Polityki IT

Formalne dokumenty governance IT definiujące zasady, reguły i wymagania dotyczące użycia zasobów informatycznych, zachowań użytkowników i zarządzania systemami w organizacji.

SPIS TREŚCI

  1. Definicja i rola
  2. Hierarchia dokumentów
  3. Typy polityk IT
  4. Cykl życia polityki
  5. Pytania i odpowiedzi
Zastrzeżenie technologiczne Articles published on this website summarize publicly available information, industry research and educational materials.

Definicja i rola

Polityka IT to formalny dokument organizacyjny definiujący obowiązkowe zasady, reguły i wymagania w zakresie zarządzania technologią informacyjną. Polityki stanowią podstawę systemu zarządzania IT i wyrażają intencje kierownictwa dotyczące dopuszczalnego użycia zasobów IT, ochrony informacji i zarządzania ryzykiem.

Kluczowe cechy polityki IT: formalny charakter (zatwierdzana przez kierownictwo), obligatoryjność (pracownicy muszą ją przestrzegać), regularny przegląd i aktualizacja, jasno określony właściciel i zakres zastosowania.

Hierarchia dokumentów IT governance

PoziomDokumentTreśćAutoryzacja
1PolitykaZasady i wymagania wysokiego poziomuZarząd / Rada IT
2StandardObowiązkowe wymagania techniczne i operacyjneCIO / CISO
3ProceduraKrok po kroku jak wdrożyć standardKierownik działu
4Wytyczna (Guideline)Zalecane praktyki, nie obowiązkoweEkspert techniczny

Typy polityk IT

  • Polityka bezpieczeństwa informacji (ISP): zasady ochrony danych, klasyfikacji informacji, zarządzania dostępem i incydentami bezpieczeństwa — fundament systemu ISMS (ISO/IEC 27001)
  • Polityka dopuszczalnego użytkowania (AUP): zasady korzystania ze sprzętu, sieci, internetu i systemów organizacji przez pracowników
  • Polityka zarządzania zmianami: wymagania dotyczące planowania, testowania i zatwierdzania zmian w systemach produkcyjnych
  • Polityka backupu i odtwarzania: wymagania dotyczące częstotliwości kopii zapasowych, retencji, testowania odtworzenia i RTO/RPO
  • Polityka zarządzania dostępem: zasady przyznawania, przeglądania i odbierania uprawnień dostępu do systemów (RBAC, least privilege)
  • Polityka zarządzania dostawcami: wymagania dotyczące oceny, kontraktowania i monitorowania zewnętrznych dostawców IT
  • Polityka BYOD: zasady korzystania z prywatnych urządzeń do celów służbowych

Cykl życia polityki IT

  1. Inicjacja: identyfikacja potrzeby (nowe ryzyko, regulacja, incydent)
  2. Projekt: opracowanie projektu dokumentu przez właściciela polityki
  3. Konsultacje: przegląd przez interesariuszy (prawny, HR, IT, bezpieczeństwo)
  4. Zatwierdzenie: formalne zatwierdzenie przez uprawniony organ
  5. Publikacja i komunikacja: wdrożenie, szkolenia, podpisanie przez pracowników
  6. Monitoring: kontrola przestrzegania, audyty compliance
  7. Przegląd: cykliczny przegląd (min. co 2 lata) lub po zdarzeniach wyzwalających
  8. Aktualizacja lub wycofanie: zmiana lub archiwizacja

Pytania i odpowiedzi

Jak często należy przeglądać polityki IT?
Minimalny cykl przeglądu to 2 lata, jednak wiele organizacji stosuje roczne przeglądy dla polityk bezpieczeństwa informacji ze względu na dynamicznie zmieniające się zagrożenia. Poza regularnymi przeglądami, politykę należy niezwłocznie aktualizować po: znaczących zmianach regulacyjnych (np. nowe wytyczne KNF, aktualizacja RODO), po incydentach bezpieczeństwa wskazujących luki, po zmianach technologicznych zmieniających zakres zastosowania polityki.
Kto jest właścicielem polityki IT?
Każda polityka powinna mieć formalnie wyznaczonego właściciela — osobę odpowiedzialną za utrzymanie aktualności, monitorowanie przestrzegania i inicjowanie przeglądów. Typowi właściciele: CISO dla polityki bezpieczeństwa informacji, CIO dla polityk zarządzania IT, HR dla polityki AUP (dopuszczalnego użytkowania). Właściciel nie musi być autorem dokumentu — może zlecać opracowanie specjalistom.

POWIĄZANE HASŁA

Ramy
COBIT
Kontrola
Audyt IT
Struktury
Rada IT