Разработка организационно-распорядительное документации (ОРД)

Мы умеем разрабатывать организационные документы в области информационной безопасности любого уровня и сложности.
 
Безопасность предприятия на 80% состоит из мероприятий организационного характера.
Грамотно, четко и понятно, созданные организационные документы это порядок и устойчивость любой организации.
Если рассматривать информационную безопасность, то, безусловно, первым документом в списке должна быть Политика
информационной безопасности.
Для начала определим, что такое Политика Информационной Безопасности?
Существует много различных определений.
Иные даже не сходятся во мнении, один ли это документ или в понятие "Политика Информационной Безопасности" включен многоуровневый комплекс документов.
Политика информационной безопасности – это высокоуровневый документ, который включает в себя принципы и правила, определяющие и ограничивающие определенные виды деятельности объектов и участников системы информационной безопасности, направленные на защиту информационных ресурсов организации.
Политика безопасности информационно-телекоммуникационных технологий – правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и ее информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию (ГОСТ Р ИСО/МЭК 13335-1 2006).
Политика – общее намерение и направление, официально выраженное руководством (ГОСТ Р ИСО/МЭК 17799-2005).
Обращаясь к ISO 27001:
Политика Информационной Безопасности - подмножество более общего документа - политики СУИБ, включающей в себя основные положения для определения целей СУИБ и устанавливающей общее направление и принципы деятельности по отношению к ИБ, учитывающей требования непрерывности бизнес-процессов, оценку рисков, законодательную базу и т.д.
Основные этапы разработки политики информационной безопасности следующие:
  • Обследование информационной среды и информационной безопасности организации.
  • Анализ полученных сведений.
  • Формирование плана работ по разработке политики информационной безопасности.
  • Разработка политики информационной безопасности организации.
Пакет организационно-распорядительных документов по вопросам обеспечения информационной безопасности включает следующие типы документов (четыре уровня):
  • Политика информационной безопасности организации - высокоуровневый документ, описывающий основные принципы и правила.
  • Регламенты информационной безопасности, раскрывающие более подробно процедуры и методы обеспечения информационной безопасности.
  • Инструкции по обеспечению информационной безопасности для должностных лиц организации с учетом требований политики и регламентов.
  • Прочие документы.