Please enable JavaScript.
Coggle requires JavaScript to display documents.
ISO/IEC 27001:2005 Арбузов В.Т. КБ-91/1 - Coggle Diagram
ISO/IEC 27001:2005 Арбузов В.Т. КБ-91/1
ВІДПОВІДАЛЬНІСТЬ КЕРІВНИЦТВА
Прихильність керівництва
Керівництво повинно продемонструвати свою прихильність створенню, впровадженню, експлуатації, моніторингу, аналізу, супроводу і вдосконалення СУІБ
Управління ресурсами
Виділення ресурсів
Організація повинна визначити і виділити ресурси, необхідні для:
створення, впровадження, експлуатації, моніторингу, аналізу,
супроводу і вдосконалення СУІБ;
забезпечення підтримки вимог бізнесу процедурами
інформаційної безпеки;
визначення і врахування вимог законодавства та нормативної
бази, а також контрактних зобов'язань щодо забезпечення безпеки;
підтримання достатнього рівня безпеки шляхом правильного
застосування всіх реалізованих механізмів контролю;
проведення перевірок, у разі необхідності, і відповідного
реагування на результати цих перевірок;
там, де це необхідно, підвищення ефективності СУІБ.
Навчання, поінформованість та компетентність
Організація повинна переконатися в тому, що весь персонал, на який покладено визначається в СУІБ відповідальність, володіє необхідною компетенцією для вирішення необхідних завдань
Організація повинна також переконатися в тому, що весь що має відношення до СУІБ персонал обізнаний про важливість і необхідність вжиття заходів щодо забезпечення інформаційної безпеки, а також про свій внесок в досягнення цілей СУІБ
ВНУТРІШНІ АУДИТИ СУІБ
Організація повинна проводити внутрішні аудити СУІБ через заплановані інтервали часу з метою перевірки того, що цілі контролю, механізми контролю, процеси та процедури СУІБ
Програма аудиту повинна бути спланована з урахуванням статусу та важливості процесів і областей, що перевіряються, а також результатів попередніх аудитів.
Повинні бути визначені критерії, область, частота і методи проведення аудиту. Вибір аудиторів і проведення аудитів повинні гарантувати об'єктивність та неупередженість процесу аудиту. Аудитори не повинні здійснювати аудит своєї роботи.
Відповідальність і вимоги щодо планування та проведення аудитів, а також до надання звітів за результатами і ведення записів повинні бути визначені в документованої процедурою.
Керівництво, що несе відповідальність за ділянку аудиту, повинно забезпечити вжиття заходів без невиправданих затримок з метою усунення виявлених невідповідностей та їх причин.
АНАЛІЗ СУІБ КЕРІВНИЦТВОМ
Загальні положення
Керівництво повинно аналізувати СУІБ організації через заплановані інтервали часу, щоб переконатися в її постійної придатності, адекватності та ефективності.
Ці перевірки повинні включати в себе оцінку можливостей для удосконалення та необхідності внесення змін до СУІБ, включаючи політику інформаційної безпеки і цілі інформаційної безпеки.
Результати перевірок
повинні бути чітко задокументовані, а також повинні вестися записи
Вхідні дані для аналізу
Вхідні дані для аналізу СУІБ керівництвом повинні включати в себе
наступну інформацію
результати аудитів та аналізу СУІБ;
відгуки зацікавлених сторін;
методики, продукти і процедури, які могли б використовуватися в
організації для підвищення продуктивності і ефективності СУІБ;
статус превентивних і коригуючих заходів;
вразливості або загрози, які не були в достатній мірі враховані під
час попередньої оцінки ризиків;
результати вимірів ефективності;
заходи, вжиті за результатами попередніх аналізів СУІБ
керівництвом;
будь-які зміни, які могли б вплинути на СУІБ;
рекомендації щодо вдосконалення.
Вихідні дані аналізу
Вихідні дані за результатами аналізу СУІБ керівництвом повинні
включати в себе будь-які рішення і заходи, що відносяться до наступного
Підвищення ефективності СУІБ
Коригування плану оцінки та плану оброблення ризиків;
Внесення необхідних змін в процедури і механізми контролю, що впливають на інформаційну безпеку, у відповідь на внутрішні або зовнішні події, які можуть вплинути на СУІБ
Потреби в ресурсах
Удосконалення методів вимірювання ефективності механізмів
контролю.