Please enable JavaScript.

Coggle requires JavaScript to display documents.

ISO/ІЕС 27006 «Інформаційні технології. Методики безпеки. Вимоги до…

- - - - Кількість серверів
      - Кількість об'єктів
      - Кількість користувачів
      - Кількість працівників + штат підрядників
      - Кількість робочих станцій + ПК + портативних комп'ютерів
      - Кількість персона-лу, що займається розробкою додатків і технічним обслуговуванням
      - Мережева і криптографічний технологія (ISO / IEC 27001: 2005.
        А-9)
      - Значимість юридичної відповідності
      - Застосування конкретного для сектора ризику (див. в А.2 приклади специфічних для сектора категорій ризику інформаційної безпеки)
- - - - Нижче викладені типові питання проведення аудиту СМІБ. Крім знання заходів управління з програми А ISO / IEC 27001: 2005, які перераховані нижче, аудитори повинні бути інформовані про інші стандарти з серії ISO / IEC 27000.
      - Типові питання аудиту
      - Знання і досвід в політиках і вимогах ділової діяльності до інформаційної безпеки
      - Загальне знання і досвід а бізнес-процесах, практиках
        і організаційних структурах
      - Знання оцінки активів, матеріально-виробничих запасів, класифікацій і прийнятного використання політик
      - Загальне знання і досвід в процесах і процедурах, використовуваних департаментами трудових ресурсів
      - Знання фізичної безпеки навколишнього середовища
      - Сучасні знання і досвід в стандартах, процесах. планах і методах випробувань безперервності бізнесу
      - Сучасні знання і досвід в процесах і процедурах менеджменту інцидентів
  - - - • програмування і планування аудиту СМІБ;
      - • тип і методологія аудиту СМІБ;
      - • аудиторський ризик;
      - • аналіз процесів інформаційної безпеки;
      - • цикл Демінга (РDСА) для постійного вдосконалення;
      - • проведення внутрішнього аудиту інформаційної безпеки.
    - - • інтелектуальна власність;
      - • зміст, захист і збереження документів організації-клієнта;
      - • захист даних і конфіденційність;
      - • регулювання криптографічних засобів контролю;
      - • попередження тероризму;
      - • електронна комерція;
      - • електронні та цифрові підписи;
      - • інспекція робочих місць;
      - • перехоплення в телекомунікаціях і моніторинг даних (наприклад, електронна пошта);
      - • зловживання комп'ютером;
      - • збір електронних даних;
      - • випробування на проникнення;
      - • міжнародні та національні, конкретні для сектора, вимоги (наприклад, банківська справа).
    - - • обробка ризиків інформаційної безпеки;
        
        • ризики безпеки аутсорсингу ICT;
        
        • ризики інформаційної безпеки для ланцюжка поставок.