Please enable JavaScript.
Coggle requires JavaScript to display documents.
ISO/ІЕС 27002 - Coggle Diagram
ISO/ІЕС 27002
Терміни та визначення
актив (asset): Все, що має цінність для організації
рекомендація (guideline): Опис, пояснює дії і способи їх виконання, необхідні для досягнення цілей, викладених в політиці.
засоби обробки інформації (information processing facilities): Будь-яка система обробки інформації, послуга чи інфраструктура, або їх фактичне місце розташування.
інформаційна безпека (information security): Захист конфіденційності, цілісності та доступності інформації; крім того, сюди можуть бути віднесені й інші властивості, наприклад автентичність, підзвітність, неспростовності і надійність.
політика (policy): Загальна намір і напрямок, офіційно виражене керівництвом.
-
загроза (threat): Потенційна причина небажаного інциденту, результатом якого може бути нанесення шкоди системі або організації.
вразливість (vulnerability): Слабкість одного або декількох активів, яка може бути використана одна чи кілька погрозами.
Область застосування
Цей стандарт пропонує рекомендації та основні принципи введення, реалізації, підтримки та поліпшення менеджменту інформаційної безпеки в організації. Цілі, викладені в даному стандарті, забезпечують повне керівництво по загальноприйнятим цілям менеджменту інформаційної безпеки.
-
Політика безпеки
Мета: Забезпечити управління і підтримку вищим керівництвом інформаційної безпеки відповідно до вимог бізнесу і відповідними законами і нормами.
Документ, в якому викладається політика, повинен містити положення щодо:
a) визначення інформаційної безпеки, її загальних цілей і сфери дії, а також згадки значення безпеки як інструменту, що забезпечує можливість спільного використання інформації
b) викладу намірів керівництва, що підтримують цілі і принципи інформаційної безпеки відповідно до стратегії і цілями бізнесу;
c) підходу до встановлення заходів і засобів контролю та управління і цілей їх застосування, включаючи структуру оцінки ризику та менеджменту ризику;
d) короткого роз'яснення найбільш істотних для організації політик безпеки, принципів, стандартів і вимог відповідності
e) визначення загальних і конкретних обов'язків співробітників в рамках менеджменту інформаційної безпеки, включаючи інформування про інциденти безпеки;
f) посилань на документи, що доповнюють політику інформаційної безпеки, наприклад більш детальні політики та процедури безпеки для певних інформаційних систем, а також правила безпеки, яким повинні слідувати користувачі.
-