grup zabezpieczeń i jak te pomiary mają być stosowane, aby zapewnić, że dadzą porównywalne i powtarzalne wyniki; pomiar skuteczności zebezpieczeń umożliwia kierownictwu i personelowi określić w jakim stopniu zabezpieczenia spełniają zaplanowane cele ich stosowania
-
wdrożyć programy szkoleń i uświadamiania
|
|
|
|
|
Opis SZBI