Aktyvus Leidimas iš 27.12.2006
| Dokumento pavadinimas | "INFORMACINĖ TECHNOLOGIJA. SAUGOS METODAI IR PRIEMONĖS. INFORMACIJOS SAUGUMO VALDYMO SISTEMOS. REIKALAVIMAI. GOST R ISO/IEC 27001-2006" |
| Dokumento tipas | tvarka, standartas, gost, iso |
| Šeimininko kūnas | Rostekhregulirovanie |
| Dokumento numeris | ISO/IEC 27001-2006 |
| Priėmimo data | 01.01.1970 |
| Peržiūros DATA | 27.12.2006 |
| Įregistravimo Teisingumo ministerijoje data | 01.01.1970 |
| Būsena | galioja |
| Publikacija |
|
| Navigatorius | Pastabos |
"INFORMACINĖ TECHNOLOGIJA. SAUGOS METODAI IR PRIEMONĖS. INFORMACIJOS SAUGUMO VALDYMO SISTEMOS. REIKALAVIMAI. GOST R ISO/IEC 27001-2006"
8. Valdymo sistemos tobulinimas informacijos saugumas
8.1. Nuolatinis tobulinimas
Organizacija turi nuolat gerinti ISMS efektyvumą tobulindama informacijos saugumo politiką, informacijos saugumo tikslus, naudodama auditų rezultatus, analizuodama kontroliuojamus įvykius, korekcinius ir prevencinius veiksmus, naudodama vadovybės ISMS peržiūros rezultatus (žr. 7 punktą). ).
8.2. Korekciniai veiksmai
Organizacija turi imtis veiksmų, kad pašalintų neatitikimų ISMS reikalavimams priežastis, kad jos nepasikartotų. Dokumentais pagrįstoje taisomųjų veiksmų procedūroje nustatomi reikalavimai:
a) neatitikimų nustatymas;
b) neatitikimų priežasčių nustatymas;
C) įvertinti būtinybę imtis veiksmų, kad būtų išvengta neatitikimų pasikartojimo;
d) būtinų taisomųjų veiksmų nustatymas ir įgyvendinimas;
e) tvarkyti atliktų veiksmų rezultatus (žr. 4.3.3);
f) peržiūrint taisomuosius veiksmus, kurių buvo imtasi.
8.3. Prevenciniai veiksmai
Organizacija turi nustatyti veiksmus, būtinus pašalinti galimų neatitikimų ISMS reikalavimams priežastis, kad jos nepasikartotų. Prevenciniai veiksmai turi būti proporcingi galimų problemų pasekmėms. Dokumentuose patvirtintoje prevencinių veiksmų procedūroje turi būti nurodyti reikalavimai:
a) nustatyti galimus neatitikimus ir jų priežastis;
b) įvertinti būtinybę imtis veiksmų, kad būtų išvengta neatitikimų;
c) būtinų prevencinių veiksmų nustatymas ir įgyvendinimas;
d) įrašai apie atliktų veiksmų rezultatus (žr. 4.3.3);
e) peržiūrint veiksmų, kurių buvo imtasi, rezultatus.
Organizacija nustato rizikos vertinimo pokyčius ir nustato reikalavimus prevenciniams veiksmams, ypatingą dėmesį skirdama reikšmingai pasikeitusiems rizikos kiekybiniams įvertinimams.
Prevencinių veiksmų įgyvendinimo prioritetai turėtų būti nustatomi remiantis rizikos vertinimo rezultatais.
PASTABA Apskritai, neatitikimų prevencijos veiksmų išlaidos yra ekonomiškesnės nei korekciniai veiksmai.
Informacinių technologijų pasaulyje prioritetu tampa informacijos vientisumo, patikimumo ir konfidencialumo užtikrinimo klausimas. Todėl pripažinti informacijos saugumo valdymo sistemos (ISMS) poreikį organizacijoje yra strateginis sprendimas.
Sukurta kurti, įgyvendinti, prižiūrėti ir Nuolatinis tobulinimas ISMS įmonėje Taip pat, pritaikius šį Standartą, išorės partneriams tampa akivaizdu, kad organizacija gali atitikti savo keliamus informacijos saugumo reikalavimus. Šiame straipsnyje bus aptariami pagrindiniai standarto reikalavimai ir jo struktūra.
