Основные требования к политике безопасности
В идеале политика безопасности должна быть реалистичной и выполнимой, быть краткой и понятной, а также не приводить к существенному снижению общей производительности бизнес подразделений компании. Политика безопасности должна содержать основные цели и задачи организации режима информационной безопасности, четко содержать описание области действия, а также указывать на контактные лица и их обязанности. Например, по мнению Cisco политика безопасности должна содержать не более двух (максимум пять) страниц текста, если это возможно. При этом важно учитывать, как политика безопасности будет влиять на уже существующие информационные системы компании. Как только политика утверждена она должны быть предоставлены сотрудникам компании для ознакомления. Наконец, политика безопасности должна пересматриваться ежегодно, чтобы отразить текущие изменения в развитии бизнеса компании.
