Kada su potrebne
Kada priroda, opseg, kontekst i svrhe obrade, kao i rizici različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca traže, pored izrade pravilnika o zaštiti podataka, još implementaciju politika informacijske sigurnosti
Što uključuju
- definiranje opsega ISMS
(poslovni aspekt, organizacija, lokacije, sredstva, tehnologija), - razvoj informacijske i pravne metodologije rizik
(razmatranje informacijskih rizika u smislu povjerljivosti, integriteta i dostupnosti podataka, definiranje postupanja s informacijskim rizicima u poslovnim i pomoćnim procesima, definiranje informacijskih sredstava, prepoznavanje prijetnji i ranjivosti informacijskih sredstava, definiranje postupanja s informacijskim i pravnim rizicima) - provedba analize informacijskih i pravnih rizika
(identifikacija rizika poslovnog / pomoćnog procesa u smislu povjerljivosti, integriteta i dostupnosti podataka, identificiranje značajnih informatičkih sredstava koja se koriste u istom procesu, odabir odgovarajućih prijetnji i ranjivosti informacijskih sredstava, određivanje informacijskih rizika za svako informacijsko sredstvo u smislu povjerljivosti, integriteta i dostupnosti) - provedba postupaka ublažavanja rizika
(odabir odgovarajućih mjera, prihvaćanje rizika, izbjegavanje pojedinačnih rizika, prijenos rizika na druge strane) - implementacija dokumentiranog sustava upravljanja informacijskom sigurnošću (ISMS)
(provođenje GAP analize za postojeće postupke informacijske sigurnosti, pregled i ažuriranje postojeće dokumentacije, izrada nedostajuće dokumentacije, izrada listova podobnosti za SOA) - podizanje svijesti zaposlenika i ugovornih partnera (obrazovanje, komunikacija o promjenama)
- priprema i provođenje internih revizija i revizija uprave
- provedba drugih mjera određenih zakonodavstvom ili zahtjevima ISO / IEC 27001 ili sličnim