ГОСТ Р ИСО/МЭК 27001-2021. Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования

9.3 Проверка со стороны руководства

Высшее руководство должно проводить проверку системы менеджмента информационной безопасности через запланированные интервалы времени в целях обеспечения уверенности в сохраняющейся ее приемлемости, адекватности и результативности.

Проверка со стороны руководства должна включать рассмотрение:

a) состояния выполнения решений по результатам предыдущих проверок со стороны руководства;

b) изменений внешних и внутренних факторов, касающихся системы менеджмента информационной безопасности;

c) отзывов о результатах деятельности по обеспечению информационной безопасности, включая тенденции:

1) в выявлении несоответствий и применении корректирующих действий;

2) результатах мониторинга и оценки защищенности;

3) результатах аудита;

4) достижении целей информационной безопасности;

d) отзывов от заинтересованных сторон;

e) результатов оценки рисков информационной безопасности и статуса выполнения плана обработки рисков информационной безопасности;

f) возможностей для постоянного улучшения системы менеджмента информационной безопасности.

Результаты проверки со стороны руководства должны включать решения, относящиеся к возможностям постоянного улучшения и к необходимости внесения любых изменений в систему менеджмента информационной безопасности организации.

Организация должна хранить документированную информацию в качестве свидетельства результатов проверок со стороны руководства.