P01 Információbiztonsági szabályzat

A P01 Információbiztonsági szabályzat rögzíti a szervezet alapvető elkötelezettségét az információs vagyonelemek bizalmasságának, sértetlenségének és rendelkezésre állásának védelme iránt. A formális információbiztonsági irányítási rendszer bevezetésének előírásával a szabályzat meghatározza azt a stratégiai irányt, amely elengedhetetlen a vállalatszintű, kockázatalapú, mérhető és folyamatos fejlesztésnek alávetett biztonsági kockázati pozíció fenntartásához. A szabályzat alkalmazási területe átfogó: kötelező érvényű valamennyi munkatársra, vállalkozókra, harmadik fél szolgáltatókra, valamint a vállalati adatok feldolgozásában részt vevő valamennyi fizikai és digitális környezetre. Lefedi a teljes információ-életciklust, és szigorú követelményként rögzíti, hogy az alkalmazási területből történő bármely kizárást teljes körűen dokumentálni kell, és a felső vezetésnek jóvá kell hagynia. Ez a kötelező alkalmazás biztosítja a védelmi követelmények egységességét az üzletmenetben, függetlenül az eszközök elhelyezkedésétől vagy funkciójától. A meghatározott célkitűzések nemcsak a nemzetközi szabványoknak való megfelelést célozzák (például ISO/IEC 27001:2022, NIST SP 800-53 és COBIT 2019), hanem azt is, hogy a biztonság beépített biztonságként megjelenjen a napi tevékenységekben, partnerségekben és üzleti alkalmazásokban. Ennek érdekében a kijelölt szerepkörök és felelősségek egyértelmű elvárásokat rögzítenek a felső vezetés, a biztonsági tisztviselők, az eszköztulajdonosok, az IT- és műszaki üzemeltetési személyzet, valamint valamennyi munkatárs számára. Ez biztosítja, hogy mindenki – a felső vezetéstől a külső vállalkozókig – értse a szervezeti biztonság fenntartásával, az incidensreagálás támogatásával, a képzéssel és az audittevékenységekkel kapcsolatos feladatait. Az információbiztonsági irányítási rendszer irányítása a szabályzat kritikus pillére: formalizált struktúrákat követel meg, például irányító bizottságokat és egy elszámoltathatósági mátrixot, az információbiztonsági irányítási rendszer teljesítményének folyamatos értékelésének felügyeletére és az időben történő vezetőségi átvizsgálás lehetővé tételére. A szabályzat rögzíti a funkciók közötti koordináció követelményeit, biztosítva, hogy az információbiztonság ne legyen elszigetelt, hanem beépüljön a projektmenedzsment, a beszerzés, az emberi erőforrások és a jogi és megfelelőségi funkciókba. A felülvizsgálati és frissítési eljárások szigorúan szabályozottak, verziókezeléssel és kifejezett vezetői jóváhagyással, ami tovább erősíti az elszámoltathatóságot és a szabályozói védhetőséget. A szabályozói, ügyfél- és auditkövetelmények teljesítése érdekében a szabályzat előírja, hogy valamennyi kontroll és a kapcsolódó dokumentáció auditálható és ellenőrizhető legyen. Részletesen meghatározza a kockázatalapú kontrollkiválasztás, a kivételkezelés és a maradványkockázat elfogadása folyamatait. Az érvényesítés és megfelelés konkrét következményekkel támogatott a meg nem felelés esetére, visszaélés-bejelentési mechanizmus védelmekkel és kötelező képzési programokkal. A kapcsolódás más kulcsfontosságú szervezeti szabályzatokhoz – irányítási szerepek és felelősségek, elfogadható használati szabályzat, hozzáférés-vezérlési szabályzat, kockázatkezelési keretrendszer és belső audit – biztosítja a teljes körű összehangolást az információbiztonsági irányítási rendszerben az egységes kockázat- és megfeleléskezelés érdekében.