Please enable JavaScript.

Coggle requires JavaScript to display documents.

BS ISO/IEC 27005: 2011 «Інформаційна технологія - Методи і засоби…

- - - - • підтримка системи менеджменту інформаційної безпеки;
      - • правова відповідність і свідоцтво належної уваги;
      - • підготовка плану забезпечення безперервності бізнесу;
      - • підготовка плану реагування на інциденти;
      - • опис вимог інформаційної безпеки для продукту, послуги або механізму.
  - - - • виконання оцінки ризику і встановлення плану обробки ризику;
      - • моніторинг процесу менеджменту ризиком інформаційний безпеки.
      - • визначення і здійснення політики і процедури, включаючи реалізацію обраного менеджменту;
      - • контроль моніторингу;
    - - • стратегічна цінність обробки бізнес-інформації;
      - • критичність порушених інформаційних активів;
      - • правові та регулюючі вимоги і договірні зобов'язання;
      - • операційна важливість і важливість для бізнесу доступності, конфіденційності і цілісності; • очікування сприйняття причетних сторін, а також негативні наслідки для "невловимого (того, який неможливо відчути) капіталу" і репутації.
    - - • рівень класифікації інформаційного активу, на який виявляється вплив;
      - • порушення інформаційної безпеки (наприклад, втрата конфіденційності, цілісності і доступності);
      - • погіршені операції (внутрішні або третіх сторін);
      - • втрата цінності бізнесу та фінансової цінності;
      - • порушення планів і кінцевих термінів;
      - • збиток для репутації;
      - • порушення законодавчих, регулюючих або договірних вимог
    - - • критерії прийняття ризику можуть включати багато порогових значень, з бажаним цільовим рівнем ризику, але за умови, що при певних обставинах вище керівництво буде приймати ризики, що знаходяться вище зазначеного рівня;
      - • критерії прийняття ризику можуть виражатися як співвідношення кількісно оціненої вигоди (або іншої вигоди бізнесу) до кількісно оціненого ризику;
      - • різні критерії прийняття ризику можуть застосовуватися до різних класів ризику, наприклад, ризики, які можуть мати результатом невідповідність директивам і законам, не можуть бути прийняті, в той час як прийняття ризиків високого рівня може бути дозволено, якщо це визначено в договірній вимозі;
      - • критерії прийняття ризику можуть включати вимоги, що стосуються майбутньої додаткової обробки, наприклад, ризик може бути прийнятий, якщо є схвалення і згода на здійснення дії по його зниження до прийнятного рівня в рамках певного періоду часу.
    - - • критеріїв бізнесу;
      - • правових та регулюючих аспектів;
      - • операцій;
      - • технологій;
      - • фінансів;
      - • соціальних і гуманітарних чинників.
  - - - • стратегічні цілі бізнесу організації, стратегії і політики;
      - • процеси бізнесу;
      - • функції і структура організації;
      - • правові, регулюючі та договірні вимоги, що застосовуються до організації;
      - • політика інформаційної безпеки організації;
      - • загальний підхід до менеджменту ризику організації;
      - • інформаційні активи;
      - • місце розташування організації і географічні характеристики;
      - • обмеження, що впливають на організацію;
      - • очікування причетних сторін;
      - • соціокультурне середовище;
      - • інтерфейси (тобто обмін інформацією з середовищем).
  - - - • розробка процесу ризик-менеджменту інформаційної безпеки, придатного для цієї організації;
      - • ідентифікація і аналіз причетних сторін;
      - • визначення ролей і обов'язків всіх сторін, як внутрішніх, так і зовнішніх по відношенню до організації;
      - • встановлення необхідних взаємозв'язків між організацією і причетними сторонами, а також інтерфейсів для організаційних функцій менеджменту ризиків високого рівня (наприклад, менеджмент операційного ризику), а також інтерфейсів з іншими значущими проектами і видами діяльності;
      - • визначення шляхів ескалації прийняття рішень;
      - • визначення, які підлягають ведення документи потребують ведення.