Please enable JavaScript.
Coggle requires JavaScript to display documents.
Інтелект-карта стандарту ISO/IEC 27001 Субота Роман КБ-21 -…
Інтелект-карта стандарту ISO/IEC 27001 Субота Роман КБ-21
ОБСТАВИНИ ОРГАНІЗАЦІЇ
Розуміння організації та її обставин
Організація має визначити внутрішні та зовнішні фактори, що впливають на її цілі та можливість досягнення результатів у сфері управління інформаційною безпекою.
Розуміння потреб та очікувань зацікавлених сторін
Організація повинна визначити
вимоги цих зацікавлених сторін, важливих для інформаційної безпеки.
зацікавлені сторони, які важливі для системи управління інформаційною безпекою
Система управління інформаційною безпекою
Організація повинна розробити, впровадити, підтримувати та постійно вдосконалювати систему інформаційної безпеки відповідно до вимог цього стандарту.
Визначення сфери застосування системи управління інформаційною безпекою
Визначення сфери застосування системи управління інформаційною безпекою
вимоги, зазначені в 4.2
зовнішні та внутрішні обставини, зазначені в 4.1
інтерфейси та залежності між діями, які виконує організація, і тими, що виконують інші організації.
ПІДТРИМКА
Ресурси
Організація повинна визначити й забезпечувати наявність ресурсів, потрібних для розроблення,
впровадження, підтримання й постійного вдосконалення системи управління інформаційною безпекою
Комунікація
Організація повинна визначити потребу у внутрішніх та зовнішніх комунікаціях з питань системи управління інформаційною безпекою, включаючи
хто повинен спілкуватися
з яких питань спілкуватися
коли спілкуватися
з ким спілкуватися
процеси, за допомогою яких комунікація повинна відбуватися
Обізнаність
Персонал, який виконує функції під наглядом організації, повинен бути обізнаним в
політиці інформаційної безпеки
розумінні невідповідності вимогам системи управління інформаційною безпекою
його вкладі в ефективність системи управління інформаційною безпекою, враховуючи переваги від вдосконалення результативності інформаційної безпеки
Компетенція
Організація повинна
визначити рівень необхідної компетентності персоналу, який виконує роботи, що впливають
на результативність інформаційної безпеки
гарантувати, що цей персонал має компетенцію на основі відповідного навчання, тренінгів
або досвіду
за можливості, забезпечувати виконання певних дій для досягнення необхідної компетенції
та оцінювати ефективність таких дій
зберігати відповідну документовану інформацію як доказ компетентності
Загальні положення
Система управління інформаційною безпекою організації повинна включати
документовану інформацію, визначену організацією як необхідну для ефективності системи управління інформаційною безпекою
документовану інформацію, визначену цим стандартом
Створення та оновлення
У разі створення й оновлення документованої інформації організація повинна гарантувати
відповідну
перегляд і затвердження для відповідності й адекватності
формат (наприклад, мову, версію програмного забезпечення, графіки) та носії (наприклад,
папір, електронні)
ідентифікацію та опис (наприклад, назву, дату, автора чи посилальний номер)
Контроль документованої інформації
Задокументована інформація, визначена системою управління інформаційною безпекою та цим
стандартом має контролювати для гарантії того, що
вона доступна й придатна для використання, де і коли вона потрібна
її належним чином захищено (наприклад, від втрати конфіденційності, помилкового використання або втрати цілісності)
розподіл, доступ, повернення та використання
збереження та консервування, зокрема й консервування чіткості/розбірливості
контроль змін (наприклад, контроль версій)
утримування й розташування
КЕРІВНИЦТВО
Організаційні ролі, відповідальності та повноваженн
Вище керівництво повинно призначити відповідальності та повноваження для
звітування вищому керівництву щодо результативності системи управління інформаційною безпекою
гарантування, що система управління інформаційною безпекою відповідає вимогам цього