(ADV31)
Pagrindiniai ISO 27001 standarto tikslai
Prieš pradėdami apibūdinti Standarto struktūrą, nurodykime pagrindines jo užduotis ir apsvarstykite Standarto atsiradimo Rusijoje istoriją.
Standarto tikslai:
- nustatyti vienodus reikalavimus visoms organizacijoms kurti, diegti ir tobulinti ISMS;
- aukščiausios vadovybės ir darbuotojų sąveikos užtikrinimas;
- informacijos konfidencialumo, vientisumo ir prieinamumo palaikymas.
Tuo pačiu metu Standarto nustatyti reikalavimai yra bendrieji ir skirti taikyti bet kuriai organizacijai, nepaisant jos tipo, dydžio ar pobūdžio.
Standarto istorija:
- 1995 m. Britų standartų institutas (BSI) priėmė Informacijos saugumo valdymo kodeksą kaip JK nacionalinį standartą ir įregistravo jį numeriu BS 7799 – 1 dalis.
- 1998 m. BSI išleidžia BS7799-2, kurį sudaro dvi dalys, iš kurių viena apima veiklos kodeksą, o kita – reikalavimus informacijos saugumo valdymo sistemoms.
- Atliekant vėlesnius pakeitimus, pirmoji dalis buvo paskelbta kaip BS 7799:1999, 1 dalis. 1999 metais ši standarto versija buvo pateikta Tarptautinei sertifikavimo organizacijai.
- Šis dokumentas buvo patvirtintas 2000 m. kaip tarptautinis standartas ISO/IEC 17799:2000 (BS 7799-1:2000). Naujausia šio standarto versija, priimta 2005 m., yra ISO/IEC 17799:2005.
- 2002 m. rugsėjį įsigaliojo BS 7799 antroji dalis „Informacijos saugumo valdymo sistemos specifikacija“. Antroji BS 7799 dalis buvo peržiūrėta 2002 m., o 2005 m. pabaigoje ISO priimta kaip tarptautinis standartas ISO/IEC 27001:2005 „Informacinės technologijos – Saugumo praktika – Informacijos saugumo valdymo sistemos – Reikalavimai“.
- 2005 m. ISO/IEC 17799 standartas buvo įtrauktas į 27-ąją standartų seriją ir gavo naujas numeris– ISO/IEC 27002:2005.
- 2013-09-25 atnaujintas standartas ISO/IEC 27001:2013 „Informacijos saugumo valdymo sistemos. Reikalavimai“. Šiuo metu organizacijos sertifikuojamos pagal šią standarto versiją.
Standarto struktūra
Vienas iš šio standarto privalumų yra jo struktūros panašumas į ISO 9001, nes jame yra identiškos poskyrių antraštės, identiškas tekstas, bendri terminai ir pagrindiniai apibrėžimai. Ši aplinkybė taupo laiką ir pinigus, nes dalis dokumentacijos jau buvo parengta sertifikuojant pagal ISO 9001.
Jei mes kalbame apie standarto struktūrą, tai yra ISMS reikalavimų, kurie yra privalomi sertifikavimui, sąrašas, kurį sudaro šie skyriai:
| Pagrindiniai skyriai | A priedas |
|---|---|
| 0. Įvadas | A.5 Informacijos saugumo politika |
| 1 naudojimo sritis | A.6 Informacijos saugumo organizavimas |
| 2. Teisės aktų nuorodos | A.7 Žmogiškųjų išteklių (personalo) sauga |
| 3. Terminai ir apibrėžimai | A.8 Turto valdymas |
| 4. Organizacijos kontekstas | A.9 Prieigos kontrolė |
| 5. Lyderystė | A.10 Kriptografija |
| 6. Planavimas | A.11 Fizinis saugumas ir aplinkos apsauga |
| 7. Parama | A.12 Eksploatacijos saugumas |
| 8. Operacijos (operacija) | A.13 Ryšių saugumas |
| 9. Veiklos įvertinimas (matavimas). | A.14 Informacinių sistemų įsigijimas, kūrimas ir priežiūra |
| 10. Tobulinimas (tobulėjimas) | A.15 Santykiai su tiekėjais |
| A.16 Incidentų valdymas | |
| A.17 Veiklos tęstinumo užtikrinimas | |
| A.18 Teisės laikymasis |
„A priedo“ reikalavimai yra privalomi, tačiau standartas leidžia neįtraukti sritis, kurių negalima taikyti įmonėje.
