Please enable JavaScript.
Coggle requires JavaScript to display documents.
BS ISO/IEC 27001 Каплун Д.В. - Coggle Diagram
BS ISO/IEC 27001 Каплун Д.В.
Взаємозв'язок між ISO 9001: 2000, ISO 14001: 2004 та цим Міжнародним стандартом
Вступ
Цей Міжнародний
стандарт
0 Вступ
0.1 Загальні положення
0.2 Процесний підхід
0.3 Сумісність з іншими
системами управління
ISO 9001: 2000
0 Вступ
0.1 Загальні положення
0.2 Процесний підхід
0.3 Взаємозв'язок з ISO
9004
0.4 Сумісність з іншими
системами управління
ISO 14001: 2004
Вступ
Область дії
Цей Міжнародний стандарт
1.1 Загальні положення
1.2 Застосування
1 Область дії
ISO 9001: 2000
1 Область дії
1.1 Загальні положення
1.2 Застосування
ISO 14001: 2004
1 Область дії
Нормативні посилання
Цей Міжнародний стандарт
2 Нормативні посилання
ISO 9001: 2000
2 Нормативні посилання
ISO 14001: 2004
2 Нормативні посилання
Терміни та визначення
Цей Міжнародний стандарт
3 Терміни та визначення
ISO 9001: 2000
3 Терміни та визначення
ISO 14001: 2004
3 Терміни та визначення
Система управління інформаційною безпекою
Цей Міжнародний стандарт
4 Система управління інформаційною безпекою
4.1 Загальні вимоги
4.2 Створення та управління СУІБ
4.2.1 Створення СУІБ
4.2.2 Впровадження та експлуатація СУІБ
ISO 9001: 2000
4 Система управління якістю
4.1 Загальні вимоги
ISO 14001: 2004
4 Вимоги СУОС
4.1 Загальні вимоги
4.4 Впровадження та експлуатація
Моніторинг та
аналіз СУІБ
Цей Міжнародний стандарт
4.2.3 Моніторинг та аналіз СУІБ
ISO 9001: 2000
8.2.3 Моніторинг та вимірювання процесів
8.2.4 Моніторинг та вимірювання продукту
ISO 14001: 2004
4.5.1 Моніторинг та
вимірювання
Супровід та
вдосконалення СУІБ
Цей Міжнародний стандарт
4.2.4 Супровід та
вдосконалення СУІБ
4.3 Вимоги до
документування
4.3.1 Загальні вимо
4.3.2 Управління
документами
4.3.3 Контроль
протоколів
ISO 9001: 2000
4.2 Вимоги до
документування
4.2.1 Загальні вимоги
4.2.2 Настанова з якості
4.2.3 Управління
документами
4.2.4 Контроль
протоколів
ISO 14001: 2004
4.4.5 Управління
документацією
4.5.4 Контроль
протоколів
Відповідальність
керівництва
Цей Міжнародний стандарт
5 Відповідальність
керівництва
5.1 Прихильність
керівництва
ISO 9001: 2000
5.1 Прихильність керівництва
5.2 Фокус на клієнта
5 Відповідальність керівництва
5.3 Політика якості
5.4 Планування
5.5 Відповідальність, повноваження та взаємодія
ISO 14001: 2004
4.2 Політика навколишнього середовища
4.3 Планування
Управління
ресурсами
Цей Міжнародний стандарт
5.2.1 Забезпечення ресурсами
5.2.2 Навчання, поінформованість та компетенція
5.2 Управління
ресурсами
ISO 9001: 2000
6.1 Забезпечення ресурсами
6.2 Людські ресурси
6 Управління ресурсами
6.2.2 Компетенція обізнаність та навчання,
6.3 Інфраструктура
6.4 Робоче середовище
ISO 14001: 2004
4.2.2 Компетенція,
навчання і обізнаність
Внутрішні аудити
СУІБ
Цей Міжнародний стандарт
6 Внутрішні аудити
СУІБ
ISO 9001: 2000
8.2.2 Внутрішній аудит
ISO 14001: 2004
4.5.5 Внутрішній аудит
Аналіз СУІБ з боку
керівництва
Цей Міжнародний стандарт
7.1 Загальні положення
7.2 Вхідні дані аналізу
7 Аналіз СУІБ з боку керівництва
7.3 Вихідні дані аналізу
ISO 9001: 2000
5.6.1 Загальні положення
5.6.2 Вхідні дані аналізу
5.6 Критичне аналізування з боку керівництва
5.6.3 Вихідні дані аналізу
ISO 14001: 2004
4.6 Критичне аналізування з боку керівництва
Удосконалення СУІБ
Цей Міжнародний стандарт
8.1 Безперервне вдосконалення
8.2 Коригувальна міра
8 Удосконалення СУІБ
8.3 Превентивна міра
ISO 9001: 2000
8.5.1 Безперервне вдосконалення
8.5.2 Коригувальні заходи
8.5 Удосконалення
8.5.3 Превентивні заходи
ISO 14001: 2004
4.5.3 Невідповідність, коригуюча міра і превентивна міра
Принцип OECD та Відповідний процес СУІБ і стадія ПРПД
Поінформованість
Учасники повинні бути інформовані про необхідність забезпечення безпеки інформаційних систем і мереж, а також про те, що вони можуть зробити для посилення безпеки.