стандарту
Політика
Вище керівництво повинно запровадити політику інформаційної безпеки, яка
бути доступною як документована інформація
містить зобов’язання щодо постійного вдосконалення системи управління інформаційною
безпекою
бути доступною зацікавленим сторонам, за потреби
містить цілі інформаційної безпеки (див. 6.2) або зазначає основні положення для визначення цілей інформаційної безпеки
містить зобов’язання відповідати застосованим вимогам, пов’язаним з інформаційною безпекою
бути розповсюдженою в середині організаці
відповідає цілям організації
Керівництво та зобов’язання
Вище керівництво повинно продемонструвати дії з управління та зобов’язання по відношенню до систем управління інформаційною безпекою
призначенням та підтримкою осіб для досягнення ефективності системи управління інфор
маційною безпекою
доведенням до відома організації важливості ефективного управління інформаційною безпекою та відповідності вимогам системи управління інформаційною безпекою
гарантуванням, що ресурси, потрібні для системи управління інформаційною безпекою,
доступні
гарантуванням інтеграції вимог системи інформаційної безпеки в процеси організації;
гарантуванням, що система управління інформаційною безпекою досягне своїх запланованих результатів
сприянням постійному вдосконаленню
гарантуванням, що політика інформаційної безпеки та цілі інформаційної безпеки розроблені та сумісні зі стратегічними планами організації
підтримкою інших пов’язаних ролей вищого керівництва, щоб продемонструвати їх керівну
роль, яку вони застосовують у сферах їх відповідальності
ОЦІНЮВАННЯ РЕЗУЛЬТАТИВНОСТІ
Моніторинг, вимірювання, аналіз та оцінювання
Організація повинна визначити
що саме потрібно моніторити й вимірювати, включаючи процеси інформаційної безпеки та
заходи безпеки
методи моніторингу, вимірювань, аналізу та оцінювання, які може бути застосовано для гарантії обґрунтованих результатів
коли моніторинг та вимірювання потрібно виконувати
хто повинен виконувати моніторинг та вимірювання
коли результати моніторингу та вимірювань потрібно аналізувати й оцінюват
хто повинен аналізувати й оцінювати ці результати.
Внутрішній аудит
Організація повинна проводити внутрішні аудити через заплановані інтервали часу для забезпечення того, що інформація чи система управління інформаційною безпекою
зберігати документовану інформацію як доказ програми аудиту та результатів аудиту
ефективно впроваджена та підтримується
визначити критерії аудиту та сферу застосування для кожного аудиту
гарантувати, що результати аудиту буде доведено до відповідного керівн
Планувати, впроваджувати та підтримувати програму(-и) аудиту з визначенням частоти, методів, відповідальностей, вимог та звітності. Програма(-и) аудиту має(-ють) враховувати аналіз важливості процесів та результати попередніх аудитів.
Перегляд з боку керівництв
Перегляд з боку керівництва повинен стосуватися розгляду
зворотного впливу на результативність інформаційної безпеки, охоплюючи тенденції в
результатах моніторингу та вимірювань
результатах аудиту
досягненнях цілей інформаційної безпеки
невідповідностях та коригувальних діях
статусу дії, що є наслідком попереднього перегляду керівництва
зміни в зовнішніх та внутрішніх обставинах, які мають відношення до системи управління
інформаційною безпекою
зворотного зв’язку від зацікавлених сторін
результатів оцінювання ризиків і статусу плану оброблення ризиків
можливостей для постійного вдосконалення
ФУНКЦІОНУВАННЯ
Робоче планування й контроль
Організація має планувати, впроваджувати й контролювати процеси для виконання вимог інформаційної безпеки та впроваджувати плани для досягнення цілей безпеки. Також необхідно зберігати документацію, контролювати зміни і гарантувати контроль над аутсорсингом процесів.
Оцінювання ризиків інформаційної безпеки
Організація повинна періодично оцінювати ризики згідно з критеріями і зберігати документацію про результати.
