ГОСТ ISO/IEC 27014-2021. Межгосударственный стандарт. Информационные технологии. Информационная безопасность, кибербезопасность и защита конфиденциальности. Руководство деятельностью по обеспечению информационной безопасности

8 Требования руководящего органа к системе менеджмента информационной безопасности

8.1 Организация и система менеджмента информационной безопасности

Для поддержки целей организационной структуры руководящий орган должен требовать разработки одной или нескольких СМИБ. Цели каждой СМИБ могут либо совпадать с целями самой организационной структуры либо, в зависимости от размера, масштаба и структуры всей организационной структуры, могут отличаться от целей организационной структуры, но должны быть согласованы с ними. Возможные связи между руководством деятельностью по обеспечению ИБ и руководством деятельностью ИТ показаны в приложении A.

Руководящий орган должен также требовать, чтобы проект каждой СМИБ соответствовал общим политикам и процессам организационной структуры, включая управление рисками. Для обеспечения четкого обмена информацией о рисках представляется целесообразным использовать в СМИБ процесс оценки рисков, принятый руководящим органом. Однако если данный процесс не соответствует требованиям ISO/IEC 27001, подход к оценке рисков оператора СМИБ, принятый в целях соответствия с этим стандартом, будет отличаться от принятого для организации в целом. В таком случае должен быть предложен метод передачи информации о рисках в виде, совместимом с подходом руководящего органа. В качестве альтернативы руководящий орган может изменить существующий процесс оценки рисков организационной структуры, с тем чтобы он соответствовал требованиям ISO/IEC 27001.

Руководящий орган может санкционировать использование СМИБ для управления стратегическими рисками, связанными с потерей интеллектуальной собственности, ущербом репутации и финансовыми потерями, связанными с нарушением конфиденциальности, целостности или доступности информации.

СМИБ может обеспечить руководящий орган управленческой информацией о рисках для организационной структуры и об эффективности СМИБ.

Руководящий орган должен:

- утверждать создание каждой СМИБ;

- определять область применения каждой СМИБ и область сертификации (эти области могут отличаться);

- обеспечивать координацию каждой СМИБ, определяя цели, требования, роли и ресурсы;

- принимать решения о приемлемых уровнях остаточного риска или соответствующих методах обработки риска;

- предоставить каждой СМИБ каналы связи и полномочия использовать эти каналы для передачи соответствующей информации всем заинтересованным сторонам и лицам в пределах действия СМИБ.