Ця міра є частиною стадії Реалізації
(Див. 4.2.2 та 5.2.2)
Відповідальність
Всі учасники несуть відповідальність за забезпечення
безпеки інформаційних систем і мереж.
Ця міра є частиною стадії Реалізації
(Див. 4.2.2 та 5.1)
Реагування
Учасники повинні діяти своєчасно і спільно для запобігання,
виявлення і реагування на інциденти безпеки.
Це частково заходи з моніторингу стадії Перевірки (див. 4.2.3 та 6 - 7.3) і відповідні заходи стадії Дії (див. 4.2.4 та 8.1 - 8.3). Це також частково може бути деякими аспектами стадії Планування і Перевірки.
Оцінка ризиків
Учасники повинні проводити оцінку
ризиків.
Цей захід є частиною стадії Планування (див. 4.2.1), також оцінка ризиків є частиною стадії Перевірки (див. 4.2.3 і 6 - 7.3).
Проектування і впровадження
механізмів безпеки
Учасники повинні вбудовувати механізми безпеки як суттєвий
елемент інформаційних систем і мереж.
По завершенню оцінки ризиків вибираються механізми контролю для обробки ризиків як частина стадії Планування (див. 4.2.1). Стадія Реалізації (див. 4.2.2 та 5.2) потім закриває питання впровадження і робочої експлуатації цих механізмів контролю.
Управління безпекою
Учасники повинні прийняти комплексний підхід до управління
безпекою.
Управління ризиками - це процес, що включає в себе запобігання, виявлення і реагування на інциденти, безперервний супровід, аналіз і аудит. Всі ці аспекти включені в стадії Планування, Реалізації, Перевірки і Дії.
Перегляд
Учасники повинні аналізувати і переглядати безпеку інформаційних систем і мереж, вносити необхідні зміни в політики безпеки, практики, механізми і процедури.
Перегляд інформаційної безпеки є частиною стадії Перевірки (див. 4.2.3 та 6 - 7.3), де повинні проводитися регулярні перегляди з метою перевірки ефективності системи управління інформаційною безпекою, а вдосконалення безпеки є частиною стадії Дії (див. 4.2.4 та 8.1 - 8.3).
цілі та елементи керування
Придбання, розробка та обслуговування
інформаційних систем
Управління технічними уразливими
Контроль технічних вразливостей
Вимоги безпеки для інформаційних систем
Аналіз безпеки та специфікація
Коректна обробки інформації в додатках
Перевірка вхідних даних
Контроль внутрішньої обробки даних
Цілісність повідомлення
Перевірка вихідних даних
Криптографічні механізми
Політика використання криптографічних механізмів
Управління ключами
Безпека системних файлів
Контроль доступу до вихідних текстів програм
Управління поточним програмним забезпеченням
Захист тестових системних даних
Безпека процесів розробки і підтримки
Обмеження на зміни пакетів програмного забезпечення
Процедури контролю змін
Технічний аналіз додатків після змін операційної системи
Витік інформації
Аутсорсинг розробки програмного забезпечення
Управління безперервністю бізнесу
Аспекти управління безперервністю бізнесу,
пов'язані з інформаційною безпекою
Включення інформаційної безпеки в процес управління безперервністю бізнесу
Безперервність бізнесу та оцінка ризиків
Розробка і реалізація планів забезпечення безперервності,
включаючи інформаційну безпеку
Загальна схема планування безперервності бізнесу
Тестування, підтримка і перегляд планів забезпечення
безперервності бізнесу
Контроль доступу
Контроль доступу до прикладних програм та інформаці
Обмеження доступу до інформації
Ізоляція критичних систем
Мобільна комп'ютерна техніка та робота поза офісом
Мобільна комп'ютерна техніка та засоби зв'язку
Робота поза офісом
Контроль доступу в операційних системах
Безпечні процедури входу в систему
Ідентифікація та аутентифікація користувача
Система керування паролями
Використання системних утиліт
Завершення сесій при перевищенні ліміту часу
Обмеження часу з'єднання
Керування доступом до мережі
Аутентифікація користувачів при зовнішніх підключених
Ідентифікація обладнання в мережах
Захист віддалених діагностичних і конфігураційних портів
Ізоляція мережі
Елемент керування підключенням до мережі
Керування маршрутизацією в мережі
Політика використання мережевих сервісів
Відповідальність користувачів
Використання паролів
Користувальницьк е обладнання, залишене без нагляду
Політика чистих столів і чистих екранів.
