Informacijska varnostna politika (IVP)

Krovni dokument informacijske varnosti podjetja

V izogib izpadu delovanja, izgubi podatkov in nepotrebni izpostavljenosti (v večini kibernetskim grožnjam) je potrebno za zagotavljanje informacijske varnosti biti stalno na preži in delovati proaktivno ter premišljeno. Potrebno je veliko več kot le nakup sodobne IT-opreme, pač pa tudi dober razmislek o primernem strateškem pristopu in celoviti urejenosti oz. zagotavljanju skladnosti celotnega informacijskega okolja.

K sreči je tozadevno zavedanje vodstva organizacij vse večje, to pa se kaže tudi v zanimanju in usmeritvi v proaktivno zagotavljanje boljšega obrambnega ravnovesja. Pri investiranju v kibernetsko varnost organizacije nastopajo vse bolj modro in preudarno, vodi pa jih misel o vrednosti investicije v primerjavi s potencialno škodo, katero predstavlja tveganje in vpliv na poslovanje. Eden od motivatorjev pri investiciji v kibernetsko varnost je torej preprečitev potencialne škode. Ravno to pa je celoten smisel Informacijske varnostne politike.

Kaj je IVP?

Dokument IVP s svojimi pravili izraža odnos organizacije do podatkov, s katerimi upravlja.

(-Peter Rajh, strokovnjak za informacijsko varnost)

IVP poskrbi za varnost informacijskega okolja in njegovih sredstev na vseh nivojih, ter tako zagotovi vnaprej predvidene postopke in procese ob neljubih situacijah, saj zajema pravila, priporočila in procese, ki so v skladu z zahtevami za zagotavljanje višje kibernetske varnosti. Določa tudi jasna in natančno opredeljena navodila kaj se v organizaciji sme in kajne, kakšna so pravila in dolžnosti uporabnikov in vzdrževalca informacijskega sistema, ter na kakšen način in pod kakšnimi pogoji se lahko informacijskemu sistemu priključijo zunanji deležniki organizacije.

Kakšen je namen uvedbe IVP?

Namen uvedbe IVP je povečati nivo varnosti informacijskih sistemov ter pripadajočih sredstev, povezanih v poslovne procese vaše dejavnosti in s tem zagotoviti skladno in stabilno delovanje vseh deležnikov IT okolja organizacije.

Kakšen je cilj uporabe IVP?

Dokument IVP je pomemben korak k močni varnostni drži organizacije, ki nosi osrednjo vlogo pri zagotavljanju odličnosti na nivoju kibernetske varnosti in uspeha zastavljenih strategij. Njegova lastnost je, da raste in se razvija skupaj z organizacijo ter njenimi potrebami, zato se ga nenehno dopolnjuje glede na trenutne zahteve kibernetske varnosti, oziroma potrebe organizacije.

Kaj pridobimo z uvedbo IVP v podjetje?

izboljšamo varnost informacijskega okolja in njegovih sredstev,
povečamo informacijsko-varnostno ozaveščenost zaposlenih, jim dodelimo vloge ter odgovornosti po posameznih področjih znotraj organizacije,
zagotovimo nemoten potek poslovnih procesov tudi v primeru večjega incidenta ali izrednega dogodka,
vzpostavimo dobro prakso varovanja poslovnih in osebnih podatkov.

Dosledno upoštevanje in izvajanje informacijske varnostne politike zagotavlja organizaciji učinkovito obvladovanje informacijske varnosti in njenih sredstev v smislu zaupnosti, celovitosti, razpoložljivosti, vrednosti in ohranjanja integritete, katero dosežemo le, če vsi delujemo skladno z v naprej določenimi pravili in smernicami.