Please enable JavaScript.

Coggle requires JavaScript to display documents.

ДСТУ ISO/IEC 27001:2015 Арбузов В.Т. КБ-91 - Coggle Diagram

- - - - зацікавлені сторони, які важливі для системи управління інформаційною безпекою;
      - вимоги цих зацікавлених сторін, важливих для інформаційної безпеки.
  - - - зовнішні та внутрішні обставини, зазначені в 4.1;
      - вимоги, зазначені в 4.2; та
      - інтерфейси та залежності між діями, які виконує організація, і тими, що виконують інші організації.
- - - - a) гарантуванням, що політика інформаційної безпеки та цілі інформаційної безпеки розроблені та сумісні зі стратегічними планами організації;
      - b) гарантуванням інтеграції вимог системи інформаційної безпеки в процеси організації;
      - c) гарантуванням, що ресурси, потрібні для системи управління інформаційною безпекою, доступні;
      - d) доведенням до відома організації важливості ефективного управління інформаційною безпекою та відповідності вимогам системи управління інформаційною безпекою;
      - е) гарантуванням, що система управління інформаційною безпекою досягне своїх запланованих результатів
      - f) призначенням та підтримкою осіб для досягнення ефективності системи управління інфор маційною безпекою;
      - g) сприянням постійному вдосконаленню; та
      - h) підтримкою інших пов’язаних ролей вищого керівництва, щоб продемонструвати їх керівну роль, яку вони застосовують у сферах їх відповідальності.
  - - - a) відповідає цілям організації;
      - b) містить цілі інформаційної безпеки (див. 6.2) або зазначає основні положення для визначення цілей інформаційної безпеки;
      - c) містить зобов’язання відповідати застосованим вимогам, пов’язаним з інформаційною безпекою; та
      - d) містить зобов’язання щодо постійного вдосконалення системи управління інформаційною безпекою.
      - Політика інформаційної безпеки має:
        
        е) бути доступною як документована інформація;
        
        ї) бути розповсюдженою в середині організації; і
        
        g) бути доступною зацікавленим сторонам, за потреби.
  - - - Вище керівництво повинно призначити відповідальності та повноваження для:
        
        гарантування, що система управління інформаційною безпекою відповідає вимогам цього
        стандарту;
        
        звітування вищому керівництву щодо результативності системи управління інформаційною
        безпекою.
- - - - Під час планування системи управління інформаційною безпекою організація повинна розглянути питання, описані в 4.1, і вимоги, описані в 4.2, а також визначити ризики та можливості, які потрібно мати на увазі, щоб
        
        a) гарантувати, що система управління інформаційною безпекою може досягти запланованого результату(-ів);
        
        b) запобігти або зменшити небажані ефекти; і
        
        c) досягти постійного вдосконалення.
        
        Організація повинна планувати:
        
        d) дії, які стосуються цих ризиків та можливостей,
    - - Організація повинна визначити та застосовувати процес оцінювання ризиків інформаційної
        безпеки, який:
        
        встановлює та підтримує критерії ризиків інформаційної безпеки
        
        гарантує, що повторні оцінки ризиків інформаційної безпеки призводять до послідовних, дійових та порівняльних результатів
        
        ідентифікує ризики інформаційної безпеки
        
        виконує аналіз ризиків інформаційної безпеки
        
        оцінює ризики інформаційної безпеки
      - Організація повинна зберігати документовану інформацію стосовно процесу оцінювання ризиків інформаційної безпе
    - - Організація повинна визначити та застосовувати процес оброблення ризиків інформаційної
        безпеки для:
        
        вибору доречних опцій оброблення ризиків інформаційної безпеки з урахуванням результатів оцінки ризиків;
        
        визначити всі заходи безпеки, які необхідно впровадити для вибраної(-их) опції(-ій) оброб
        лення ризиків;
        
        порівняти заходи безпеки, визначені в 6.1.3 b) вище, з наведеними в додатку А, і підтвердити, що не було опущено потрібних заходів безпеки;
        
