Please enable JavaScript.
Coggle requires JavaScript to display documents.
BS ISO/IEC 27001 Харченко Р.В. - Coggle Diagram
BS ISO/IEC 27001 Харченко Р.В.
цілі та елементи керування
Управління ресурсами
Відповідальність за ресурси
Інвентаризація ресурсів
володіння ресурсами
Допустиме використання ресурсів
Класифікація інформації
Маркування та обробка інформації
Керівництво по класифікації
Безпека людських ресурсів
Перед наймом
Ролі та відповідальність
Перевірка співробітників
Умови працевлаштування
У період роботи
Відповідальність керівництва
Підвищення обізнаності, навчання і тренінги в області інформаційної безпеки
Дисциплінарний процес
Завершення або зміна трудових відносин
Відповідальність при завершенні трудових відносин
Повернення ресурсів
Скасування прав доступу
Організація інформаційної безпеки
Внутрішня організація
Прихильність керівництва інформаційної безпеки
Координація інормаційної безпеки
Розподіл відповідності за інформаційну бузпеку
Процкс автоматизації для засобів обробки інформації
угоди про конфіденційність
контакт з органами влади
контакт з професійними об'єднаннями
незалежна перевірка інформаційної безпеки
Зовнішні сторони
Ідентифікація ризиків пов'язаних з зовнішніми сторонами
Врахування вимог безпеки при роботі з клієнтами
врахування вимог безпеки в договорах з третіми сторонами
Фізична безпека і безпека навколишнього середовища
Захищені області
Периметр фізичної безпеки
Механізми контролю фізичного входу
Захист офісів, кімнат та обладнання
Захист від зовнішніх загроз і загроз навколишнього середовища
Робота в захищених областях
Області загального доступу, доставки та навантаження
Безпека обладнання
Послуги підтримки
Безпека кабельної розводки
Розміщення і захист устаткування
Технічне обслуговування обладнання
Безпека обладнання за межами організації
Безпечна утилізація або повторне використання обладнання
Переміщення майна
Політика безпеки
Перегляд політики інформаційної безпеки
Задокументована політика інформаційної безпеки
Управління зв'язком та операціями
Операційні процедури і розподіл відповідальності
Задокументовані операційні процедури
Управління змінами
Розподіл обов'язків
Відокремлення систем, що розробляються, випробовуються та працюють
Управління сторонніми службами
Надання послуг
Моніторинг і аналіз сервісів, що надаються третьою стороною
Управління змінами в сервісах, що надаються третьою стороною
Системне планування та прийняття
Управління продуктивністю
Приймання системи
Захист від шкідливого і мобільного коду
Механізми контролю, спрямовані проти шкідливого коду
Механізми контролю, спрямовані проти мобільного коду
Резервне копіювання
Резервне копіювання інформації
Управління мережевою безпекою
Мережеві механізми контролю
Безпека мережевих сервісів
Поводження з носіями інформації
Управління змінними носіями інформації
Знищення носіїв інформації
Процедури поводження з інформацією
Безпека системної документації
Обмін інформацією
Політики та процедури обміну інформацією
Угоди про обмін інформацією
Транспортування фізичних носіїв інформації
Передача електронних повідомлень
Інформаційні бізнес-системи
Сервіси електронної комерції
Електронна комерція
Онлайн-транзакції
Загальнодоступна інформація
Мониторингинг
Реєстрація подій аудиту
Моніторинг використання системи
Захист даних журналів аудиту
Журнали адміністратора та оператора
Повідомлення про помилки
Синхронізація годин
Контроль доступу
Бізнес вимоги до контролю доступу
Політика контролю доступу
Управління доступом користувачів
Реєстрація користувача
Керування привілеями
Керування паролями користувачів
Перевірка прав доступу користувачів
Відповідальність користувачів
Використання паролів
Користувальницьк е обладнання, залишене без нагляду
Політика чистих столів і чистих екранів.