Управління доступом користувачів
Реєстрація користувача
Керування привілеями
Керування паролями користувачів
Перевірка прав доступу користувачів
Бізнес вимоги до контролю доступу
Політика контролю доступу
Організація інформаційної безпеки
Внутрішня організація
Прихильність керівництва інформаційної безпеки
Координація інормаційної безпеки
Розподіл відповідності за інформаційну бузпеку
Процкс автоматизації для засобів обробки інформації
угоди про конфіденційність
контакт з органами влади
контакт з професійними об'єднаннями
незалежна перевірка інформаційної безпеки
Зовнішні сторони
Ідентифікація ризиків пов'язаних з зовнішніми сторонами
Врахування вимог безпеки при роботі з клієнтами
врахування вимог безпеки в договорах з третіми сторонами
Політика безпеки
Задокументована політика інформаційної безпеки
Перегляд політики інформаційної безпеки
Управління ресурсами
Відповідальність за ресурси
володіння ресурсами
Допустиме використання ресурсів
Інвентаризація ресурсів
Класифікація інформації
Маркування та обробка інформації
Керівництво по класифікації
Безпека людських ресурсів
Перед наймом
Умови працевлаштування
Ролі та відповідальність
Перевірка співробітників
У період роботи
Дисциплінарний процес
Відповідальність керівництва
Підвищення обізнаності, навчання і тренінги в області
інформаційної безпеки
Завершення або зміна трудових відносин
Скасування прав доступу
Відповідальність при завершенні трудових відносин
Повернення ресурсів
Фізична безпека і безпека навколишнього середовища
Захищені області
Периметр фізичної безпеки
Механізми контролю фізичного входу
Захист офісів, кімнат та обладнання
Захист від зовнішніх загроз і загроз навколишнього
середовища
Робота в захищених областях
Області загального доступу, доставки та навантаження
Безпека обладнання
Послуги підтримки
Безпека кабельної розводки
Розміщення і захист устаткування
Технічне обслуговування обладнання
Безпека обладнання за межами організації
Безпечна утилізація або повторне використання обладнання
Переміщення майна
Управління зв'язком та операціями
Мониторингинг
Моніторинг використання системи
Захист даних журналів аудиту
Журнали адміністратора та оператора
Повідомлення про помилки
Синхронізація годин
Реєстрація подій аудиту
Сервіси електронної комерції
Електронна комерція
Онлайн-транзакції
Загальнодоступна інформація
Обмін інформацією
Транспортування фізичних носіїв інформації
Політики та процедури обміну інформацією
Угоди про обмін інформацією
Передача електронних повідомлень
Інформаційні бізнес-системи
Управління мережевою безпекою
Мережеві механізми контролю
Безпека мережевих сервісів
Системне планування та прийняття
Управління продуктивністю
Приймання системи
Управління сторонніми службами
Управління змінами в сервісах, що надаються третьою
стороною
Надання послуг
Моніторинг і аналіз сервісів, що надаються третьою стороною
Захист від шкідливого і мобільного коду
Механізми контролю, спрямовані проти шкідливого коду
Механізми контролю, спрямовані проти мобільного коду
Операційні процедури і розподіл відповідальності
Відокремлення систем, що розробляються, випробовуються
та працюють
Розподіл обов'язків
Управління змінами
Задокументовані операційні процедури
Резервне копіювання
Резервне копіювання інформації
Поводження з носіями інформації
Управління змінними носіями інформації
Знищення носіїв інформації
Процедури поводження з інформацією
Безпека системної документації
Управління інцидентами інформаційної безпеки
Управління інцидентами і вдосконаленням
інформаційної безпеки
Відповідальність і процедури
Тренінг з питань інформаційної безпеки
Збір свідчень
Інформація про події та слабкі сторони
інформаційної безпеки
Інформування про події інформаційної безпеки
Інформування про недоліки інформаційної безпеки
Дотримання вимог
Міркування, що відносяться до аудиту
інформаційних систем
Захист засобів аудиту інформаційних систем
Механізми аудиту інформаційних систем
Дотримання вимог політик і стандартів безпеки, а
також технічних вимог
Дотримання вимог політик і стандартів безпеки
Перевірка відповідності технічним вимогам
Дотримання вимог законодавства
Запобігання випадків неналежного використання
інструментів обробки інформації
Захист документації організації
Визначення законодавчої бази, яка застосовується до
діяльності організації
Право інтелектуальної власності
Захист особистих секретних даних
Правове регулювання в галузі використання криптографічних
засобів