Kada su potrebne
Kada priroda, opseg, kontekst i svrhe obrade, kao i rizici različitih razina verovatnosti i ozbiljnosti za prava i slobode pojedinaca traže, pored izrade pravilnika o zaštiti podataka, još implementaciju politika informacione sigurnosti
Šta uključuju
- definisanje obima ISMS-a
(poslovni aspekt, organizacija, lokacije, sredstva, tehnologija), - razvoj informacione i pravne metodologije rizik
(razmatranje informacionih rizika u smislu poverljivosti, integriteta i dostupnosti podataka, definisanje upravljanja informacijskim rizikom u poslovnom i pratećim procesima, definisanje informacionih sredstava, identifikacija pretnji i ranjivosti informacionih sredstava, definisanje informacionih i pravnih rizika upravljanja) - sprovođenje analize informacionih i pravnih rizik
(identifikacija rizika poslovnih / pratećih procesa u smislu poverljivosti, integriteta i dostupnosti podataka, identifikacija značajnih IT sredstava koja se koriste u istom procesu, izbor odgovarajućih pretnji i ranjivosti informacionih sredstava, određivanje informacionih rizika za svako informaciono sredstvo u smislu poverljivosti, integriteta i dostupnosti) - sprovođenje postupaka za ublažavanje rizika
(izbor odgovarajućih mera, prihvatanje rizika, izbegavanje pojedinačnih rizika, prenos rizika na druge strane) - Implementacija dokumentovanog sistema upravljanja sigurnošću informacija (ISMS)
(sprovođenje GAP analize postojećih procedura bezbednosti informacija, pregled i ažuriranje postojeće dokumentacije, kreiranje nedostajuće dokumentacije, kreiranje listova podobnosti za SOA) - podizanje svesti zaposlenih i ugovornih partnera (obrazovanje, komunikacija o promenama)
- priprema i sprovođenje internih i revizija menadžmenta
- primenu drugih mera utvrđenih zakonodavstvom ili zahtevima ISO / IEC 27001 ili sličnim