Please enable JavaScript.
Coggle requires JavaScript to display documents.
BS ISO/IEC 27001:2005 Талда А.Ю. - Coggle Diagram
BS ISO/IEC 27001:2005 Талда А.Ю.
ВНУТРІШНІ АУДИТИ СУІБ
відповідають ідентифікованим вимогам інформаційної
безпеки
ефективно реалізовані і супроводжуються
відповідають вимогам цього Міжнародного стандарту, а
також відповідним вимогам законодавчої або нормативної бази
виконуються, як очікувалося
АНАЛІЗ СУІБ КЕРІВНИЦТВОМ
Загальні положення
Керівництво повинно аналізувати СУІБ організації через
заплановані інтервали часу, щоб переконатися в її постійної
придатності, адекватності та ефективності. Ці перевірки
повинні включати в себе оцінку можливостей для удосконалення та необхідності внесення змін до СУІБ.Результати перевірок повинні бути чітко задокументовані.
Вхідні дані для аналізу
Вихідіні дані аналізу
результати аудитів та аналізу СУІБ
результати вимірів ефективності
статус превентивних і коригуючих заходів
методики, продукти і процедури, які могли б
використовуватися в організації для підвищення продуктивності і ефективності СУІБ
відгуки зацікавлених сторін
вразливості або загрози, які не були в достатній мірі
враховані під час попередньої оцінки ризиків
заходи, вжиті за результатами попередніх аналізів СУІБ
керівництвом
будь-які зміни, які могли б вплинути на СУІБ
рекомендації щодо вдосконалення
ВІДПОВІДАЛЬНІСТЬ КЕРІВНИЦТВА
Прихильність керівництва
повідомлення організації про важливість досягнення цілей
інформаційної безпеки та відповідності політиці нформаційної безпеки, її відповідальності перед законом і необхідність безперервного вдосконалення
виділення достатніх ресурсів для розробки, впровадження,
експлуатації, моніторингу, аналізу, супроводу і вдосконалення СУІБ
визначення ролей і відповідальності за інформаційну безпеку
прийняття рішення про критерії прийняття ризиків і
допустимому рівні ризику
забезпечення наявності цілей та планів СУІБ
забезпечення проведення внутрішніх аудитів СУІБ
створення політики СУІБ
проведення аналізу СУІБ з боку керівництва
Управління ресурсами
Виділення ресурсів
забезпечення підтримки вимог бізнесу процедурами
інформаційної безпеки
створення, впровадження, експлуатації, моніторингу, аналізу,
супроводу і вдосконалення СУІБ
визначення і врахування вимог законодавства та
нормативної бази
підтримання достатнього рівня безпеки шляхом правильного
застосування всіх реалізованих механізмів контролю
проведення перевірок, у разі необхідності, і відповідного
реагування на результати цих перевірок
підвищення ефективності СУІБ в необхідних зонах
Навчання, поінформованість та компетентність
надання навчання або прийняття інших заходів для задоволення цих потреб
оцінки ефективності вжитих заходів
визначення необхідних компетенцій для персоналу, який
виконує роботу, що робить вплив на СУІБ
ведення записів про освіту, навчання, навички, досвід і
кваліфікаціях
УДОСКОНАЛЕННЯ СУІБ
Коригувальні заходи
оцінки необхідності вжиття заходів щодо попередження
невідповідності
визначення та реалізація необхідних коригувальних заходів
визначення причин невідповідностей
протоколювання результатів вжитих заходів
ідентифікації невідповідностей
аналіз виконаних коригувальних заходів
Превентивні заходи
визначення і реалізації необхідних превентивних заходів
протоколювання результатів вжитих заходів
оцінки необхідності вжиття заходів для запобігання
виникненню невідповідностей
аналізу вжитих превентивних заходів
ідентифікації потенційних невідповідностей та їх причин
Безперервне вдосконалення
Організація повинна безперервно підвищувати ефективність
СУІБ шляхом використання політики інформаційної безпеки,
цілей безпеки, результатів аудиту коригувальних і превентивних заходів і аналізу з боку керівництва