ГОСТ Р ИСО/МЭК 27003-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации

7.2 Компетентность

 

Необходимые мероприятия

Организация определяет компетенции лиц, занимающихся обеспечением ИБ, и обеспечивает их компетентность.

Пояснение

Компетентность - это способность применять знания и умения для достижения намеченных результатов. На нее влияют знания, опыт и образование.

Компетенции могут быть специфическими (например, в отношении технологий или конкретных областей управления, таких как управление рисками) или общими (например, навыки работы с людьми, надежность и основные технологические и управленческие навыки).

Компетенции относятся к лицам, которые работают под контролем организации. Это означает, что управление компетенциями должно осуществляться для лиц, являющихся сотрудниками организации, и для других лиц по мере необходимости.

Приобретение высокого уровня компетентности или новых компетенций может быть достигнуто как внутри организации, так и за ее пределами посредством получения опыта, обучения (например, курсов, семинаров и практикумов), наставничества, найма или заключения контрактов с внешними лицами.

Для компетенций, которые необходимы лишь временно - для специфической деятельности или на короткий период времени, например, в связи с непредвиденной временной нехваткой внутреннего персонала, - организации могут нанимать или заключать контракты с внешними лицами, компетенции которых должны быть описаны и проверены.

Руководство

Организация должна:

a) определить ожидаемые компетенции для каждой роли в рамках СМИБ и решить, должны ли они быть задокументированы (например, в должностной инструкции);

b) назначить роли в рамках СМИБ (см. 5.3) лицам с необходимыми компетенциями. При необходимости это можно сделать следующим образом:

1) выявить лиц в рамках организации, обладающих компетенциями (например, на основании их образования, опыта или наличия сертификатов);

2) планировать и осуществлять мероприятия, направленные на получение компетенций лицами в рамках организации (например, путем организации обучения, наставничества, перевода имеющихся сотрудников);

3) привлечь новых лиц, обладающих компетенциями (например, путем найма или заключения контрактов);

c) оценить эффективность мероприятий, указанных в перечислении b) выше.

Примеры

1 Рассмотреть, приобрели ли лица компетенции после обучения.

2 Проанализировать компетенции вновь нанятых сотрудников через некоторое время после их появления в организации.

3 Убедиться, что план приобретения новых лиц выполнен должным образом;

d) проверить компетентность лиц для своих ролей;

e) обеспечить развитие компетенции со временем по мере необходимости и их соответствие ожиданиям.

В качестве доказательства компетентности требуется соответствующая документированная информация. Поэтому организация должна хранить документацию о необходимых компетенциях, влияющих на показатели ИБ, и о том, как эти компетенции обеспечиваются соответствующими лицами.

Дополнительная информация

Дополнительная информация отсутствует.