Портал №1 по управлению цифровыми
и информационными технологиями

Перейти к полной базе знаний Перейти к полному глоссарию
	Политика информационной безопасности
	Политика, которая регулирует подход организации к управлению информационной безопасностью.
	Синонимы политика ИБ
	Оригинальный английский термин Information security policy
	Подробности Политика информационной безопасности — это управленческий документ верхнего уровня, который задаёт единый, обязательный для организации курс в области защиты информации и определяет, как именно должно осуществляться управление информационной безопасностью. Она фиксирует намерения и принципы: какие цели безопасности поддерживаются (например, конфиденциальность, целостность, доступность), как распределяется ответственность между руководством, владельцами услуг, пользователями и командами поддержки, какие общие требования предъявляются к управлению рисками, соответствию требованиям, контролю доступов, работе с инцидентами и обращению с данными. В ITSM политика используется как опорная точка для проектирования услуг и их гарантий, для настройки практики управления информационной безопасностью, а также для определения обязательных правил, которые должны быть отражены в процедурах, рабочих инструкциях, требованиях к поставщикам и соглашениях об уровне услуг. Вне области действия политики обычно остаются детальные технические настройки и конкретные реализации средств защиты (например, конкретные правила межсетевого экрана или конфигурация шифрования) — это предмет стандартов, спецификаций и рабочих инструкций, которые должны соответствовать политике.
	Нюансы Частая ошибка — воспринимать Политику информационной безопасности как набор конкретных технических мер или пошаговую процедуру. Политика отвечает на вопрос «каким принципам и обязательствам мы следуем», а не «как именно настраивать систему». Детализация в виде стандартов, процедур и рабочих инструкций должна логически вытекать из политики, но не подменять её. Ещё одно типичное заблуждение — считать политику формальным документом «для аудита»: в зрелом управлении услугами политика служит механизмом руководства и принятия решений, влияя на проектирование услуг, приоритизацию улучшений и оценку риска. Политику также часто путают с требованиями гарантии конкретной услуги: политика задаёт общие требования для организации, тогда как требования гарантии уточняют ожидания к конкретной услуге и могут различаться по уровню услуги. Наконец, важно помнить, что политика не должна «жить отдельно» от управления изменениями и управления поставщиками: без встроенности в повседневные практики она не обеспечивает ни соответствия требованиям, ни снижения риска, ни предсказуемости поведения пользователей и команд поддержки.
	Примеры Требование классифицировать данные и применять к ним правила обработки и хранения в зависимости от класса Обязательство регистрировать и расследовать инциденты информационной безопасности, а также определять сроки уведомления заинтересованных сторон Правило предоставлять доступ по принципу минимально необходимых прав с регулярным пересмотром прав доступа Требование управлять рисками информационной безопасности при изменениях и при привлечении третьих сторон Обязательство обеспечивать обучение пользователей по вопросам информационной безопасности и подтверждение ознакомления с политикой
	Рекомендуемые продукты по этой теме
	Учебный курс: интенсив с тренером ITSM. Основы управления ИТ-услугами Самый популярный тренинг по управлению ИТ Деловая игра Apollo 13 — ITSM на практике Service Desk, управление инцидентами, проблемами, изменениями Современная ITSM/ESM-система
	Что такое политика информационной безопасности в ITIL и ITSM? Смотрите в глоссарии по управлению ИТ, входящим в бесплатную экспертную базу знаний по управлению ИТ от компании Cleverics.

Авторы и редакторы портала — консультанты и тренеры компании Cleverics.
Использование материалов данного сайта допускается исключительно с разрешения правообладателя.
Использование данного сайта означает согласие с обязательством соблюдать нашу Политику обработки персональных данных и Согласие на их обработку.