ГОСТ Р ИСО/МЭК 27021-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Требования к компетентности специалистов по системам менеджмента информационной безопасности
6.2 СМИБ-компетентность: планирование информационной безопасности
6.2.1 Общие сведения
Для успешного и эффективного выполнения своих ролей в организации СМИБ-специалисты должны приобретать и постоянно обновлять информацию о планировании СМИБ.
6.2.2 Компетентность: область действия СМИБ
ИСО/МЭК 27001:2013 раздел/подраздел (если применимо) | 4.3 Определение области действия системы менеджмента информационной безопасности 6.2 Цели информационной безопасности и планы по их достижению |
Ожидаемый результат | Продемонстрировать стратегическое направление в отношении СМИБ, начиная от планирования и заканчивая улучшением, которое направлено на достижение общей цели в области информационной безопасности |
Требуемые знания | Цели информационной безопасности и планирования их достижения; области руководства деятельностью по обеспечению информационной безопасности; области политики информационной безопасности |
Требуемые навыки | Разрабатывать, поддерживать и распространять стратегии и политики информационной безопасности в соответствии с бизнес-стратегией; определять заинтересованные стороны и их требования; руководить стратегическим планированием информационной безопасности для СМИБ; объяснять преимущества внедрения СМИБ для бизнеса; создавать СМИБ организации, соответствующую стратегии организации; понимать вопросы, относящиеся к целям организации и СМИБ; понимать и определять область действия СМИБ; синтезировать потребности, ожидания и требования для определения движущих сил СМИБ; определять организационные роли, обязанности в отношении СМИБ; понимать и генерировать ключевые показатели эффективности, ключевые показатели риска и другие бизнес-показатели для стратегий информационной безопасности и СМИБ |
6.2.3 Компетентность: оценка и обработка рисков информационной безопасности
ИСО/МЭК 27001:2013 раздел/подраздел (если применимо) | 6.1 Действия по рассмотрению рисков и возможностей 8.2 Оценка рисков информационной безопасности 8.3 Обработка рисков информационной безопасности |
Ожидаемый результат | Применять общие методы менеджмента риска (см. 5.8 Компетентность: менеджмент риска) к рискам информационной безопасности |
Требуемые знания | Методология и области оценки/обработки рисков информационной безопасности; оценка рисков информационной безопасности; обработка рисков информационной безопасности; стандарты, относящиеся к рискам и рискам информационной безопасности (например, ИСО 31000 и ИСО/МЭК 27005; меры и средства информационной безопасности и цели их применения, как это указано в ИСО/МЭК 27001:2013, приложение A |
Требуемые навыки | Предоставлять указания и рекомендации по оцениванию рисков информационной безопасности и контролировать соблюдение стандартов информационной безопасности и соответствующих политик информационной безопасности; определять и адресовать бизнес-риски, определять возможности, интегрированность и внедрение действий в процессы СМИБ; определять и применять процессы оценки и обработки рисков информационной безопасности; выбирать, внедрять и улучшать средства контроля для снижения риска информационной безопасности; сравнивать применяемые средства с теми, которые указаны в ИСО/МЭК 27001:2013, приложение A, и убедиться, что не были пропущены необходимые средства |
Подписаться на обновления