Методические рекомендации по разработке нормативно-правовых актов в компании ООО «Адидас»

В данном разделе будут даны методические рекомендации по формированию документов, на основании которых должна быть внедрена система управления информационной безопасностью.
Информационная безопасность организации не должна ограничиваться комплексом организационных и технических мер, указанных в разделе 2.1. Информационная безопасность, как и любой процесс, требует управления. Для управления информационной безопасностью существуют различные руководства, стандарты, фреймворки. Классическим стандартом по созданию системы управления информационной безопасностью является международная серия документов ISO 27001-27005. Внедрение СУИБ, в том числе, необходимо для эффективной защиты персональных данных.
Для создания системы управления информационной безопасностью, соответствующее функциональное подразделение по защите информации ООО «Адидас» должно поэтапно осуществить следующие действия:
Получить поддержку топ-менеджмента в вопросах создания системы управления информационной безопасностью. Внедрение СУИБ будет происходить во все процессы деятельности организации и без поддержки высокого руководства полноценного внедрения СУИБ не получится; Состав предполагаемых мероприятий должен быть включен в Приказ руководителя организации:
Получение от топ-менеджмента подтверждения того, что политика информационной безопасности и цели в сфере информационной безопасности согласуются со стратегией организации;
Получение от топ-менеджмента подтверждения того, что требования СУИБ встроены в процессы организации;
Донесение со стороны топ-менеджмента до нижестоящих руководителей информации о важности СУИБ;
Поддержка усилий сотрудников, обеспечивающих внедрение СУИБ;
Разработка плана подготовки к сертификации по ISO 27001

. Подготовка к сертификации является масштабной и разноплановой задачей и требует участия большого количества сотрудников. Состав планируемых мероприятий должен быть включен в Приказ руководителя организации:
Составление детального плана проекта внедрения СУИБ с определением сроков, ролей и ответственных сотрудников;
Распределение ресурсов, времени и вовлечения конкретных работников в проект внедрения СУИБ;
Формирование строго определенных задач, решение которых необходимо для внедрения СУИБ;
Контроль исполнения сроков внедрения СУИБ.
Определение периметра сертификации. ООО «Адидас» является крупной организацией и не все процессы необходимо включать в периметр сертификации. Состав планируемых мероприятий должен быть включен в Приказ руководителя организации:
Определение бизнес-процессов, для которых необходимо внедрение СУИБ;
Согласование с топ-менеджментом исключения конкретных бизнес-процессов из периметра действия СУИБ
Создание политики информационной безопасности. Политика информационной безопасности – единая система взглядов, направленная на обеспечение информационной безопасности ООО «Адидас». Состав планируемых мероприятий должен быть включен в Приказ руководителя организации:
Контроль за исполнением политики информационной безопасности возложить на Руководителя отдела ИБ;
Обеспечить руководителю ИБ периодическую актуализацию политики ИБ;
На выходе процесса формирования политики должны быть измеримые метрики полноты функционирования политики.
Определение процедуры оценки рисков. ООО «Адидас» является крупной организацией и далеко не каждая угроза может требовать какой-либо реакции со стороны руководства