Bezpečnostní politika

Bezpečnost informací při správě, provozu a rozvoji IS i bezpečnost informací v ostatních oblastech organizace (personální, organizační a procesní) musí být řešena systematicky a koncepčně. Pouhým nasazování jednotlivých bezpečnostních technologií není možné zaručit kvalitní a komplexní zabezpečení informačních aktiv společnosti. Diskutabilní rovněž může být efektivita takto vynaložených zdrojů. Strategickým prvkem systému řízení bezpečnosti informací v organizaci je vytvoření, přijetí a prosazování bezpečnostních opatření a nařízení - politiky bezpečnosti informací.
 

Politika bezpečnosti informací tvoří základní stavební kámen bezpečnosti informací každé společnosti. Politika bezpečnosti informací je strategický dokument, definující základní koncepci ochrany informačních aktiv organizace.
 

Cílem politiky bezpečnosti informací je pomocí základních bezpečnostních opatření nastavit požadovanou homogenní úroveň bezpečnosti informací v rámci celé organizace. Aby bylo možné požadavky politiky bezpečnosti informací v reálním prostředí prosazovat, je nutné zvolit vhodnou strukturu dokumentů politiky bezpečnosti informací a vhodnou formu prezentace požadovaných bezpečnostních opatření. Bezpečnostní opatření pro ochranu informací můžou být implementovány do odpovídajících materiálů upravujících vnitřní chod firmy (pracovní řád, interní směrnice, pracovní postupy, provozní předpisy, technická provozní dokumentace apod.), strukturovaných buď podle předmětných oblastí (použití internetu, bezpečnost sítí, teleworking), nebo podle uživatelských skupin (administrátoři, vývojáři softwaru, uživatelé). Na základě praktických zkušeností a s využitím mezinárodních standardů (např. ISO/IEC 17799, ISO TR 13335) zaručuje společnost VITSOL zpracování adekvátní a kompletní politiky bezpečnosti informací a směrnic.

Možná struktura a význam dokumentů politiky bezpečnosti informací:

  • Celková politika bezpečnosti informací organizace

 - strategický dokument pro řízení organizace: definice strategických informačních aktiv společnosti, definice bezpečnostních cílů a  základních bezpečnostních opatření, struktura řízení bezpečnosti, apod.

  • Systémová politika bezpečnosti informací

- specifikace jednotlivých konkrétních bezpečnostních opatření pro jednotlivé oblasti v organizaci

  • Detailní politika bezpečnostní informací

- detailní specifikace a realizační postupy pro implementaci jednotlivých bezpečnostních opatření.