Керування доступом до мережі
Політика використання мережевих сервісів
Аутентифікація користувачів при зовнішніх підключених
Ідентифікація обладнання в мережах
Захист віддалених діагностичних і конфігураційних портів
Ізоляція мережі
Елемент керування підключенням до мережі
Керування маршрутизацією в мережі
Контроль доступу в операційних системах
Безпечні процедури входу в систему
Ідентифікація та аутентифікація користувача
Система керування паролями
Використання системних утиліт
Завершення сесій при перевищенні ліміту часу
Обмеження часу з'єднання
Контроль доступу до прикладних програм та
інформації
Обмеження доступу до інформації
Ізоляція критичних систем
Мобільна комп'ютерна техніка та робота поза офісом
Мобільна комп'ютерна техніка та засоби зв'язку
Робота поза офісом
Придбання, розробка та обслуговування
інформаційних систем
Вимоги безпеки для інформаційних систем
Аналіз безпеки та специфікація
Коректна обробки інформації в додатках
Перевірка вхідних даних
Контроль внутрішньої обробки даних
Цілісність повідомлення
Перевірка вихідних даних
Криптографічні механізми
Політика використання криптографічних механізмів
Управління ключами
Безпека системних файлів
Управління поточним програмним забезпеченням
Захист тестових системних даних
Контроль доступу до вихідних текстів програм
Безпека процесів розробки і підтримки
Процедури контролю змін
Технічний аналіз додатків після змін операційної системи
Обмеження на зміни пакетів програмного забезпечення
Витік інформації
Аутсорсинг розробки програмного забезпечення
Управління технічними уразливими
Контроль технічних вразливостей
Управління інцидентами інформаційної безпеки
Інформація про події та слабкі сторони
інформаційної безпеки
Інформування про події інформаційної безпеки
Інформування про недоліки інформаційної безпеки
Управління інцидентами і вдосконаленням
інформаційної безпеки
Відповідальність і процедури
Тренінг з питань інформаційної безпеки
Збір свідчень
Управління безперервністю бізнесу
Аспекти управління безперервністю бізнесу,
пов'язані з інформаційною безпекою
Включення інформаційної безпеки в процес управління безперервністю бізнесу
Безперервність бізнесу та оцінка ризиків
Розробка і реалізація планів забезпечення безперервності, включаючи інформаційну безпеку
Загальна схема планування безперервності бізнесу
Тестування, підтримка і перегляд планів забезпечення безперервності бізнесу
Дотримання вимог
Дотримання вимог законодавства
Визначення законодавчої бази, яка застосовується до діяльності організації
Право інтелектуальної власності
Захист документації організації
Захист особистих секретних даних
Запобігання випадків неналежного використання інструментів обробки інформації
Правове регулювання в галузі використання криптографічних засобів
Дотримання вимог політик і стандартів безпеки, а
також технічних вимог
Дотримання вимог політик і стандартів безпеки
Перевірка відповідності технічним вимогам
Міркування, що відносяться до аудиту
інформаційних систем
Механізми аудиту інформаційних систем
Захист засобів аудиту інформаційних систем
Принцип OECD та Відповідний процес СУІБ і стадія
ПРПД
Поінформованість
Учасники повинні бути інформовані про необхідність забезпечення безпеки інформаційних систем і мереж, а також про те, що вони можуть зробити для посилення безпеки.
Ця міра є частиною стадії Реалізації
(Див. 4.2.2 та 5.2.2)
Відповідальність
Всі учасники несуть відповідальність за забезпечення безпеки інформаційних систем і мереж.
Ця міра є частиною стадії Реалізації
(Див. 4.2.2 та 5.1)
Реагування
Учасники повинні діяти своєчасно і спільно для запобігання, виявлення і реагування на інциденти безпеки.
Це частково заходи з моніторингу
стадії Перевірки (див. 4.2.3 та 6 - 7.3) і відповідні заходи стадії Дії (див. 4.2.4 та 8.1 - 8.3). Це також частково може бути деякими аспектами стадії Планування і Перевірки.
Оцінка ризиків
Учасники повинні проводити оцінку
ризиків.
Цей захід є частиною стадії Планування (див. 4.2.1), також оцінка ризиків є частиною стадії Перевірки (див. 4.2.3 і 6 - 7.3).
Проектування і впровадження
механізмів безпеки
Учасники повинні вбудовувати механізми безпеки як суттєвий елемент інформаційних систем і мереж.
По завершенню оцінки ризиків вибираються механізми контролю для обробки ризиків як частина стадії Планування (див. 4.2.1). Стадія Реалізації (див. 4.2.2 та 5.2) потім закриває питання впровадження і робочої експлуатації цих механізмів контролю.
Управління безпекою
Учасники повинні прийняти комплексний підхід до управління безпекою.
Управління ризиками - це процес, що включає в себе запобігання, виявлення і реагування на інциденти, безперервний супровід, аналіз і аудит. Всі ці аспекти включені в стадії Планування, Реалізації, Перевірки і Дії.
Перегляд
Учасники повинні аналізувати і переглядати безпеку інформаційних систем і мереж, вносити необхідні зміни в політики безпеки, практики, механізми і процедури.
Перегляд інформаційної безпеки є частиною стадії Перевірки (див. 4.2.3 та 6 - 7.3), де повинні проводитися регулярні перегляди з метою перевірки ефективності системи управління інформаційною безпекою, а вдосконалення безпеки є частиною стадії Дії (див. 4.2.4 та 8.1 - 8.3).
