Please enable JavaScript.
Coggle requires JavaScript to display documents.
ISO/IEC 27002 «Інформаційні технології – Методи забезпечення безпеки –…
ISO/IEC 27002 «Інформаційні технології – Методи забезпечення безпеки – Практичні правила управління інформаційною безпекою.
б) юридичні, статутні, нормативні та договірні вимоги, що пред'являються до організації, її торгівлі партнери, підрядники та постачальники послуг повинні задовольняти і своє соціально-культурне середовище
а) оцінка ризиків для організації з урахуванням загальної діяльності організації стратегія та цілі. За допомогою оцінки ризиків виявляються загрози активам, вразливість до оцінюється ймовірність виникнення і оцінюється потенційний вплив;
-
-
-
b) обсяг (наприклад, повне або диференціальне резервне копіювання) і частота резервних копій повинні відображати бізнес-вимоги організації, вимоги безпеки залученої інформації та критичність інформації для безперервної роботи організації;
с)резервні копії слід зберігати у віддаленому місці, на достатній відстані, щоб уникнути будь-якої шкодив результаті аварії на головному сайті;
d) резервна інформація повинна мати відповідний рівень фізичного захисту та захисту навколишнього середовища
е) носії резервного копіювання слід регулярно перевіряти, щоб переконатися, що на них можна покластися в екстрених випадках, коли це необхідно; це слід поєднати з тестуванням процедур відновлення та перевірити
-
на відповідність необхідному часу відновлення. Тестування можливості відновлення резервних копій даних слід
виконувати на спеціальному тестовому носії, а не шляхом перезапису вихідного носія, якщо
процес резервного копіювання або відновлення не вдасться та спричинить непоправне пошкодження або втрату даних;
f) у випадках, коли конфіденційність є важливою, резервні копії слід захищати засобами шифрування.
-
б) нормативні акти, законодавство і договори;
-
Політика інформаційної безпеки повинна містити заяви, що стосуються:
a) визначення інформаційної безпеки, цілей і принципів для керівництва всією діяльністю, пов'язаною з інформаційною безпекою;
б) розподіл загальних і конкретних обов'язків з управління інформаційною безпекою на визначені ролі;
-
-
-
Він є надто загальним: ISO/IEC 27002 містить багато загальних рекомендацій, що можуть бути неадекватними для конкретної організації або сектора. Організації повинні здійснювати додаткові зусилля, щоб адаптувати стандарт до своїх потреб та контексту.
Він не визначає конкретні технічні рішення: стандарт містить багато рекомендацій, але не визначає конкретні технічні рішення, які можна використовувати для забезпечення інформаційної безпеки. Це може призвести до різних технічних рішень в різних організаціях.
Він не враховує змін у технологіях та загрозах: ISO/IEC 27002 оновлюється нечасто, що може призвести до того, що стандарт не буде відображати сучасні технології та загрози. Організації повинні здійснювати додаткові зусилля, щоб оновлювати свої заходи забезпечення безпеки, щоб врахувати нові загрози.
Він не надає детальних інструкцій щодо реалізації: ISO/IEC 27002 містить багато загальних принципів та рекомендацій, але не надає детальних інструкцій щодо
-
Забезпечення конфіденційності, цілісності та доступності інформації: Стандарт ISO/IEC 27002 допомагає організаціям захистити свою інформацію від несанкціонованого доступу, змін і втрати.
Сприяння дотриманню законодавства: ISO/IEC 27002 встановлює вимоги до безпеки інформації, які організації повинні дотри