Skip to main content

5.1 Polityka bezpieczeństwa informacji

Cel

Polityka bezpieczeństwa informacji określa zasady i wytyczne dotyczące ochrony informacji w organizacji. Definiuje wymagania dotyczące zarządzania bezpieczeństwem informacji oraz stanowi podstawę do wdrażania środków kontrolnych.

Wymagania

Organizacja powinna:

  • Opracować, zatwierdzić i wdrożyć politykę bezpieczeństwa informacji, która wspiera jej cele biznesowe i strategię zarządzania ryzykiem.
  • Zapewnić, że polityka jest zgodna z wymaganiami prawnymi, regulacyjnymi i kontraktowymi.
  • Regularnie przeglądać i aktualizować politykę w celu dostosowania jej do zmieniających się zagrożeń i potrzeb biznesowych.
  • Zapewnić dostępność polityki dla wszystkich pracowników oraz stron trzecich mających dostęp do informacji organizacji.

Wdrożenie

  • Polityka powinna być formalnie zatwierdzona przez najwyższe kierownictwo.
  • Powinna być komunikowana w całej organizacji w sposób dostosowany do różnych grup odbiorców.
  • W organizacji należy ustanowić mechanizmy monitorowania zgodności z polityką oraz raportowania naruszeń.

Przegląd i aktualizacja

  • Polityka bezpieczeństwa informacji powinna być poddawana przeglądowi przynajmniej raz w roku lub po wystąpieniu istotnych zmian w organizacji.
  • Przegląd powinien obejmować analizę skuteczności polityki oraz dostosowanie jej do aktualnych zagrożeń i zmian regulacyjnych.

Polityka bezpieczeństwa informacji jest kluczowym dokumentem zapewniającym właściwe zarządzanie ochroną danych oraz stanowi podstawę do wdrażania dalszych środków kontrolnych w ramach systemu zarządzania bezpieczeństwem informacji.