P01 Politika informačnej bezpečnosti

P01 Politika informačnej bezpečnosti stanovuje základný záväzok organizácie chrániť dôvernosť, integritu a dostupnosť svojich informačných aktív. Tým, že vyžaduje implementáciu formálneho systému manažérstva informačnej bezpečnosti (ISMS), politika určuje strategický smer nevyhnutný na udržiavanie celopodnikového bezpečnostného postoja, ktorý je založený na riziku, merateľný a podlieha neustálemu zlepšovaniu. Rozsah tejto politiky je komplexný a záväzný pre všetkých zamestnancov, dodávateľov, poskytovateľov služieb tretích strán a všetky fyzické a digitálne prostredia zapojené do spracúvania podnikových údajov. Pokrýva celý životný cyklus informácií, pričom stanovuje prísne požiadavky, aby akékoľvek vylúčenia z tohto rozsahu boli plne zdokumentované a schválené vrcholovým vedením. Takéto záväzné uplatnenie zabezpečuje jednotnosť štandardov ochrany naprieč podnikom bez ohľadu na umiestnenie alebo funkciu aktíva. Stanovené ciele nesmerujú len k splneniu súladu s medzinárodnými normami, ako sú ISO/IEC 27001:2022, NIST SP 800-53 a COBIT 2019, ale aj k podpore kultúry, v ktorej je bezpečnosť začlenená do každodenných činností, partnerstiev a podnikových systémov. Na tento účel priradené roly a zodpovednosti objasňujú očakávania pre vrcholové vedenie, bezpečnostných pracovníkov, vlastníkov aktív, IT a technický personál a všetok personál. To zabezpečuje, že každý – od vrcholového vedenia až po externých dodávateľov – rozumie svojim povinnostiam pri udržiavaní bezpečnosti organizácie a podpore reakcie na incidenty, školení a auditných činností. Správa v rámci ISMS je kritickým pilierom politiky a vyžaduje formalizované štruktúry, ako sú riadiace výbory a matica rolí a zodpovedností, na dohľad nad priebežným posudzovaním výkonu kontrol a na umožnenie včasných preskúmaní manažmentom. Politika stanovuje požiadavky na medzifunkčnú koordináciu a zabezpečuje, že informačná bezpečnosť nie je izolovaná, ale je začlenená do riadenia projektov, obstarávania, procesov ľudských zdrojov a právnych funkcií. Postupy preskúmania a aktualizácie sú prísne regulované, so systémami správy verzií a výslovným schválením vrcholovým vedením, čo ďalej podporuje zodpovednosť a regulačnú obhájiteľnosť. Na splnenie regulačných, klientskych a auditných požiadaviek politika vyžaduje, aby všetky zdokumentované opatrenia a podporná dokumentácia boli auditovateľné a overiteľné. Sú definované jasné postupy pre výber kontrol na základe rizika, ošetrenie výnimiek a akceptáciu zvyškového rizika. Vynucovanie je podporené konkrétnymi dôsledkami za nesúlad, mechanizmom oznamovania porušení a povinnými školiacimi programami. Prepojenia s ďalšími kľúčovými organizačnými politikami – register rolí a zodpovedností, politika prijateľného používania, politika riadenia prístupu, rámec riadenia rizík a audit a súlad – zaručujú úplné zosúladenie naprieč ISMS pre jednotné riadenie rizík a súladu.