Diegiant Standartą įmonėje tolimesniam sertifikavimui, verta atsiminti, kad išimtys iš reikalavimų, nustatytų 4–10 skyriuose, neleidžiamos.Šie skyriai bus aptariami toliau.
Pradėkime nuo 4 skyriaus – Organizacinis kontekstas
Organizacijos kontekstas
Šiame skirsnyje standartas reikalauja, kad organizacija nustatytų išorines ir vidines problemas, kurios yra svarbios jos tikslams ir turi įtakos jos ISMS gebėjimui pasiekti laukiamų rezultatų. Tai turėtų būti atliekama atsižvelgiant į teisės aktų ir reguliavimo reikalavimus bei sutartinius įsipareigojimus dėl informacijos saugumo. Organizacija taip pat turėtų apibrėžti ir dokumentuoti ISMS taikymo sritį ir pritaikymą, kad nustatytų jo taikymo sritį.
Vadovavimas
Aukščiausioji vadovybė turėtų parodyti lyderystę ir įsipareigojimą informacijos saugumo valdymo sistemai, pavyzdžiui, užtikrindama, kad informacijos saugumo politika ir informacijos saugumo tikslai būtų nustatyti ir suderinti su organizacijos strategija. Be to, aukščiausioji vadovybė turėtų užtikrinti, kad būtų pateikti visi ISMS reikalingi ištekliai. Kitaip tariant, darbuotojams turėtų būti akivaizdu, kad vadovybė yra susijusi su informacijos saugumo klausimais.
Informacijos saugumo politika turi būti dokumentuojama ir supažindinta su darbuotojais. Šis dokumentas primena kokybės politiką ISO 9001. Jis taip pat turi atitikti organizacijos tikslą ir apimti informacijos saugumo tikslus. Na, jei tai tikri tikslai, pavyzdžiui, informacijos konfidencialumo ir vientisumo palaikymas.
Taip pat tikimasi, kad vadovybė paskirstys su informacijos saugumu susijusias funkcijas ir pareigas tarp darbuotojų.
Planavimas
Šioje skiltyje pasiekiame pirmąjį PDCA (Plan – Daryk – Tikrin – Veik) valdymo principo etapą – planuok, daryk, patikrink, veik.
Planuodama informacijos saugumo valdymo sistemą, organizacija turi atsižvelgti į 4 punkte paminėtus klausimus ir nustatyti rizikas bei galimybes, į kurias reikia atsižvelgti, kad ISMS galėtų pasiekti laukiamų rezultatų, užkirsti kelią nepageidaujamam poveikiui ir nuolat tobulėti. .
Planuodama, kaip pasiekti informacijos saugumo tikslus, organizacija turėtų nustatyti:
- kas bus daroma;
- kokių išteklių reikės;
- kas bus atsakingas;
- kada bus pasiekti tikslai;
- kaip bus vertinami rezultatai.
Be to, organizacija turėtų saugoti duomenis apie informacijos saugumo tikslus kaip dokumentuotą informaciją.
Saugumas
Organizacija turi nustatyti ir suteikti išteklius, reikalingus ISMS sukurti, įgyvendinti, prižiūrėti ir nuolat tobulinti, įskaitant personalą ir dokumentaciją. Kalbant apie personalą, organizacija turėtų įdarbinti kvalifikuotus ir kompetentingus informacijos saugos darbuotojus. Darbuotojų kvalifikacija turi būti patvirtinta pažymėjimais, diplomais ir kt. Galima pagal sutartį pritraukti trečiųjų šalių specialistus arba apmokyti savo darbuotojus. Kalbant apie dokumentus, tai turėtų apimti:
- Standarto reikalaujama dokumentuota informacija;
- dokumentuota informacija, kurią organizacija nustato kaip reikalinga informacijos saugumo valdymo sistemos veiksmingumui.
ISMS ir standarto reikalaujama dokumentuota informacija turi būti kontroliuojama siekiant užtikrinti, kad ji:
- prieinamas ir naudojamas kur ir kada reikia, ir
- tinkamai apsaugoti (pavyzdžiui, nuo konfidencialumo praradimo, netinkamo naudojimo ar vientisumo praradimo).
