GV.PO-01 GV.PO-02

Politika (PO)

Nustatoma, paskelbiama ir vykdoma organizacijos kibernetinio saugumo politika

GV.PO-01

Kibernetinio saugumo rizikos valdymo politika nustatoma atsižvelgiant į organizacijos kontekstą, kibernetinio saugumo strategiją ir prioritetus, komunikuojama ir įgyvendinama

1. Sukurkite, platinkite ir palaikykite aiškią, naudojimui patogią rizikos valdymo politiką su vadovybės ketinimų, lūkesčių ir nurodymų pareiškimais;
2. Periodiškai peržiūrėkite politiką ir ją palaikančius procesus bei procedūras, kad jie atitiktų rizikos valdymo strategijos tikslus ir prioritetus, taip pat aukšto lygio kibernetinio saugumo politikos kryptį;
3. Reikalaukite, kad politiką patvirtintų vyresnioji vadovybė;
4. Visoje organizacijoje komunikuokite kibernetinio saugumo rizikos valdymo politiką ir ją palaikančius procesus bei procedūras;
5. Reikalaukite, kad personalas patvirtintų susipažinę su politika pirmą kartą įsidarbinus, kasmet ir kiekvieną kartą, kai politika atnaujinama.

Nuoroda į originalą

GV.PO-02

Kibernetinio saugumo rizikos valdymo politika peržiūrima, atnaujinama, komunikuojama ir vykdoma atsižvelgiant į reikalavimų, grėsmių, technologijų ir organizacijos misijos pokyčius

1. Atnaujinkite politiką, remdamiesi periodinėmis kibernetinio saugumo rizikos valdymo rezultatų peržiūromis, kad politika ir ją palaikantys procesai bei procedūros;
2. Pateikite organizacijos rizikos aplinkos pokyčių peržiūros laiko planą (pvz., rizikos ar organizacijos misijos tikslų pokyčiai) ir komunikuokite rekomenduojamus politikos atnaujinimus;
3. Atnaujinkite politiką, kad ji atspindėtų teisinių ir reguliavimo reikalavimų pokyčius;
4. Atnaujinkite politiką, kad ji atspindėtų technologijų pokyčius (pvz., dirbtinio intelekto diegimą) ir verslo pokyčius (pvz., naujo verslo įsigijimą, naujus sutarties reikalavimus).

Nuoroda į originalą