Please enable JavaScript.
Coggle requires JavaScript to display documents.
ISO 27001 — Мороз В.Р. - Coggle Diagram
ISO 27001 — Мороз В.Р.
СФЕРА ЗАСТОСУВАННЯ
Цей стандарт визначає вимоги до проектування, впровадження, підтримки та постійного вдосконалення системи управління інформаційною безпекою з урахуванням обставин організації. Цей
стандарт також містить вимоги для оцінювання та оброблення ризиків інформаційної безпеки, пов’язаних з потребами організації.
-
КЕРІВНИЦТВО
Вище керівництво повинно продемонструвати дії з управління та зобов’язання по відношенню до систем управління інформаційною безпекою.
a) гарантуванням, що політика інформаційної безпеки та цілі інформаційної безпеки розроблені та сумісні зі стратегічними планами організації;
-
c) гарантуванням, що ресурси, потрібні для системи управління інформаційною безпекою, доступні;
d) доведенням до відома організації важливості ефективного управління інформаційною безпекою та відповідності вимогам системи управління інформаційною безпекою;
е) гарантуванням, що система управління інформаційною безпекою досягне своїх запланованих результатів;
f) призначенням та підтримкою осіб для досягнення ефективності системи управління інформаційною безпекою;
-
h) підтримкою інших пов’язаних ролей вищого керівництва, щоб продемонструвати їх керівну роль, яку вони застосовують у сферах їх відповідальності.
Вище керівництво повинно запровадити політику інформаційної безпеки, яка:
-
b) містить цілі інформаційної безпеки (див. 6.2) або зазначає основні положення для визначення цілей інформаційної безпеки;
c) містить зобов’язання відповідати застосованим вимогам, пов’язаним з інформаційною безпекою; та
-
-
-
ПЛАНУВАННЯ
-
-
Організація повинна визначити та застосовувати процес оцінювання ризиків інформаційної
безпеки, який:
a) встановлює та підтримує критерії ризиків інформаційної безпеки, які містять:
-
-
b) гарантує, що повторні оцінки ризиків інформаційної безпеки призводять до послідовних, дійових та порівняльних результатів;
-
-
-
-
-
ПІДТРИМКА
Організація повинна визначити й забезпечувати наявність ресурсів, потрібних для розроблення,
впровадження, підтримання й постійного вдосконалення системи управління інформаційною безпекою
Організація повинна:
b) гарантувати, що цей персонал має компетенцію на основі відповідного навчання, тренінгів або досвіду;
c) за можливості, забезпечувати виконання певних дій для досягнення необхідної компетенції та оцінювати ефективність таких дій; і
а) визначити рівень необхідної компетентності персоналу, який виконує роботи, що впливають
на результативність інформаційної безпеки;
-
Персонал, який виконує функції під наглядом організації, повинен бути обізнаним в:
-
b) його вкладі в ефективність системи управління інформаційною безпекою, враховуючи переваги від вдосконалення результативності інформаційної безпеки; та
-
-
-
ФУНКЦІОНУВАННЯ
Організація повинна планувати, впроваджувати й контролювати процеси, необхідні для вико
нання вимог інформаційної безпеки, а також впроваджувати дії
Організація повинна гарантувати, що процеси, віддані на аутсорсинг, визначені й контрольовані.
Організація повинна виконувати оцінювання ризиків через заплановані інтервали або коли запропоновані чи відбуваються суттєві зміни з урахуванням критеріїв
-
Організація повинна зберігати задокументовану інформацію стосовно результатів оброблення ризиків інформаційної безпеки.
Організація повинна зберігати задокументовану інформацію стосовно результатів оцінювання ризиків інформаційної безпеки.
-
ВДОСКОНАЛЕННЯ
-
-
Організація повинна постійно вдосконалювати придатність, адекватність та ефективність системи управління інформаційною безпекою, гарантування її постійної придатності, адекватності та
ефективності.