Please enable JavaScript.
Coggle requires JavaScript to display documents.
ISO 27001(1) - Coggle Diagram
ISO 27001(1)
ТЕРМІНИ ТА ВИЗНАЧЕННЯ
Ресурс
все, що має цінність для організації
Доступність
властивість, що полягає в доступності і застосовності для авторизованих суб'єктів, коли буде потрібно
Конфіденційність
властивість, що полягає в недоступності інформації або не розкриті її змісту для неавторизованих осіб, суб'єктів або процесів
Інформаційна безпека
забезпечення конфіденційності, цілісності та доступності інформації; додатково також можуть матися на увазі інші властивості, такі як автентичність, підзвітність, неспростовності і надійність
Подія інформаційної безпеки
ідентифіковане стан системи, сервісу або мережі, що свідчить про можливе порушення політики безпеки або відсутності механізмів захисту, коли раніше невідома ситуація, яка може мати відношення до безпеки
Інцидент інформаційної безпеки
одне або серія небажаних або несподіваних подій інформаційної безпеки, що мають значну ймовірність порушення бізнес операцій або становлять загрозу для інформаційної безпеки
Система управління інформаційною безпекою СУІБ
та частина загальної системи управління, заснованої на оцінці бізнес ризиків, яка призначена для створення, впровадження, експлуатації, моніторингу, аналізу, супроводу і вдосконалення інформаційної безпеки
ОБЛАСТЬ ДІЇ
Загальні положення
Цей Міжнародний охоплює всі типи організацій
Міжнародний стандарт визначає вимоги для створення, впровадження, експлуатації, моніторингу, аналізу, супроводу і вдосконалення документованої СУІБ в контексті загальних бізнес ризиків організації.
Застосування
Вимоги, викладені в цьому стандарті, носять загальний характер і призначені для застосування в будь-яких організаціях, незалежно від їх типу, розміру або області діяльності
СИСТЕМА УПРАВЛІННЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
Загальні вимоги
Створення та управління СУІБ
Створення СУІБ
Визначити область дії і кордони СУІБ в термінах характеристик бізнесу, організації, її розташування, ресурсів і технологій, а також включаючи детальну інформацію та обгрунтування для будь-яких винятків зі сфери дії
Визначити політику СУІБ в термінах характеристик бізнесу, організації, її розташування, ресурсів і технологій
Визначити підхід організації до оцінки ризиків
Ідентифікувати ризики
Ідентифікувати і оцінити можливості по обробці ризиків
Вибрати цілі і механізми контролю для обробки ризиків
Підготувати Декларацію про можливість застосування
Впровадження та експлуатація СУІБ
Розробити план обробки ризиків, який визначає відповідні дії керівництва, ресурси, відповідальність і пріоритети з управління ризиками інформаційної безпеки
Реалізувати план обробки ризиків з метою досягнення встановлених цілей контролю, що включає в себе розгляд питань фінансування, призначення ролей і розподіл відповідальності
Реалізувати механізми контролю
Визначити, як вимірювати ефективність вибраних механізмів контролю або груп механізмів контролю
Реалізувати програми навчання і підвищення обізнаності
Моніторинг та аналіз СУІБ
Виконувати процедури моніторингу та аналізу, а також застосовувати інші механізми контролю
Вживати регулярні перевірки ефективності СУІБ
Вимірювати ефективність механізмів контролю, щоб перевірити виконання вимог безпеки
Переглядати оцінки ризиків через певні інтервали, переглядати залишкові ризики та ідентифіковані рівні допустимих ризиків
Проводити внутрішній аудит СУІБ через заплановані інтервали часу
Супровід та вдосконалення СУІБ
Впроваджувати ідентифіковані вдосконалення в СУІБ
Вживати відповідні коригувальні та запобіжні дії
Запитувати про заходи, що вживаються і вдосконалення всім зацікавленим сторонам зі ступенем подробиці, що відповідає обставинам, і, в разі необхідності, погоджувати свої дії
абезпечувати досягнення поставлених цілей в ході реалізації удосконалень
Вимоги до документування
Загальні вимоги
задокументовані положення політики безпеки
область дії СУІБ
процедури та механізми контролю, що підтримують СУІБ
опис методології оцінки ризиків
звіт про оцінку ризиків
план обробки ризиків
задокументовані методики, які необхідні організації для забезпечення ефективного планування, виконання та контролю процесів інформаційної безпеки і описують як вимірювати ефективність механізмів контролю
протоколи, які вимагає цим Міжнародним стандартом
Декларація про можливість застосування
Управління документами
затвердження документів перед опублікуванням з точки зору їх достовірності та достатності
аналізу і коригування документів у разі необхідності, а також повторного затвердження документів
забезпечення ідентифікації змін та статусу поточних ревізій документів
Управління записами
Повинні створюватися і зберігатися записи для надання доказів відповідності вимогам і ефективності функціонування СУІБ