Политика безопасности (информационная, информации) в организации [ Organizational (information) security policies ] —
1. Совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности [ Р 50.1.056-2005 ], [ ГОСТ Р 50922-2006 ].
2. Одно или несколько правил, процедур, практических приемов или руководящих принципов в области безопасности, которыми руководствуется организация в своей деятельности [ ГОСТ Р ИСО/МЭК 15408-1-2008 ], [ ГОСТ Р 50.1.053-2005 ].
3. Совокупность правил, процедур или руководящих принципов в области безопасности для некоторой организации.
Примечание. Политика может быть также отнесена к какой-либо определенной среде функционирования [ ГОСТ Р ИСО/МЭК 15408-1-2012 ].
4. Документация, определяющая высокоуровневые цели, содержание и основные направления деятельности по обеспечению безопасности информационной, предназначенная для организации в целом [ СТО БР ИББС-1.0-2014 ].
5. Документ, отражающий позицию руководства по обеспечению безопасности информационной в соответствии с требованиями основной деятельности организации и нормами правовыми и регулирующими.
Примечание. Документ, описывающий высокоуровневые требования безопасности информационной, которые должны соблюдаться в организации [ ГОСТ Р ИСО/МЭК 27033-1-2011 ].
6. Формальное изложение правил поведения, процедур, практических приемов или руководящих принципов в области безопасности информационной, которыми руководствуется организация в своей деятельности.
Примечание. Политики должны содержать:
– предмет, основные цели и задачи политики безопасности;
– условия применения политики безопасности и возможные ограничения;
– описание позиции руководства организации в отношении выполнения политики безопасности и организации режима безопасности информационной организации в целом;
– права и обязанности, а также степень ответственности сотрудников за выполнение политики безопасности организации;
– порядок действия в чрезвычайных ситуациях в случае нарушения политики безопасности [ ГОСТ Р 53114-2008 ].
7. Набор норм, правил и рекомендаций, устанавливающих порядок управления, защиты и распространения информации критичной в организации [ PCI DSS v3.0 Глоссарий ].
8. Общее намерение и направление, официально устанавливаемое советом директоров (наблюдательным советом) или коллегиальным исполнительным органом организации финансовой.
Примечание. Способ документарного определения политики управления риском реализации угроз информационных организации финансовые определяют самостоятельно [ ГОСТ Р 57580.3 ].
Син.: Политика безопасности, Политика безопасности организации.