[Название компании] (далее - Компания), являясь одной из крупнейших [кредитных организаций, топливно-энергетических компаний, или ... ] России, ставит перед собой стратегическую цель – стать корпорацией мирового уровня.
Для достижения поставленной цели Компании предстоит решить широкий комплекс задач, направленных на повышение эффективности и стабильности функционирования бизнеса.
Учитывая тенденции развития мировой и отечественной экономики, в соответствии с которыми, информация и информационные технологии становятся важнейшими активами современного бизнеса, способствующими повышению его конкурентоспособности, Компания уделяет особое внимание решению задачи обеспечения информационной безопасности. 
Под информационной безопасностью Компания понимает состояние защищенности своих интересов (целей) от угроз в информационной сфере. Защищенность достигается обеспечением совокупности свойств информационных активов: конфиденциальности, целостности и доступности.
Обеспечение информационной безопасности Компании осуществляется в рамках циклической модели менеджмента информационной безопасности: «планирование — реализация — проверка — совершенствование», отвечающей принципам и модели корпоративного менеджмента в Компании.
Политика информационной безопасности (далее – Политика) устанавливает цели, задачи и принципы в области информационной безопасности, которыми руководствуется Компания в своей деятельности.
Политика является общедоступным документом, который может предоставляться без ограничений всем заинтересованным сторонам.

2. Область применения

Положения Политики распространяются на всех работников Компании, имеющих доступ к информационным активам и ИТ-инфраструктуре Компании, а так же учитываются в отношениях с контрагентами (потребителями продукции, поставщиками, партнерами, консультантами, стажерами, практикантами и т.д.).

3. Цели Компании в области информационной безопасности

Важнейшими целями Компании в области информационной безопасности являются:

• Повышение конкурентоспособности бизнеса Компании.
• Соответствие требованиям законодательства и договорным обязательствам в части информационной безопасности.
• Повышение деловой репутации и корпоративной культуры Компании.
• Достижение адекватности мер по защите от угроз информационной безопасности.
• Предотвращение и (или) снижение ущерба от реализации угроз информационной безопасности.

4. Принципы реализации политики

При достижении поставленных целей Компания намерена руководствоваться следующими принципами:
а) Вовлеченность высшего руководства Компании в процесс обеспечения информационной безопасности. Деятельность по обеспечению информационной безопасности инициирована и контролируется высшим руководством Компании. Координация деятельности по обеспечению информационной безопасности осуществляется в рамках действующего в Компании комитета, в состав которого входят представители высшего руководство. Высшее руководство Компании выполняет те же правила по обеспечению информационной безопасности, что и все работники Компании. 
б) Законность обеспечения информационной безопасности. Компания реализует меры обеспечения информационной безопасности в строгом соответствии с действующим законодательством и договорными обязательствами.
в) Согласованность действий по обеспечению информационной, физической и экономической безопасности. Действия по обеспечению информационной, физической и экономической безопасности осуществляются на основе четкого взаимодействия заинтересованных подразделений Компании и согласованы между собой по целям, задачам, принципам, методам и средствам.
г) Экономическая целесообразность. Компания стремится выбирать меры обеспечения информационной безопасности с учетом затрат на их реализацию, вероятности возникновения угроз информационной безопасности и объема возможных потерь от их реализации.
д) Знание своих работников. Компания стремится тщательно подбирать персонал (работников), вырабатывать и поддерживать корпоративную этику, что создает благоприятную среду для деятельности Компании и снижает риски информационной безопасности.
е) Документированность требований информационной безопасности. Компания стремится, чтобы все требования в области информационной безопасности были зафиксированы во внутренних нормативных документах, утвержденных руководством Компании.
ж) Осведомленность в вопросах обеспечения информационной безопасности. Документированные требования в области информационной безопасности доводятся до сведения работников Компании и контрагентов в части их касающейся. Компания на периодической основе осуществляет информирование, обучение и аттестацию работников по вопросам обеспечения информационной безопасности. 
з) Реагирование на инциденты информационной безопасности. Компания стремится выявлять, учитывать и оперативно реагировать на действительные, предпринимаемые и вероятные нарушения информационной безопасности.
и) Персональная ответственность. Работники Компании несут персональную ответственность за соблюдение требований информационной безопасности. Обязанности по обеспечению информационной безопасности включаются в трудовые договоры и должностные инструкции работников, а так же в договоры (соглашения) с контрагентами. 
к) Учет действий с информационными активами. Компания стремится вести учет всех действий работников Компании и контрагентов с информационными активами Компании. 
л) Предоставление минимально необходимых прав доступа. Работникам Компании и контрагентов предоставляются минимально необходимые права доступа для качественного и своевременного выполнения трудовых обязанностей и договорных обязательств. При этом Компания стремится предоставлять права доступа таким образом, чтобы выполнение особо важной (критичной) операции осуществлялось с участием как минимум двух работников. 
м) Учет требований информационной безопасности в проектной деятельности. Помимо операционной деятельности, Компания стремится учитывать требования информационной безопасности в проектной деятельности. Разработка и документирование требований по обеспечению информационной безопасности осуществляется на начальных этапах реализации проектов, связанных с обработкой, хранением и передачей информации.

