ГОСТ Р ИСО/МЭК 27003-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации

9.3 Анализ со стороны руководства

 

Необходимые мероприятия

Анализ СМИБ со стороны высшего руководства проводится с запланированной периодичностью.

Пояснение

Целью анализа со стороны руководства является обеспечение постоянной пригодности, адекватности и эффективности СМИБ. Под пригодностью подразумевается постоянное соответствие целям организации. Адекватность и эффективность относятся к проектированию и организационному внедрению СМИБ, а также к эффективному внедрению процессов и мер обеспечения ИБ, которые управляются СМИБ.

В целом анализ со стороны руководства - это процесс, осуществляемый на различных уровнях в организации. Он может варьироваться от ежедневных, еженедельных или ежемесячных собраний подразделений организации до простых обсуждений отчетов. Высшее руководство в итоге несет ответственность за анализ со стороны руководства с участием всех уровней организации.

Руководство

Высшее руководство должно требовать и регулярно анализировать отчетность об эффективности СМИБ.

Существует множество способов, с помощью которых руководство может анализировать СМИБ, таких как получение и анализ результатов измерений и отчетов, электронная и устная связь. Ключевыми входными данными являются результаты измерений ИБ, как описано в 9.1, и результаты внутренних аудитов, описанных в 9.2, а также результаты оценки рисков и статус выполнения плана обработки рисков. При анализе результатов оценки рисков ИБ и статуса выполнения плана обработки рисков руководство должно подтвердить, что остаточные риски соответствуют критериям приемлемости рисков и что план обработки рисков учитывает все актуальные риски и возможные варианты их обработки.

В целом все аспекты СМИБ должны анализироваться руководством через запланированные промежутки времени (по крайней мере раз в год) путем составления соответствующих графиков и обсуждения повесток на совещаниях руководства. Новые или не очень развитые СМИБ должны чаще анализироваться руководством для повышения эффективности.

Повестка собрания для анализа со стороны руководства должна касаться следующих тем:

a) статус выполнения действий по результатам предыдущих анализов со стороны руководства;

b) изменения во внешних и внутренних факторах (см. 4.1), которые имеют отношение к СМИБ;

c) отзывы об эффективности ИБ, включая тенденции о:

1) несоответствиях и корректирующих действиях;

2) результатах мониторинга и измерений;

3) результатах аудита;

4) достижениях целей ИБ;

d) отзывы заинтересованных сторон, в том числе предложения по улучшению, запросы на изменения и жалобы;

e) результаты оценки рисков ИБ и статус выполнения плана обработки рисков;

f) возможности постоянного улучшения, включая повышение эффективности как СМИБ, так и мер обеспечения ИБ.

Входные данные для анализа должны иметь определенный уровень детализации в соответствии с целями, установленными для руководства, участвующего в анализе. Например, высшее руководство должно оценивать только сводные данные по всем элементам в соответствии с целями ИБ или целями высокого уровня.

Результаты процесса анализа должны включать решения, касающиеся возможностей постоянного улучшения и любых потребностей в изменениях СМИБ. Они также могут включать доказательства решений относительно:

g) изменения политики и целей ИБ, например, обусловленных изменениями во внешних и внутренних факторах и требованиях заинтересованных сторон;

h) изменения критериев принятия риска и критериев оценки риска ИБ (см. 6.1.2);

i) действий, при необходимости, после оценки эффективности ИБ;

j) изменения ресурсов или бюджета для СМИБ;

k) обновленного плана обработки рисков ИБ или Положения о применимости;

l) необходимых улучшений мероприятий по мониторингу и измерениям.

Требуется документировать информацию по анализам со стороны руководства. Ее также следует сохранять, чтобы продемонстрировать, что внимание было уделено всем областям, перечисленным в ИСО/МЭК 27001, даже если было решено, что никаких действий не требуется.

Когда на разных уровнях организации проводится несколько анализов со стороны руководства, они должны быть соответствующим образом связаны друг с другом.

Дополнительная информация

Дополнительная информация отсутствует.