Please enable JavaScript.
Coggle requires JavaScript to display documents.
ISO-27005 p.1 - Coggle Diagram
ISO-27005 p.1
Термінологія
Менеджмент (control):міра, яка змінює ризик.
-
Наслідки (consequence):результат події , що впливає на цілі
Залишковий ризик (residual risk):Ризик, що зберігається після обробки ризику
Рівень ризику (level of risk): Величина ризику або комбінації ризиків, виражена як поєднання наслідків і їх можливості виникнення.
-
Ідентифікація ризику (risk identification):Процес виявлення, дослідження та опису ризиків.
-
Внутрішній контекст (internal context): Внутрішнє середовище, в якій організація прагне до досягнення своїх цілей
Оцінка ризику (risk assessment): Загальний процес ідентифікації ризику, аналізу ризику і оцінювання ризику .
Зовнішній контекст (external context): Зовнішнє середовище, в якій організація прагне до досягнення своїх цілей
Обмін інформацією та консультування щодо ризику (risk communication and consultation): Безперервні і повторювані процеси, які проводить організація, для надання, поділу або отримання інформації, а так само ведення діалогу з зацікавленими сторонами щодо менеджменту ризику
-
-
Менеджмент ризику (risk management): Скоординована діяльність з керівництва та управління організацією щодо ризику
Зацікавлена сторона (stakeholder): Особа або організація, які можуть впливати, піддаватися впливу, або усвідомлюють, що на них впливає будь-яке рішення або дії.
Критерії ризику (risk criteria):Аспекти, відповідно до яких здійснюють оцінювання ризику
Оцінювання ризику (risk evaluation): Процес порівняння результатів аналізу ризику до встановлених критеріїв ризику для визначення, чи є ризик і/або його величина прийнятними або допустимими.
-
Структура стандарту
-
-
-
-
-
-
-
Додаткова інформація про види діяльності, пов'язаних з менеджментом ризику інформаційної безпеки, представлена в додатках.
Обмеження, що стосуються зниження ризику, представлені в додатку F.
-
Ідентифікація та визначення цінності активів і оцінок впливу обговорюються в Додатку В (приклади, що стосуються активів), Додатку С (приклади, що стосуються типових загроз) і Додатку D (Приклади, що стосуються типових вразливостей).
Встановлення контексту розглядається в Додатку А (визначення області застосування і меж процесу менеджменту ризику інформаційної безпеки)
-
Всі види діяльності, пов'язані з менеджментом ризику, представлені в розділах 7-12, структуровані таким чином:
-
Деякі рекомендації даних посібників можуть не підходити до всіх випадків, тому можуть бути більш доречними інші варіанти дій
-
Вихідні дані - ідентифікується будь-яка інформація, отримана після виконання діяльності.
Вхідні дані - ідентифікується будь-яка інформація, необхідна для виконання діяльності.
Даний стандарт
-
вибір підходу до менеджменту ризику здійснюється організацією, що застосовують цей стандарт і залежить, наприклад, від області застосування СМІБ, контексту менеджменту ризику або сфери діяльності
надає керівництво з менеджменту ризику інформаційної безпеки в організації, підтримуючи, зокрема вимоги до СМІБ відповідно до ISO/IEC 27001;
призначений для керівників і персоналу, що займається в організації питаннями менеджменту ризику інформаційної безпеки, а також, при необхідності, для зовнішніх сторін, що мають відношення до цього виду діяльності..
-
Встановлення контексту
Загальний аналіз
Повинен бути встановлений контекст менеджменту ризику інформаційної безпеки, що включає встановлення основних критеріїв, необхідних для менеджменту ризику інформаційної безпеки (відповідно до 7.2), визначення сфери дії і кордонів (відповідно до 7.3) і встановлення відповідної структури для здійснення менеджменту ризику інформаційної безпеки (відповідно с.7.4).
Вся інформація про організацію, доречна для встановлення
контексту менеджменту ризику інформаційної безпеки.
Керівництво по реалізації: Необхідно визначити мету менеджменту ризику інформаційної безпеки, так як вона впливає на загальний процес і на установку контексту, зокрема.
Вихідні дані: Специфікація основних критеріїв, сфера дії і кордони, структура для процесу менеджменту ризику інформаційної безпеки.
-
-
-