Kdaj so podjetja zadolžena za izdelavo
Kadar narava, obseg, okoliščine in nameni obdelave, pa tudi tveganja za pravice in svoboščine posameznikov (verjetnost in resnost incidentov) narekujejo, poleg izdelave pravilnika o varovanju podatkov, tudi implementacijo politik informacijske varnosti
Kaj vsebujejo
- opredelitev obsega SUVI
(poslovni vidik, organiziranost, lokacije, sredstva, tehnologija),
- izdelava metodologije informacijskih in pravnih tveganj
(obravnava informacijskih tveganj z vidika zaupnosti, celovitosti in razpoložljivosti podatkov, opredelitev obravnave informacijskih tveganj poslovno/podpornih procesov, opredelitev informacijskih sredstev, opredelitvi groženj in ranljivosti sredstev, opredelitev obravnave informacijskih in pravnih tveganj)
- izvedba analize informacijskih in pravnih tveganj
(opredelitev tveganja poslovno/podpornega procesa z vidika zaupnosti, celovitosti in razpoložljivosti podatkov, določitev pomembnejših informacijskih sredstev, ki so uporabljeni v istem procesu, izbira ustreznih groženj in ranljivosti informacijskih sredstev, določitev informacijskih tveganj za vsako informacijsko sredstvo z vidika zaupnosti, celovitosti in razpoložljivosti)
- izvedba postopkov za zmanjšanje tveganj
(izbira ustreznih ukrepov, sprejem tveganj, izogib posameznim tveganjem, prenos tveganj na druge stranke)
- implementacija dokumentiranega sistema upravljanja varovanja informacij (SUVI)
(izvedba GAP analize za obstoječe postopke varovanja informacij, pregled ustreznosti in dopolnitev obstoječe dokumentacije, izdelava manjkajoče dokumentacije, priprava liste o primernosti SOA)
- ozaveščanje zaposlenih in pogodbenih partnerjev (izobraževanje, obveščanje o spremembah)
- priprava ter izvedba notranjih presoj in vodstvenih pregledov
- izvedba drugih ukrepov, določenih z zakonodajo ali zahtevami standarda ISO/IEC 27001 ali podobnega