Политика по информационна сигурност

Политика по информационна сигурност (P01) установява фундаменталния ангажимент на организацията да защитава поверителността, цялостността и наличността на своите информационни активи. Чрез изискване за внедряване на формална система за управление на информационната сигурност (СУИС) политиката задава стратегическата посока, необходима за поддържане на рискова позиция на ниво предприятие, която е базирана на риска, измерима и подлежи на постоянно подобряване. Обхватът на тази политика е всеобхватен и обвързва целия персонал, изпълнители, доставчици на услуги на трети страни, както и всички физически и цифрови среди, участващи в обработването на фирмени данни. Тя обхваща целия жизнен цикъл на информацията, със строги изисквания всякакви изключвания от този обхват да бъдат напълно документирани и одобрени от висшето ръководство. Това обвързващо прилагане гарантира единни стандарти за защита в целия бизнес, независимо от местоположението или функцията на активите. Поставените цели не са само да удовлетворят съответствие с международни стандарти като ISO/IEC 27001:2022, NIST SP 800-53 и COBIT 2019, но и да насърчат култура, в която сигурността е вградена в ежедневните дейности, партньорствата и бизнес системите. За тази цел определените роли и отговорности изясняват очакванията към висшето ръководство, служители по сигурността, собственик на актив, ИТ и технически персонал и целия персонал. Това гарантира, че всеки — от висшето ръководство до външни изпълнители — разбира своите задължения за поддържане на сигурността на организацията и за подпомагане на реагиране при инциденти, обучение и одитни дейности. Управлението в рамките на СУИС е критичен стълб на политиката, изискващ формализирани структури, като ръководни комитети и матрица на ролите и отговорностите, за да се осъществява надзор върху непрекъснатата оценка на резултатността на СУИС и да се позволяват навременни прегледи от ръководството. Политиката очертава изисквания за междуфункционална координация, като гарантира, че информационната сигурност не е изолирана, а е вплетена в управление на проекти, набавяне, човешки ресурси (ЧР) и правни въпроси и съответствие. Процедурите за преглед и актуализация са строго регулирани, с контрол на версиите и изрично одобрение от изпълнителното ръководство, което допълнително подкрепя отчетността и регулаторната защитимост. За да отговори на регулаторни, клиентски и одитни изисквания, политиката изисква всички контроли и подкрепяща документация да бъдат както одитируеми, така и проверими. Описани са ясни пътища за избор на контроли, базиран на риска, обработка на изключения и приемане на остатъчния риск. Прилагането се подкрепя от конкретни последствия при неспазване, механизъм за подаване на сигнали за нарушения и задължително обучение. Взаимовръзките с други ключови организационни политики — матрица на ролите и отговорностите, политика за допустимо използване, политика за контрол на достъпа, рамка за управление на риска и вътрешен одит — гарантират пълно съгласуване в рамките на СУИС за единно управление на риска и съответствието.