5. Заинтересованные стороны

Заинтересованными сторонами при реализации Политики Компания считает:

• акционеров и потенциальных инвесторов;
• органы государственной власти;
• контрагентов (потребители продукции, поставщики и т.д.) и деловых партнеров (потенциальные контрагенты, дочерние и зависимые общества и т.д.);
• работников.

Организация эффективного взаимодействия Компании с заинтересованными сторонами способствует повышению капитализации Компании, долгосрочному постоянному развитию и непрерывности бизнеса, снижению рисков инвестиций, соблюдению требований законодательства и договорных обязательств в части информационной безопасности, обеспечению высокой деловой репутации Компании, обеспечению своевременной поставки продукции, повышению квалификации работников и корпоративной культуры.
Компания обеспечивает защиту конфиденциальной информации, полученной от заинтересованной стороны на уровне, разумно достаточном для заинтересованной стороны, но не меньшем, чем уровень защиты собственной конфиденциальной информации.

6. Документационное обеспечение

Компания разрабатывает и внедряет внутренние нормативные документы по обеспечению информационной безопасности на основе законодательных требований, а так же положений международных и национальных стандартов в области информационной безопасности:

• долгосрочную программу мероприятий по обеспечению информационной безопасности;
• стандарты, положения и инструкции по обеспечению информационной безопасности;
• планы обеспечения непрерывности бизнеса и действий в случаях чрезвычайных ситуаций.

Кроме того, Компания на периодической основе проводит анализ внутренних нормативных документов на предмет их эффективности и непротиворечивости, а так же поддерживает данные документы в актуальном состоянии. 
Политика пересматривается не реже одного раза в два года.

7. Управление рисками

Активная позиция руководства Компании в вопросах управления рисками информационной безопасности выражается в поддержке регулярной деятельности по следующим направлениям:

• Идентификация и классификация активов, подлежащих защите, и определение владельцев этих активов.
• Своевременное выявление и прогнозирование угроз информационной безопасности в отношении идентифицированных активов.
• Оценка вероятности реализации угроз информационной безопасности и степени их влияния на бизнес Компании на основе методов, позволяющих обеспечить сравнимые и воспроизводимые результаты.
• Обработка рисков информационной безопасности.
• Оценка эффективности применяемых методов и средств обеспечения информационной безопасности, в том числе с привлечением внутренних и внешних аудиторов.

8. Стратегические инициативы

Для достижения поставленных целей в области обеспечения информационной безопасности Компания намерена осуществлять:

• Внедрение системы менеджмента информационной безопасности в соответствии с международным стандартом ISO/IEC 27001:2005 «Information Technology. Security techniques. Information security management systems. Requirements».
• Сертификацию особо важных (критичных) для деятельности Компании бизнес-процессов на соответствие международному стандарту ISO/IEC 27001:2005 «Information Technology. Security techniques. Information security management systems. Requirements».
• Внедрение передовых программных, аппаратных и технических решений в области информационной безопасности.

Приложение 1. Используемые термины и сокращения

активы: Все, что имеет ценность для организации. [ISO/IEC 13335-1:2004. Information Technology. Security techniques. Management of information and communications technology security.] 
риск: Случайное событие, имеющее две характеристики: вероятность наступления события и ущерб (выгода) вследствие наступления этого события.
обработка риска: Процесс выбора и осуществления мер по модификации риска.
Примечания:
1) Термин «обработка риска» иногда используют для обозначения самих мер.
2) Меры по обработке риска могут включать в себя избежание, оптимизацию, перенос или сохранение риска. [ГОСТ Р 51897-2002. Менеджмент риска. Термины и определения.]
информация: Сведения (сообщения, данные) независимо от формы их представления. [Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. N 149-ФЗ]
информационные технологии (ИТ): Процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов. [Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. N 149-ФЗ]
ИТ-инфраструктура: Совокупность информационных технологий и технических средств, обеспечивающих обработку информации. информационная безопасность (ИБ): Состояние защищенности интересов (целей) Компании от угроз в информационной сфере.
информационная сфера: Совокупность информации, ИТ-инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение, хранение и использование информации, а также системы регулирования возникающих при этом отношений.
угроза информационной безопасности: Фактор или совокупность факторов, создающих опасность нарушения целостности, доступности и (или) конфиденциальности информации.
целостность информации: Свойство информации, которое характеризуется обеспечением ее достоверности и полноты. 
доступность информации: свойство информации, которое характеризуется обеспечением беспрепятственного и своевременного доступа к ней субъектов, имеющих на это полномочия.
конфиденциальность информации: Свойство информации, которое характеризуется сохранением ее в тайне от субъектов, не имеющих полномочий на доступ к ней.
система менеджмента информационной безопасности (СМИБ): Часть общей системы менеджмента организацией, основывающаяся на подходе бизнес-риска, предназначенная для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и совершенствования информационной безопасности организации. [ISO/IEC 27001:2005. Information technology. Security techniques . Information security management systems. Requirements.]