БИБЛИОТЕКА НОРМАТИВНЫХ ДОКУМЕНТОВ

ГОСТ ISO/IEC 27014-2021. Межгосударственный стандарт. Информационные технологии. Информационная безопасность, кибербезопасность и защита конфиденциальности. Руководство деятельностью по обеспечению информационной безопасности

6.2 Руководство деятельностью в рамках системы менеджмента информационной безопасности

 

ISO/IEC 27001 определяет требования к созданию, внедрению, поддержке и постоянному улучшению СМИБ в контексте организации. Он также включает требования к оценке и обработке рисков ИБ с учетом потребностей организационной структуры.

В ISO/IEC 27001 не используется термин "руководство деятельностью", но в нем определен ряд требований, удовлетворение которых обеспечивается действиями управления. Далее приведены примеры таких действий. Как уже отмечалось ранее, понятия "организация" и "высшее руководство" относятся к области действия СМИБ на основе ISO/IEC 27001:

- ISO/IEC 27001:2013, 4.1, требует, чтобы организация идентифицировала то, чего она стремится достичь, - цели и задачи своей ИБ. Они должны быть связаны с общими целями и задачами организационной структуры и поддерживать их. Это относится к целям руководства деятельностью, определенным в 7.2.1, 7.2.3 и 7.2.4 настоящего стандарта;

- ISO/IEC 27001:2013, 4.2, требует, чтобы организация идентифицировала заинтересованные стороны, имеющие отношение к ее СМИБ, а также требования этих заинтересованных сторон, относящиеся к ИБ. Это относится к цели руководства деятельностью, определенной в 7.2.4 настоящего стандарта;

- ISO/IEC 27001:2013, 4.3, требует, чтобы организация определила границы и применимость СМИБ для установления ее области применения с учетом внешних и внутренних факторов, требований, интерфейсов и зависимостей. Кроме того, в своей СМИБ организация должна удовлетворять требованиям и ожиданиям заинтересованных сторон, а также учитывать внешние и внутренние факторы, такие как законы, нормативные акты и контракты. Это относится к цели руководства деятельностью, определенной в 7.2.1 настоящего стандарта;

- ISO/IEC 27001:2013, раздел 5, определяет, что организация должна установить политику и цели, а также интегрировать ИБ в свои процессы (которые можно рассматривать как включающие в себя процессы руководства деятельностью). Это потребует от организации предоставления надлежащих ресурсов и информирования о важности управления информационной безопасностью. Очень важно, что в этом разделе также указано, что организация должна направлять и стимулировать людей, чтобы они вносили свой вклад в эффективность СМИБ, а также должна поддерживать другие соответствующие роли менеджмента в их областях ответственности. ISO/IEC 27001:2013, раздел 5, содержит инструкции по настройке политики и назначению ролей для менеджмента информационной безопасности и отчетности. Это относится к целям руководства деятельностью, определенным в 7.2.1 и 7.2.3 настоящего стандарта;

- ISO/IEC 27001:2013, раздел 6, рассматривает разработку подхода к менеджменту рисков для организации, указывая, что организация должна идентифицировать риски и возможности, которые необходимо учитывать, чтобы гарантировать эффективность ее СМИБ. Он вводит понятие владельцев рисков и помещает их обязанности в контекст деятельности организации по управлению рисками и утверждению действий по обработке рисков. При этом также требуется, чтобы организация установила цели информационной безопасности. Это относится к цели руководства деятельностью, определенной в 7.2.2 настоящего стандарта;

- ISO/IEC 27001:2013, раздел 7, представляет требования к коммуникациям организации и определяет, что в выполнении своих обязательств по ИБ сотрудники должны иметь соответствующий уровень компетентности. Это относится к цели руководства деятельностью, определенной в 7.2.5 настоящего стандарта;

- ISO/IEC 27001:2013, раздел 8, требует, чтобы организационная структура планировала, внедряла и контролировала свою СМИБ, даже если она передана в аутсорсинг. Это относится к целям руководства деятельностью, определенным в 7.2.4 и 7.2.6 настоящего стандарта;

- ISO/IEC 27001:2013, раздел 9, требует мониторинга и отчетности по всем соответствующим аспектам СМИБ, внутреннего аудита, а также анализа и решений высшего руководства и руководящего органа по операционной эффективности СМИБ, включая любые требуемые изменения. Это относится к цели руководства деятельностью, определенной в 7.2.6 настоящего стандарта;

- ISO/IEC 27001:2013, раздел 10, определяет идентификацию и обработку несоответствий, требование определения возможностей для постоянного улучшения, а также действий в соответствии с этими возможностями. Это относится к цели руководства деятельностью, определенной в 7.2.4 настоящего стандарта.

TelegramПодписаться на обновления
TOC