Чтобы обеспечить постоянное улучшение системы управления информационной безопасностью нашей организации:
Мы обязуемся, выявлять и оценивать риски связанные с конфиденциальностью, целостностью и доступом информации, применять необходимые меры контроля для всех активов которые являются выше допустимого уровня, измерять производительность процессов информационной безопасности, создавать цели из этих данных, свести к минимуму наши слабые стороны и угрозы за счет инвестиций в инфраструктуру, рабочую среду, оборудование, программное обеспечение и обучение, соответствовать условиям безопасности, которое требует наша работа, наши клиенты и правовые условия:
Выявляя информационные активы и изучая их влияния на работу путем рассмотрения таких вопросов, как: стоимость замены этих активов, конфиденциальность информации, влияние на имидж, ущерб, который они могут нанести с точки зрения юридических и правовых обязательств;
Устраняя опасность возникновения угрозы связанные с: большим количеством уязвимостей и насколько хорошо существующие средства контроля способны заполнять эти уязвимости, мотивацией злоумышленника, привлекательности информации для конкурентов, уязвимости в управлении доступом и целостности данных.
