Главная страница Случайная страница
КАТЕГОРИИ:
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника
Застосування аудиту системи менеджменту інформаційної безпеки.
|
|
До процесів застосування ІБ організації належать:
Ø аналіз проблем ІБ і визначення потреби організації у забезпеченні ІБ;
Ø підтримка діяльності з планування ІБ;
Ø підтримка діяльності з реалізації та експлуатації ІБ;
Ø підтримка діяльності з перевірки ІБ;
Ø підтримка діяльності щодо вдосконалення ІБ.
Плануючи СМІБ, організація повинна:
1. Визначити сферу застосування СМІБ на основі характеристик функціонування, організації, її розташування; активів і технологій, включно із деталями і обґрунтуванням будь-яких винятків із сфери СМІБ;
2. Визначити політику СМІБ на основі характеристик функціонування, організації, її розташування, активів і технологій;
3. Визначити (сформулювати) підхід до оцінювання ризику в організації;
4. Ідентифікувати ризики;
5. Проаналізувати та оцінити ризики;
6. Вибрати та оцінити різні варіанти оброблення ризиків;
7. Вибрати цілі та заходи (засоби) управління для оброблення ризиків;
8. Отримати схвалення керівництва щодо запропонованих залишкових ризиків;
9. Отримати дозвіл керівництва на впровадження та експлуатацію СМІБ;
10. Підготувати " Положення про застосування засобів СМІБ".
Під час реалізації та експлуатації СМІБ організація:
1. Формує план оброблення ризику, що визначає відповідні дії керівництва, ресурси, розмежування відповідальності та пріоритети щодо менеджменту ризиків ІБ;
2. Запроваджує план оброблення ризику для досягнення ідентифікованих цілей управління, що містить аспекти фінансування, а також розмежування ролей івідповідальності;
3. Запроваджує заходи (засоби) управління, які обирають під час створенняСМІБ, для досягнення цілей управління;
4. Визначає, як оцінювати ефективність обраних заходів управління і як використовувати отримані оцінки для ефективності управління, щоб отримати порівнюваніі відтворювані результати;
5. Запроваджує програми з навчання та підвищення поінформованості працівників;
6. Управляє роботою СМІБ;
7. Управляє ресурсами;
8. Запроваджує процедури та інші заходи управління, які б забезпечували оперативне виявлення та реагування на інциденти, що пов'язані із безпекою організації.
Для процесу застосування аудиту СМІБ вхідними даними є:
- види діяльності, засоби і послуги організації;
- опис процесів функціонування;
- інформація про внутрішнє і зовнішнє середовище організації;
- інформація про поточний стан процесів СМІБ.