ПОЛИТИКА ПО ЗАЩИТЕ ИНФОРМАЦИИ
ПОЛИТИКА ПО ЗАЩИТЕ ИНФОРМАЦИИ
Система управления защитой информации (ISMS) была создана для защиты конфиденциальности, целостности и доступности информации в компании «ЭНКА» за счет применения процессов управления активами и рисками и для уверения заинтересованных сторон в том, что управление рисками осуществляется надлежащим образом. Система управления защитой информации является частью корпоративных процессов и общей структуры управления компании «ЭНКА». Процессы защиты информации были учтены в конструкции и элементах управления информационных систем и масштабированы в соответствии с потребностями компании «ЭНКА».
Компания «ЭНКА» перешла на использование стандарта ISO 27001 в качестве рекомендации в соответствующей области функционирования Системы управления защитой информации. Указанный стандарт эффективно используется в процессах компании с целью демонстрации способности компании «ЭНКА» соответствовать требованиям в сфере защиты информации, предъявляемым к внутренним и внешним заинтересованным лицам. Корпоративная политика по защите информации означает требования, определения, правила, практики, обязанности и рабочие процессы, подготовленные согласно соответствующим законам и стандартам на основе бизнес-требований, совместимых с корпоративными деловыми целями компании «ЭНКА», и обеспечивает достижение таких корпоративных деловых целей компании «ЭНКА».
В этой связи руководители высшего звена компании «ЭНКА» во всех операциях компании, осуществляемых в рамках ее стремления стать одной из лучших и инновационных компаний из числа инженерно-строительных компаний, осуществляющих свою деятельность по всему миру, и в соответствии с ее миссией по разработке, строительству и сдаче (вводу в эксплуатацию) безопасных, высококачественных и экономически эффективных объектов строительства, обязалась обеспечивать защиту информации компании «ЭНКА» и ее заинтересованных лиц, защищать информационные ресурсы, соответствовать требованиям и ожиданиям в сфере защиты информации в объеме применимых требований и международных стандартов, повышать эффективность защиты информации путем систематического управления рисками, обеспечивать инфраструктурную и эксплуатационную безопасность, а также гарантировать, что все работники будут действовать в рамках политик и процедур компании в сфере защиты информации.
Политика в сфере защиты информации, разработанная для этой цели, будет отвечать следующим основным требованиям:
1. Особенности организации
- Определение внутренних и внешних проблем
- Оценка заинтересованных сторон и внешних проблем
- Обеспечение соблюдения требований законодательных и нормативно-правовых актов и договорных обязательств
2. Лидерство и руководство
- Определение задач защиты информации
- Обеспечение защиты знаний, которыми располагает компания
- Поддержка непрерывного совершенствования защиты информации
- Установление организационной структуры защиты информации
3. Планирование
- Планирование способов выполнения задач защиты информации
- Оценка эффективности и рисков для различных видов деятельности
- Управление основными рисками и меры по их предупреждению
4. Поддержка
- Распределение необходимых ресурсов для создания, внедрения и непрерывного совершенствования Системы управления защитой информации.
- Продвижение тренингов для развития компетенций, которые могут повлиять на эффективность защиты информации
- Повышение осведомленности работников компании «ЭНКА» (ENKA) о Системе управления защитой информации (ISMS) и ответственности заинтересованных лиц за Систему управления защитой информации (ISMS)
- Обеспечение работы с документацией и записями, содержащими корпоративную информацию
5. Эксплуатация
- Обеспечение выполнения процессов по плану
- Рассмотрение рисков и элементов управления в результате запланированных изменений
- Защита информационных ресурсов как в электронной, так и в физической среде
6. Оценка и совершенствование
- Мониторинг и измерение результативности, достаточности, соответствия и эффективности Системы управления защитой информации
- Мониторинг, доведение и оценка событий защиты информации
- Проведение регулярных аудитов
- Выстраивание структуры Системы управления защитой информации, не допускающей повторного возникновения несоответствий
- Проведение мониторинга, измерения, оценки и анализа действий
- Соответствие требованиям стандарта ISO 27001