Please enable JavaScript.

Coggle requires JavaScript to display documents.

ЛР 21 ISO 27002 - Coggle Diagram

- - - - застосування відповідних заходів і засобів контролю та управління для зниження ризиків;
      - свідоме та об'єктивне прийняття ризиків в тому випадку, якщо вони, безсумнівно, задовольняють політиці і критеріям організації щодо прийняття ризиків;
      - запобігання ризикам шляхом недопущення дій, які можуть стати причиною виникнення ризиків;
      - перенесення взаємодіючих ризиків шляхом поділу їх з іншими сторонами, наприклад страховиками або постачальниками.
    - - вимоги та обмеження національних і міжнародних законів і норм;
      - цілі організації;
      - експлуатаційні вимоги і обмеження;
      - вартість реалізації і експлуатації стосовно знижує ризик повинна залишатися пропорційної вимогам і обмеженням організації;
      - необхідність збереження балансу між інвестиціями в реалізацію і експлуатацію заходів і засобів контролю та управління і збитком, який може мати місце в результаті недостатньої безпеки.
- - - - визначення інформаційної безпеки, її загальних цілей і сфери дії, а також згадки значення безпеки як інструменту, що забезпечує можливість спільного використання інформації;
      - викладу намірів керівництва, що підтримують цілі і принципи інформаційної безпеки відповідно до стратегії і цілями бізнесу;
      - підходу до встановлення заходів і засобів контролю та управління і цілей їх застосування, включаючи структуру оцінки ризику та менеджменту ризику;
      - короткого роз'яснення найбільш істотних для організації політик безпеки, принципів, стандартів і вимог відповідності, наприклад:
        
        1) відповідність законодавчим вимогам та договірними зобов'язаннями;
        
        2) вимоги щодо забезпечення поінформованості, навчання і тренінгу щодо безпеки;
        
        3) менеджмент безперервності бізнесу;
        
        4) відповідальність за порушення політики інформаційної безпеки;
      - визначення загальних і конкретних обов'язків співробітників в рамках менеджменту інформаційної безпеки, включаючи інформування про інциденти безпеки;
      - посилань на документи, що доповнюють політику інформаційної безпеки, наприклад більш детальні політики та процедури безпеки для певних інформаційних систем, а також правила безпеки, яким повинні слідувати користувачі.
  - - - відповідної реакції зацікавлених сторін;
      - результати незалежних переглядів;
      - стані запобігають і коригувальних дій;
      - результати попередніх переглядів методів управління;
      - виконання процесу і відповідно політиці інформаційної безпеки;
      - зміни, які могли б вплинути на підхід організації до методів управління інформаційною безпекою, включаючи зміни, що стосуються організаційного середовища, обставин бізнесу, доступності ресурсів, контрактних, що регулюють і правових умов або технічного середовища;
      - тенденції щодо загроз і вразливостей;
      - доведених до відома інциденти інформаційної безпеки;
      - рекомендаціях, даних відповідними органами.
      - Вихідні дані перегляду методів управління повинні включати будьякі рішення і дії щодо:
      - поліпшення підходу організації до менеджменту інформаційної безпеки та її процесів;
      - поліпшення заходів і засобів контролю та управління і цілей їх застосування;
      - поліпшення розподілу ресурсів і (або) обов'язків.