Взаємозв'язок між ISO 9001: 2000, ISO 14001: 2004 та цим
Міжнародним стандартом
Вступ
Цей Міжнародний
стандарт
0 Вступ
0.1 Загальні положення
0.2 Процесний підхід
0.3 Сумісність з іншими
системами управління
ISO 9001: 2000
0 Вступ
0.1 Загальні положення
0.2 Процесний підхід
0.3 Взаємозв'язок з ISO
9004
0.4 Сумісність з іншими
системами управління
ISO 14001: 2004
Вступ
Область дії
Цей Міжнародний
стандарт
1.1 Загальні положення
1.2 Застосування
1 Область дії
ISO 9001: 2000
1 Область дії
1.1 Загальні положення
1.2 Застосування
ISO 14001: 2004
1 Область дії
Система управління
інформаційною
безпекою
Цей Міжнародний
стандарт
4 Система управління інформаційною безпекою
4.1 Загальні вимоги
4.2 Створення та
управління СУІБ
4.2.1 Створення СУІБ
4.2.2 Впровадження та
експлуатація СУІБ
ISO 9001: 2000
4 Система управління
якістю
4.1 Загальні вимоги
ISO 14001: 2004
4 Вимоги СУОС
4.1 Загальні вимоги
4.4 Впровадження та
експлуатація
Нормативні посилання
Цей Міжнародний
стандарт
2 Нормативні посилання
ISO 9001: 2000
2 Нормативні посилання
ISO 14001: 2004
2 Нормативні посилання
Терміни та визначення
Цей Міжнародний
стандарт
3 Терміни та визначення
ISO 9001: 2000
3 Терміни та визначення
ISO 14001: 2004
3 Терміни та визначення
Моніторинг та
аналіз СУІБ
Цей Міжнародний
стандарт
4.2.3 Моніторинг та
аналіз СУІБ
ISO 9001: 2000
8.2.3 Моніторинг та
вимірювання процесів
8.2.4 Моніторинг та
вимірювання продукту
ISO 14001: 2004
4.5.1 Моніторинг та
вимірювання
Супровід та
вдосконалення СУІБ
Цей Міжнародний
стандарт
4.2.4 Супровід та
вдосконалення СУІБ
4.3 Вимоги до
документування
4.3.1 Загальні вимоги
4.3.2 Управління
документами
4.3.3 Контроль
протоколів
ISO 9001: 2000
4.2 Вимоги до
документування
4.2.1 Загальні вимоги
4.2.2 Настанова з якості
4.2.3 Управління
документами
4.2.4 Контроль
протоколів
ISO 14001: 2004
4.4.5 Управління
документацією
4.5.4 Контроль
протоколів
Відповідальність
керівництва
Цей Міжнародний
стандарт
5 Відповідальність
керівництва
5.1 Прихильність
керівництва
ISO 9001: 2000
5.1 Прихильність
керівництва
5.2 Фокус на клієнта
5 Відповідальність
керівництва
5.3 Політика якості
5.4 Планування
5.5 Відповідальність, повноваження та взаємодія
ISO 14001: 2004
4.2 Політика навколишнього середовища
4.3 Планування
Управління
ресурсами
Цей Міжнародний
стандарт
5.2.1 Забезпечення ресурсами
5.2.2 Навчання, поінформованість та компетенція
5.2 Управління
ресурсами
ISO 9001: 2000
6.1 Забезпечення
ресурсами
6.2 Людські ресурси
6 Управління ресурсами
6.2.2 Компетенція,
обізнаність та навчання
6.3 Інфраструктура
6.4 Робоче середовище
ISO 14001: 2004
4.2.2 Компетенція,
навчання і обізнаність
Внутрішні аудити
СУІБ
Цей Міжнародний
стандарт
6 Внутрішні аудити
СУІБ
ISO 9001: 2000
8.2.2 Внутрішній аудит
ISO 14001: 2004
4.5.5 Внутрішній аудит
Аналіз СУІБ з боку
керівництва
Цей Міжнародний
стандарт
7.1 Загальні положення
7.2 Вхідні дані аналізу
7 Аналіз СУІБ з боку
керівництва
7.3 Вихідні дані аналізу
ISO 9001: 2000
5.6.1 Загальні положення
5.6.2 Вхідні дані аналізу
5.6 Критичне аналізування з боку керівництва
5.6.3 Вихідні дані аналізу
ISO 14001: 2004
4.6 Критичне аналізування з боку керівництва
Удосконалення СУІБ
Цей Міжнародний
стандарт
8.1 Безперервне
вдосконалення
8.2 Коригувальна міра
8 Удосконалення СУІБ
8.3 Превентивна міра
ISO 9001: 2000
8.5.1 Безперервне
вдосконалення
8.5.2 Коригувальні
заходи
8.5 Удосконалення
8.5.3 Превентивні заходи
ISO 14001: 2004
4.5.3 Невідповідність, коригуюча міра і превентивна міра