ГОСТ ISO/IEC 27014-2021. Межгосударственный стандарт. Информационные технологии. Информационная безопасность, кибербезопасность и защита конфиденциальности. Руководство деятельностью по обеспечению информационной безопасности

8.2 Варианты (см. приложение B)

 

Тип A: Организация составляет единое целое с организационной структурой

Если единственная действующая система менеджмента соответствует ISO/IEC 27001, ее можно использовать для предоставления информации о рисках и, таким образом, позволять организации управлять информационными рисками. Однако для поддержки управления ИТ, управления финансами, операционного управления и других видов управления по-прежнему будут использоваться другие процессы.

В случае, когда СМИБ применяется ко всей организационной структуре:

- процессы руководства деятельностью, описанные в разделе 7.3, неизменны;

- высшее руководство помимо руководства деятельностью по обеспечению ИБ несет ответственность за руководство другой деятельностью, например за корпоративное управление.

Согласование целей ИБ организации с общими целями организационной структуры, вероятно, будет простым, поскольку высшее руководство отвечает и за те, и за другие. Если роль ответственного за руководство деятельностью по обеспечению ИБ совмещается с ролью ответственного за менеджмент ИБ, то необходимо обеспечить, чтобы отчетности за установление политики и за ее выполнение были должным образом отделены друг от друга.

Тип B: Организация охватывает часть большой организационной структуры

В некоторых случаях организации входят в состав большой организационной структуры. Поскольку деятельность по управлению обычно распространяется на юридическое лицо в целом, корпорацию, благотворительную организационную структуру, государственную организационную структуру или другую организационную структуру, руководство деятельностью такой организационной структуры расширяется в этом случае за пределы применения СМИБ. Организационная структура может иметь несколько СМИБ в своих границах. Таким образом, руководящий орган может управлять несколькими СМИБ. Большая часть настоящего стандарта написана с учетом такого подхода.

Четыре процесса управления, описанные в 7.3, остаются актуальными.

Однако в зависимости от отношений между организацией (организациями) и родительской организационной структурой может иметь место одна из следующих ситуаций:

- каждая организация действует в качестве автономной части родительской организационной структуры и поэтому имеет свои собственные бизнес-цели. В этом случае цели ИБ организации должны быть согласованы с ее собственными бизнес-целями;

- каждая организация ответственна за достижение одной или нескольких бизнес-целей ее родительской организационной структуры. В этом случае цели ИБ организации должны быть согласованы с бизнес-целями ее родительской организационной структуры;

- на каждую организацию возложена ответственность за вопрос управления рисками ИБ от имени родительской организационной структуры. В этом случае цели ИБ организации должны быть определены родительской организационной структурой, что обеспечивает согласованность с бизнес-целями родительской организационной структуры.

Кроме того, необходимо также учитывать взаимоотношения между высшим руководством каждой организации и руководящим органом родительской организационной структуры. Состав высшего руководства и состав руководящего органа может быть одним и тем же, в них могут входить одни и те же лица или же они могут не иметь ничего общего. Для определения, кого следует назначать на роли членов руководящего органа и заинтересованных сторон, можно использовать рисунок B.1.

Тип C: Организация охватывает части нескольких организационных структур

В этой ситуации организация, как обычно, управляется и контролируется высшим руководством, но охватывает несколько организационных структур. Такое возможно в случае, когда более крупная организационная структура управляет группой организаций, которые разделяют общий контекст информационной безопасности и требования для некоторой части своей деятельности, например сбора, обработки, хранения и использования личных данных для предоставления услуг. Несколько органов управления также могут использовать одну и ту же СМИБ; например, организационная структура может предоставить клиентам в качестве услуги использование СМИБ.

В случае, если организация охватывает части нескольких организационных структур:

- процессы руководства деятельностью, как описано в 7.3, неизменны;

- цели ИБ организации должны быть согласованы с общими бизнес-целями, которые объединяют организационные структуры.