ГОСТ Р ИСО/МЭК 27004-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Мониторинг, оценка защищенности, анализ и оценивание

8.9 Хранение и передача документированной информации

 

Для выполнения требований подраздела 9.1 ИСО/МЭК 27001, в качестве доказательства мониторинга и оценки защищенности организация должна хранить документированную информацию. Организации могут самостоятельно решать, что хранить. Например, организация может документировать процессы и методы, используемые для анализа и оценки результатов.

Отчеты, которые используются при передаче результатов оценки защищенности соответствующим заинтересованным сторонам, должны быть подготовлены в должных форматах отчетности. Для обеспечения правильной интерпретации данных заключения анализа должны быть рассмотрены соответствующими заинтересованными сторонами. Для передачи заинтересованным сторонам результаты анализа данных также должны быть документированы.

Для передачи результатов оценок ИБ информационный коммуникатор должен определить:

a) какие результаты оценки защищенности следует передавать только внутри организации, а какие можно отправить наружу;

b) списки показателей, соответствующих отдельным заинтересованным сторонам и списки заинтересованных сторон;

c) конкретные результаты оценки защищенности, которые должны быть предоставлены, и тип представления, адаптированный к потребностям каждой группы;

d) средства получения обратной связи от заинтересованных сторон, которая будет использоваться для оценки полезности результатов оценки защищенности и эффективности оценки ИБ.