Please enable JavaScript.
Coggle requires JavaScript to display documents.
BS ISO/IEC 27001:2005 Харченок Р.В. - Coggle Diagram
BS ISO/IEC 27001:2005 Харченок Р.В.
ВІДПОВІДАЛЬНІСТЬ КЕРІВНИЦТВА
Прихильність керівництва
повідомлення організації про важливість досягнення цілей інформаційної безпеки та відповідності політиці інформаційної безпеки, її відповідальності перед законом і необхідність безперервного вдосконалення
виділення достатніх ресурсів для розробки, впровадження, експлуатації, моніторингу, аналізу, супроводу і вдосконалення СУІБ
визначення ролей і відповідальності за інформаційну безпеку
прийняття рішення про критерії прийняття ризиків і допустимому рівні ризику
забезпечення наявності цілей та планів СУІБ
забезпечення проведення внутрішніх аудитів СУІБ
створення політики СУІБ
проведення аналізу СУІБ з боку керівництва
Управління ресурсами
Виділення ресурсів
забезпечення підтримки вимог бізнесу процедурами інформаційної безпеки
визначення і врахування вимог законодавства та нормативної бази, а також контрактних зобов'язань щодо забезпечення безпеки
створення, впровадження, експлуатації, моніторингу, аналізу, супроводу і вдосконалення СУІБ
підтримання достатнього рівня безпеки шляхом правильного застосування всіх реалізованих механізмів контролю
проведення перевірок, у разі необхідності, і відповідного реагування на результати цих перевірок
там, де це необхідно, підвищення ефективності СУІБ
Навчання, поінформованість та компетентність
надання навчання або прийняття інших заходів (наприклад, наймання компетентного персоналу) для задоволення цих потреб
оцінки ефективності вжитих заходів
визначення необхідних компетенцій для персоналу, який виконує роботу, що робить вплив на СУІБ
ведення записів про освіту, навчання, навички, досвід і кваліфікаціях
ВНУТРІШНІ АУДИТИ СУІБ
відповідають ідентифікованим вимогам інформаційної безпеки
ефективно реалізовані і супроводжуються
відповідають вимогам цього Міжнародного стандарту, а також відповідним вимогам законодавчої або нормативної бази
виконуються, як очікувалося
АНАЛІЗ СУІБ КЕРІВНИЦТВОМ
Загальні положення
Керівництво повинно аналізувати СУІБ організації через заплановані інтервали часу, щоб переконатися в її постійної придатності, адекватності та ефективності. Ці перевірки повинні включати в себе оцінку можливостей для удосконалення та необхідності внесення змін до СУІБ, включаючи політику інформаційної безпеки і цілі інформаційної безпеки. Результати перевірок повинні бути чітко задокументовані, а також повинні вестися записи
Вхідні дані для аналізу
Вихідні дані аналізу
Внесення необхідних змін в процедури і механізми контролю, що впливають на інформаційну безпеку, у відповідь на внутрішні або зовнішні події, які можуть вплинути на СУІБ, включаючи зміни в:
бізнес процесах, які впливають на існуючі вимоги бізнесу
вимоги нормативної чи законодавчої бази
вимоги безпеки
контрактних зобов'язаннях
вимоги бізнесу
рівнях ризику і / або критерії прийняття ризиків
Потреби в ресурсах
Коригування плану оцінки та плану оброблення ризиків
Удосконалення методів вимірювання ефективності механізмів контролю
Підвищення ефективності СУІБ
результати аудитів та аналізу СУІБ
відгуки зацікавлених сторін
методики, продукти і процедури, які могли б використовуватися в організації для підвищення продуктивності і ефективності СУІБ
статус превентивних і коригуючих заходів
вразливості або загрози, які не були в достатній мірі враховані під час попередньої оцінки ризиків
результати вимірів ефективності
будь-які зміни, які могли б вплинути на СУІБ
заходи, вжиті за результатами попередніх аналізів СУІБ керівництвом
рекомендації щодо вдосконалення
УДОСКОНАЛЕННЯ СУІБ
Коригувальні заходи
оцінки необхідності вжиття заходів щодо попередження невідповідності не виникатимуть повторно
визначення та реалізація необхідних коригувальних заходів
визначення причин невідповідностей
протоколювання результатів вжитих заходів
ідентифікації невідповідностей
аналіз виконаних коригувальних заходів
Превентивні заходи
визначення і реалізації необхідних превентивних заходів
протоколювання результатів вжитих заходів
оцінки необхідності вжиття заходів для запобігання виникненню невідповідностей
аналізу вжитих превентивних заходів
ідентифікації потенційних невідповідностей та їх причин
Безперервне вдосконалення
Організація повинна безперервно підвищувати ефективність СУІБ шляхом використання політики інформаційної безпеки, цілей безпеки, результатів аудиту, аналізу відслідковуються подій, коригувальних і превентивних заходів і аналізу з боку керівництва