Скачать 2.74 Mb.
|
2 этап. Реализация (эксплуатация) Оперативное управление Организация должна: - выполнять планы по достижению целей ИБ; - сохранять документированную информацию в объеме, необходимом для получения уверенности в том, что процессы осуществляются так, как запланировано; - управлять планируемыми изменениями и рассматривать последствия случайных изменений, принимать меры по смягчению неблагоприятных последствий при необходимости; - обеспечить, что переданные на аутсорсинг процессы определены и управляются. Оценка рисков ИБ Организация должна: - выполнять оценку рисков ИБ через запланированные интервалы времени, либо в случае предполагающихся или уже происходящих существенных изменений с учетом разработанных критериев; - сохранять документированную информацию о результатах оценки рисков ИБ. Обработка рисков ИБ Организация должна: - реализовать план обработки рисков ИБ; - сохранять документированную информацию о результатах обработки рисков ИБ. 3 этап. Контроль (оценка результативности) Мониторинг, измерение, анализ и оценка Организация должна оценивать состояние ИБ и результативность СУИБ. Организация должна определить: - что необходимо отслеживать и измерять, в том числе процессы информационной безопасности и элементы управления; - методы мониторинга, измерения, анализа и оценки, в зависимости от обстоятельств, в целях обеспечения достоверных результатов; - когда должны проводиться действия по мониторингу и измерениям; - кто должен осуществлять мониторинг и измерения; - когда результаты мониторинга и измерений должны быть проанализированы и оценены; - кто должен анализировать и оценивать эти результаты. Организация должна сохранять соответствующую документированную информацию в качестве подтверждения результатов мониторинга и измерений. Внутренний аудит Организация должна проводить внутренние аудиты через запланированные промежутки времени для получения информации о состоянии СУИБ: - на предмет соответствия собственным требованиям организации для своей системы менеджмента информационной безопасности и требованиям настоящего стандарта; - с целью оценки результативности внедрения и поддержки. Организация должна: - планировать, разработать, внедрить и поддерживать программу аудита, включая методы, распределение ответственности, требования к планированию и отчетности. Программа аудита должна учитывать важность процессов и результаты предыдущих аудитов; - определить критерии аудита и область применения для каждого аудита; - определять аудиторов и проводить аудиты, обеспечивая объективность и беспристрастность процесса аудита; - обеспечить, чтобы результаты аудитов направлялись руководству соответствующего уровня; - сохранять документированную информацию в качестве свидетельства о программе аудита и результатах аудита. Анализ со стороны руководства Высшее руководство должно анализировать СУИБ организации через запланированные интервалы времени для обеспечения ее постоянной пригодности, адекватности и результативности. Анализ со стороны руководства должен включать следующее: - статус действий по результатам предыдущих анализов со стороны руководства; - изменения внешних и внутренних аспектов, которые имеют отношение к СУИБ; - обратную связь о состоянии ИБ, включая: • несоответствия и корректирующие действия; • результаты мониторинга и измерений; • результаты аудита; • результат достижения целей ИБ; - обратную связь от заинтересованных сторон; - результаты оценки рисков и статус выполнения плана по обработке рисков; - возможности для постоянного улучшения. Выводы анализа со стороны руководства должны включать решения, связанные с реализацией возможностей постоянного улучшения, и любые необходимые изменения в СУИБ. Организация должна сохранять документированную информацию в качестве свидетельства о результатах анализа со стороны руководства. 4 этап. Улучшение Корректирующие действия При появлении несоответствия организация должна: - реагировать на несоответствия, и в зависимости от обстоятельств: • принять меры по его управлению и исправлению; • проработать последствия; - оценить необходимость принятия действий для устранения причин несоответствия с целью предотвращения его повторения или появления в другом месте, для этого: • изучить несоответствие; • определить причину несоответствия; • определить, существуют ли подобные несоответствия или потенциальные возможности их возникновения; - реализовать любые необходимые корректирующие действия; - проанализировать результативность выполненных корректирующих действий; - при необходимости внести изменения в СУИБ. Корректирующие действия должны быть адекватными последствиям выявленных несоответствий. Организация должна сохранять документированную информацию в качестве свидетельства о: - характере несоответствий и любых последующих предпринятых действиях; - результатах любых корректирующих действий. Постоянное улучшение Организация должна постоянно улучшать пригодность, адекватность и результативность СУИБ. Приложение А. Цели и элементы управления
|
«Аверс: Управление организацией дополнительного образования», предоставляемой в электронном виде, ООО цит «Аверс» Группы Компаний... | Название информационной системы «1С: Зарплата и управление персоналом 8 корп.» В рамках внедрения данной системы необходимо провести... | ||
Заказчик, указанный в информационной карте (п 27. 4), намерен заключить с победителем запроса предложений договор, предмет которого... | Информационное взаимодействие Системы «Парус» с Единой информационной системой в сфере закупок (далее – еис, оос, портал закупок... | ||
Настоящий регламент описывает операции по планированию, учету и контролю контингента студентов при работе с модулем «Управление контингентом... | Предмет открытого запроса котировок, указан в пункте 2 информационной карты документации (далее – информационной карты) | ||
В целях развития и внедрения Территориальной информационной системы Томской области создать рабочую группу по внедрению и развитию... | Территориальное управление Федерального агентства по управление государственным имуществом в Амурской области | ||
Инструкции. Указанные электронные документы подаются одновременно в срок, указанный в информационной карте аукционной заявки (далее... | В первой половине информационной кампании упор должен быть сделан на информацию о направлении и получении налогового уведомления.... |
Поиск Главная страница   Заполнение бланков   Бланки   Договоры   Документы    |