Оброблення ризиків інформаційної безпеки
Організація повинна мати план оброблення ризиків і зберігати документи про його результати.
ПЛАНУВАННЯ
Загальні положення
Під час планування системи управління інформаційною безпекою, організація повинна врахувати питання з розділу 4.1, вимоги з розділу 4.2 та визначити ризики та можливості.
Організація повинна планувати
інтегрувати й упровадити ці дії до процесів її системи управління інформаційною безпекою
дії, які стосуються цих ризиків та можливостей
оцінювати ефективність цих дій
гарантувати, що система управління інформаційною безпекою може досягти запланованого результату(-ів)
досягти постійного вдосконалення
запобігти або зменшити небажані ефекти
Оцінка ризиків інформаційної безпеки
Організація повинна визначити та застосовувати процес оцінювання ризиків інформаційної безпеки, який
встановлює та підтримує критерії ризиків інформаційної безпеки, які містять
критерії для виконання оцінки ризиків інформаційної безпеки
критерії прийняття ризиків
гарантує, що повторні оцінки ризиків інформаційної безпеки призводять до послідовних, дійових та порівняльних результатів
ідентифікує ризики інформаційної безпеки
ідентифікує власників ризиків
застосовує процес оцінювання ризиків інформаційної безпеки для ідентифікації ризиків,
пов’язаних із втратою конфіденційності, цілісності й доступності в межах сфери застосування системи управління інформаційною безпекою
виконує аналіз ризиків інформаційної безпеки
визначає рівні ризиків
оцінює практичну імовірність появи ризиків, ідентифікованих у 6.1.2 с)
оцінює потенційні наслідки, які будуть результатом реалізації ризиків, ідентифікованих
в 6.1.2
оцінює ризики інформаційної безпеки
визначає пріоритети проаналізованих ризиків для оброблення ризиків
порівнює результати аналізу ризиків з критеріями ризиків, визначеними в 6.1.2 а)
Оброблення ризиків інформаційної безпеки
Організація повинна визначити та застосовувати процес оброблення ризиків інформаційної
безпеки для
порівняти заходи безпеки, визначені в 6.1.3 b) вище, з наведеними в додатку А, і підтвердити, що не було опущено потрібних заходів безпеки
розробити план оброблення ризиків інформаційної безпеки
отримати від власників ризиків підтвердження плану оброблення ризиків інформаційної безпеки та згоду на залишкові ризики інформаційної безпеки
визначити всі заходи безпеки, які необхідно впровадити для вибраної(-их) опції(-ій) оброб
лення ризиків
вибору доречних опцій оброблення ризиків інформаційної безпеки з урахуванням результатів оцінки ризиків
Цілі інформаційної безпеки та планування їх досягнення
Цілі інформаційної безпеки мають
відповідати політиці інформаційної безпеки
оновлюватися, за потреби
бути розповсюдженими
бути вимірюваними (якщо доцільно)
враховувати вимоги до інформаційної безпеки, які застосовують, а також результати оцінювання ризиків та оброблення ризиків
ВДОСКОНАЛЕННЯ
У разі виявлення невідповідностей організація повинна
реагувати на невідповідності і за можливост
вживати заходів щодо наслідків
виконувати дії для контролю та їх корекції;
оцінювати потреби в діях для усунення причин невідповідностей для запобігання їх повторення чи виникнення будь-де за допомогою
перегляду невідповідностей
визначення, чи існують подібні невідповідності або потенційно можуть з’являтися
визначення причин невідповідностей
впровадити певні дії, за потреби
переглянути ефективність виконаних коригувальних дій
внести зміни до системи управління інформаційною безпекою, за потреби
Постійне вдосконалення
Організація повинна постійно вдосконалювати придатність, адекватність та ефективність системи управління інформаційною безпекою, гарантування її постійної придатності, адекватності та
ефективності.