Please enable JavaScript.
Coggle requires JavaScript to display documents.
ISO/IEC 27001:2005 Часть 2 - Coggle Diagram
ISO/IEC 27001:2005 Часть 2
ВІДПОВІДАЛЬНІСТЬ КЕРІВНИЦТВА
Прихильність керівництва
Створення політики СУІБ
Забезпечення наявності цілей та планів СУІБ
Визначення ролей і відповідальності за інформаційну безпеку
Повідомлення організації про важливість досягнення цілей інформаційної безпеки та відповідності політиці інформаційної безпеки, її відповідальності перед законом і необхідність безперервного вдосконалення
Виділення достатніх ресурсів для розробки, впровадження, експлуатації, моніторингу, аналізу, супроводу і вдосконалення
СУІБ
Прийняття рішення про критерії прийняття ризиків і допустимому рівні ризику
Забезпечення проведення внутрішніх аудитів СУІБ
Проведення аналізу СУІБ з боку керівництва
Управління ресурсами
Виділення ресурсів
Визначення і врахування вимог законодавства та нормативної бази, а також контрактних зобов'язань щодо забезпечення безпеки
Забезпечення підтримки вимог бізнесу процедурами інформаційної безпеки
Підтримання достатнього рівня безпеки шляхом правильного застосування всіх реалізованих механізмів контролю
Проведення перевірок, у разі необхідності, і відповідного реагування на результати цих перевірок
Створення, впровадження, експлуатації, моніторингу, аналізу, супроводу і вдосконалення СУІБ
Там, де це необхідно, підвищення ефективності СУІБ
Навчання, поінформованість та компетентність
Визначення необхідних компетенцій для персоналу, який виконує роботу, що робить вплив на СУІБ
Надання навчання або прийняття інших заходів (наприклад, наймання компетентного персоналу) для задоволення цих потреб
Оцінки ефективності вжитих заходів
Ведення записів про освіту, навчання, навички, досвід і кваліфікаціях
ВНУТРІШНІ АУДИТИ СУІБ
Відповідають вимогам цього Міжнародного стандарту, а також відповідним вимогам законодавчої або нормативної бази
Відповідають ідентифікованим вимогам інформаційної безпеки
Ефективно реалізовані і супроводжуються
Виконуються, як очікувалося
АНАЛІЗ СУІБ КЕРІВНИЦТВОМ
Загальні положення
Керівництво повинно аналізувати СУІБ організації через заплановані інтервали часу, щоб переконатися в її постійної придатності, адекватності та ефективності
Вхідні дані для аналізу
Вхідні дані для аналізу СУІБ керівництвом повинні включати в себе наступну інформацію
Результати аудитів та аналізу СУІБ
Відгуки зацікавлених сторін
Методики, продукти і процедури, які могли б використовуватися в організації для підвищення продуктивності і ефективності СУІБ
Статус превентивних і коригуючих заходів
Вразливості або загрози, які не були в достатній мірі враховані під час попередньої оцінки ризиків
Результати вимірів ефективності
Заходи, вжиті за результатами попередніх аналізів СУІБ керівництвом
Будь-які зміни, які могли б вплинути на СУІБ
Рекомендації щодо вдосконалення
Вихідні дані аналізу
Вихідні дані за результатами аналізу СУІБ керівництвом повинні включати в себе будь-які рішення і заходи, що відносяться до наступного
c. Внесення необхідних змін в процедури і механізми контролю, що впливають на інформаційну безпеку, у відповідь на внутрішні або зовнішні події, які можуть вплинути на СУІБ, включаючи зміни в
Вимоги безпеки
Бізнес процесах, які впливають на існуючі вимоги бізнесу
Вимоги бізнесу
Вимоги нормативної чи законодавчої бази
Контрактних зобов'язаннях
Рівнях ризику і / або критерії прийняття ризиків
Потреби в ресурсах
Коригування плану оцінки та плану оброблення ризиків
Удосконалення методів вимірювання ефективності механізмів контролю
Підвищення ефективності СУІБ
УДОСКОНАЛЕННЯ СУІБ
Безперервне вдосконалення
Організація повинна безперервно підвищувати ефективність СУІБ шляхом використання політики інформаційної безпеки, цілей безпеки, результатів аудиту, аналізу відслідковуються подій, коригувальних і превентивних заходів і аналізу з боку керівництва
Коригувальні заходи
Методичний документ щодо реалізації коригувальних заходів повинен визначати вимоги для
Визначення та реалізація необхідних коригувальних заходів
Протоколювання результатів вжитих заходів
Оцінки необхідності вжиття заходів щодо попередження невідповідності не виникатимуть повторно
Аналіз виконаних коригувальних заходів
Визначення причин невідповідностей
Ідентифікації невідповідностей
Превентивні заходи
Методичний документ щодо реалізації превентивних заходів повинен визначати вимоги для
Протоколювання результатів вжитих заходів
Аналізу вжитих превентивних заходів
Визначення і реалізації необхідних превентивних заходів
Оцінки необхідності вжиття заходів для запобігання виникненню невідповідностей
Ідентифікації потенційних невідповідностей та їх причин