Infoturbepoliitika

Infoturbepoliitika (P01) kehtestab organisatsiooni põhimõttelise pühendumuse kaitsta oma teabevarade konfidentsiaalsust, terviklust ja käideldavust. Nõudes ametliku infoturbe juhtimissüsteemi (ISMS) rakendamist, seab poliitika strateegilise suuna, mis on oluline ettevõtteülese riskipõhise, mõõdetava ja pideva täiustamise põhimõttele alluva turbe tagamiseks. Selle poliitika kohaldamisala on terviklik, sidudes kogu personali, töövõtjad, kolmanda osapoole teenuseosutajad ning kõik füüsilised varad ja digitaalsed varad ning keskkonnad, mis on seotud ettevõtte andmete töötlemisega. See hõlmab kogu teabe elutsüklit koos rangete nõuetega, et kõik kohaldamisalast väljajätmised peavad olema täielikult dokumenteeritud ja tippjuhtkonna poolt heaks kiidetud. Selline siduv kohaldamine tagab kaitsenõuete ühtsuse kogu äris, sõltumata vara asukohast või funktsioonist. Sätestatud eesmärgid ei taotle üksnes õigusnormidele vastavust rahvusvaheliste standarditega, nagu ISO/IEC 27001:2022, NIST SP 800-53 ja COBIT 2019, vaid ka kultuuri kujundamist, kus lõimitud turvalisus on igapäevategevustesse, partnerlustesse ja ärirakendustesse sisse ehitatud. Selleks selgitavad määratud rollid ja õigused ootusi tippjuhtkonna, infoturbejuhi, varaomaniku, IT- ja tehniliste operatsioonide personali ning kogu personali jaoks. See tagab, et kõik, alates kõrgeimast juhtkonnast kuni väliste töövõtjateni, mõistavad oma kohustusi organisatsiooni turvalisuse hoidmisel ning intsidentidele reageerimisel, turvateadlikkuse koolitusel ja audititegevuste toetamisel. Juhtimine ISMS-is on poliitika kriitiline tugisammas, nõudes formaliseeritud struktuure, nagu infoturbe juhtimissüsteemi juhtkomitee ja rollide ja vastutuste maatriks, et teostada ISMS-i toimivuse pidevat hindamist ja võimaldada õigeaegseid juhtkonna ülevaatusi. Poliitika kirjeldab valdkondadeülese koordineerimise nõudeid, tagades, et infoturve ei ole isoleeritud, vaid põimitud projektijuhtimise, hanke, personali (HR) ning õigus- ja vastavusfunktsioonidesse. Läbivaatamise ja ajakohastamise protseduurid on rangelt reguleeritud koos versioonihaldussüsteemide ja selgesõnalise tippjuhtkonna kinnitusega, mis toetab volitusi ja aruandekohustust ning regulatiivset kaitstust. Regulatiivsete, kliendi- ja auditinõuete täitmiseks nõuab poliitika, et kõik dokumenteeritud kontrollimeetmed ja toetav dokumentatsioon oleksid auditeeritavuse ja kontrollide valideerimise seisukohalt verifitseeritavad. Kirjeldatakse selgeid teid riskipõhiste kontrollide valiku, erandite käsitlemise ja jääkriski aktsepteerimise jaoks. Jõustamine ja vastavus on toetatud konkreetsete tagajärgedega mittevastavuse korral, rikkumisest teavitamise mehhanismiga kaitsetega ning kohustuslike koolitusprogrammidega. Seosed teiste võtmeorganisatsiooni poliitikatega, sh rollide ja vastutuste register, lubatud kasutuse poliitika, juurdepääsukontrolli poliitika, riskijuhtimise protsess ning audit ja nõuetele vastavus, tagavad täieliku kooskõla ISMS-i lõikes ühtseks riski- ja vastavushalduseks.