Please enable JavaScript.
Coggle requires JavaScript to display documents.
BS ISO/IEC 27005: 2011 «Інформаційна технологія - Методи і засоби…
BS ISO/IEC 27005: 2011 «Інформаційна технологія - Методи і засоби забезпечення безпеки - Менеджмент ризику інформаційної безпеки» частина 1
3 ВИЗНАЧЕННЯ
3.1 Наслідки (consequence):
результат події (3.3), що впливає на цілі.
3.2 Менеджмент (control):
міра, яка змінює ризик (визначення 3.9). [Керівництво ISO 73: 2009]
-
3.4 Зовнішній контекст (external context): Зовнішнє середовище, в якій організація прагне до досягнення своїх цілей
3.5 Внутрішній контекст (internal context):
Внутрішнє середовище, в якій організація прагне до досягнення своїх цілей
3.6 Рівень ризику (level of risk): Величина ризику (3.9) або комбінації ризиків, виражена як поєднання наслідків (3.1) і їх можливості (3.7) виникнення.
-
3.8 Залишковий ризик (residual risk):
Ризик (3.9), що зберігається після обробки ризику (3.17)
-
-
3.12 Обмін інформацією та консультування щодо ризику (risk communication and consultation): Безперервні і повторювані процеси, які проводить організація, для надання, поділу або отримання інформації, а так само ведення діалогу з зацікавленими сторонами (3.18) щодо менеджменту ризику (3.9)
3.13 Критерії ризику (risk criteria):
Аспекти, відповідно до яких здійснюють оцінювання ризику (3.9)
3.14 Оцінювання ризику (risk evaluation):
Процес порівняння результатів аналізу ризику (3.10) до встановлених критеріїв ризику (3.13) для визначення, чи є ризик і/або його величина прийнятними або допустимими.
3.15 Ідентифікація ризику (risk identification):
Процес виявлення, дослідження та опису ризиків.
3.16 Менеджмент ризику (risk management): Скоординована діяльність з керівництва та управління організацією щодо ризику.
-
3.18 Зацікавлена сторона (stakeholder):
Особа або організація, які можуть впливати, піддаватися впливу, або усвідомлюють, що на них впливає будь-яке рішення або дії.
-
-
-
7 ВСТАНОВЛЕННЯ КОНТЕКСТУ
7.1 Загальний аналіз Необхідно визначити мету менеджменту ризику інформаційної безпеки, так як вона впливає на загальний процес і на установку контексту, зокрема. Цією метою може бути:
-
-
-
-
• опис вимог інформаційної безпеки для продукту, послуги або механізму.
7.2 Основні критерії Повинен бути обраний або розроблений відповідний підхід менеджменту ризиком, який звертається до основних критеріїв, таким як: критерії оцінки ризику, вплив на критерії, критерії допустимості ризику. Додатково організація повинна оцінити, чи доступні необхідні ресурси для:
-
• визначення і здійснення політики і процедури, включаючи реалізацію обраного менеджменту;
-
-
7.3 Область застосування і границі При визначенні сфери застосування і меж повинна враховуватися наступна інформація, що стосується організації:
• стратегічні цілі бізнесу організації, стратегії і політики;
-
-
• правові, регулюючі та договірні вимоги, що застосовуються до організації;
-
-
-
-
• обмеження, що впливають на організацію;
-
-
-
7.4 Організаційна структура менеджменту ризику інформаційної безпеки. Необхідно встановлювати і підтримувати організаційну структуру і обов'язки для процесу менеджменту ризику інформаційної безпеки. Нижче перераховуються головні ролі і обов'язки, властиві такої організаційної структури:
• розробка процесу ризик-менеджменту інформаційної безпеки, придатного для цієї організації;
-
• визначення ролей і обов'язків всіх сторін, як внутрішніх, так і зовнішніх по відношенню до організації;
• встановлення необхідних взаємозв'язків між організацією і причетними сторонами, а також інтерфейсів для організаційних функцій менеджменту ризиків високого рівня (наприклад, менеджмент операційного ризику), а також інтерфейсів з іншими значущими проектами і видами діяльності;
-
• визначення, які підлягають ведення документи потребують ведення.