        підготувати Положення щодо застосовності
        
        розробити план оброблення ризиків інформаційної безпеки
        
        отримати від власників ризиків підтвердження плану оброблення ризиків інформаційної безпеки та згоду на залишкові ризики інформаційної безпеки
      - Організація повинна зберігати задокументовану інформацію щодо процесу оброблення ризиків
        інформаційної безпеки.
  - - - a) відповідати політиці інформаційної безпеки;
      - b) бути вимірюваними (якщо доцільно);
      - c) враховувати вимоги до інформаційної безпеки, які застосовують, а також результати оцінювання ризиків та оброблення ризиків;
      - d) бути розповсюдженими;
      - е) оновлюватися, за потреби
    - - f) що треба зробити;
      - g) які ресурси будуть потрібні;
      - h) хто буде відповідальним;
      - і) коли процес буде завершено; та
      - j ) як результати будуть оцінювати.
- - - - визначити рівень необхідної компетентності персоналу, який виконує роботи, що впливають
        на результативність інформаційної безпеки;
      - гарантувати, що цей персонал має компетенцію на основі відповідного навчання, тренінгів
        або досвіду;
      - за можливості, забезпечувати виконання певних дій для досягнення необхідної компетенції
        та оцінювати ефективність таких дій
      - зберігати відповідну документовану інформацію як доказ компетентності.
  - - - політиці інформаційної безпеки;
      - його вкладі в ефективність системи управління інформаційною безпекою, враховуючи переваги від вдосконалення результативності інформаційної безпеки;
      - розумінні невідповідності вимогам системи управління інформаційною безпекою
  - - - a) з яких питань спілкуватися;
      - b) коли спілкуватися;
      - c) з ким спілкуватися;
      - d) хто повинен спілкуватися; та
      - е) процеси, за допомогою яких комунікація повинна відбуватися.
  - - - Система управління інформаційною безпекою організації повинна включати:
        
        документовану інформацію, визначену цим стандартом
        
        документовану інформацію, визначену організацією як необхідну для ефективності системи управління інформаційною безпекою
    - - У разі створення й оновлення документованої інформації організація повинна гарантувати
        відповідну:
        
        ідентифікацію та опис (наприклад, назву, дату, автора чи посилальний номер)
        
        формат (наприклад, мову, версію програмного забезпечення, графіки) та носії (наприклад,
        папір, електронні)
        
        перегляд і затвердження для відповідності й адекватності
    - - Задокументована інформація, визначена системою управління інформаційною безпекою та цим
        стандартом має контролювати для гарантії того, що:
        
        вона доступна й придатна для використання, де і коли вона потрібна;
        
        її належним чином захищено (наприклад, від втрати конфіденційності, помилкового використання або втрати ціліснос
        
        Для контролю документованої інформації організація повинна виконувати такі дії відповідним чином:
        
        розподіл, доступ, повернення та використання;
        
        збереження та консервування, зокрема й консервування чіткості/розбірливості;
        
        контроль змін (наприклад, контроль версій);
        
        утримування й розташування.
- - - - що саме потрібно моніторити й вимірювати, включаючи процеси інформаційної безпеки та
        заходи безпеки;
      - методи моніторингу, вимірювань, аналізу та оцінювання, які може бути застосовано для гарантії обґрунтованих результатів;
      - коли моніторинг та вимірювання потрібно виконувати;
      - хто повинен виконувати моніторинг та вимірювання;
      - коли результати моніторингу та вимірювань потрібно аналізувати й оцінювати
      - хто повинен аналізувати й оцінювати ці результати.
  - - - відповідають
        
        власним вимогам організації для її системи управління інформаційною безпекою
        
        вимогам цього стандарту
      - ефективно впроваджена та підтримується.
    - - планувати, розробляти, впроваджувати та підтримувати програму(-и) аудиту, зокрема й частоту, методи, відповідальності, заплановані вимоги та звітність. Програма(-и) аудиту повинна(-і) враховувати аналіз важливості процесів, що їх розглядають, і результати попередніх аудитів;
      - визначити критерії аудиту та сферу застосування для кожного аудиту;
      - призначити аудиторів і виконати аудити, які гарантують об'єктивність і неупередженість
        процесу аудиту;
      - гарантувати, що результати аудиту буде доведено до відповідного керівни
      - зберігати документовану інформацію як доказ програми аудиту та результатів аудиту
  - - - статусу дії, що є наслідком попереднього перегляду керівництва;
      - зміни в зовнішніх та внутрішніх обставинах, які мають відношення до системи управління
        інформаційною безпекою;
      - зворотного впливу на результативність інформаційної безпеки
      - зворотного зв’язку від зацікавлених сторін;
      - результатів оцінювання ризиків і статусу плану оброблення ризиків
      - можливостей для постійного вдосконалення
- - - - реагувати на невідповідності
      - оцінювати потреби в діях для усунення причин невідповідностей для запобігання їх повторення чи виникнення будь-де за допомогою
      - впровадити певні дії, за потреби;
      - переглянути ефективність виконаних коригувальних дій
      - внести зміни до системи управління інформаційною безпекою, за потреби.
    - - сутності невідповідностей та будь-яких послідовних дій, що були виконані
      - результати будь-яких коригувальних дій