Veikimas
Šiame skyriuje kalbama apie antrąjį PDCA valdymo principo žingsnį – būtinybę organizacijai valdyti procesus, kad būtų užtikrintas atitikimas, bei vykdyti Planavimo skyriuje nurodytas veiklas. Jame taip pat teigiama, kad organizacija turėtų atlikti informacijos saugumo rizikos vertinimą numatytais laiko tarpais arba pasiūlius ar įvykus reikšmingiems pakeitimams. Organizacija saugos informacijos saugumo rizikos vertinimo rezultatus kaip dokumentais pagrįstą informaciją.
Veiklos vertinimas
Trečiasis etapas yra patikrinimas. Organizacija turi įvertinti ISMS veikimą ir efektyvumą. Pavyzdžiui, ji turėtų atlikti vidaus auditą, kad gautų informaciją apie
- ar informacijos saugumo valdymo sistema atitinka
- pačios organizacijos reikalavimus savo informacijos saugumo valdymo sistemai;
- Standarto reikalavimus;
- kad informacijos saugumo valdymo sistema būtų efektyviai įdiegta ir veikianti.
Žinoma, auditų apimtį ir laiką reikėtų planuoti iš anksto. Visi rezultatai turi būti dokumentuojami ir saugomi.
Tobulinimas
Šio skyriaus tikslas – apibrėžti veiksmų eigą, kai nustatoma neatitiktis. Organizacija turi ištaisyti neatitikimą, pasekmes ir atlikti situacijos analizę, kad taip nenutiktų ateityje. Visi neatitikimai ir korekciniai veiksmai turi būti dokumentuojami.
Taip baigiamos pagrindinės standarto dalys. A priede pateikiami konkretesni reikalavimai, kuriuos turi atitikti organizacija. Pavyzdžiui, kalbant apie prieigos kontrolę, naudojimą mobiliuosius įrenginius ir informacijos nešėjai.
ISO 27001 diegimo ir sertifikavimo privalumai
- organizacijos statuso ir atitinkamai partnerių pasitikėjimo kėlimas;
- organizacijos funkcionavimo stabilumo didinimas;
- apsaugos nuo informacijos saugumo grėsmių lygio didinimas;
- būtino suinteresuotųjų šalių informacijos konfidencialumo lygio užtikrinimas;
- plečiamos organizacijos galimybės dalyvauti sudarant pagrindines sutartis.
Ekonominė nauda yra tokia:
- nepriklausomas sertifikavimo įstaigos patvirtinimas dėl buvimo organizacijoje aukštas lygis kompetentingo personalo kontroliuojamas informacijos saugumas;
- galiojančių įstatymų ir norminių aktų laikymosi įrodymas (atitiktis privalomų reikalavimų sistemai);
- tam tikro aukšto lygio vadybos sistemų demonstravimas, užtikrinantis tinkamą klientų ir organizacijos partnerių aptarnavimo lygį;
- Reguliarus valdymo sistemų audito, veiklos vertinimo ir nuolatinio tobulinimo demonstravimas.
Sertifikavimas
Organizaciją pagal šį standartą gali sertifikuoti akredituotos agentūros. Sertifikavimo procesas susideda iš trijų etapų:
- 1 etapas - pagrindinių ISMS dokumentų auditoriaus tyrimas dėl atitikimo Standarto reikalavimams - gali būti atliekamas tiek organizacijos teritorijoje, tiek perduodant šiuos dokumentus išorės auditoriui;
- 2 etapas – detalus auditas, įskaitant įgyvendintų priemonių testavimą ir jų efektyvumo įvertinimą. Apima visą standarto reikalaujamų dokumentų tyrimą;
- 3 etapas – priežiūros audito atlikimas, siekiant patvirtinti, kad sertifikuota organizacija atitinka nurodytus reikalavimus. Atliekamas periodiškai.
Rezultatas
Kaip matote, šio standarto naudojimas įmonėje leis kokybiškai padidinti informacijos saugumo lygį, kuris šiandieninėje realybėje yra labai vertas. Standarte daug reikalavimų, bet svarbiausias reikalavimas – daryti tai, kas parašyta! Realiai netaikant standarto reikalavimų, jis virsta tuščiu popieriaus lapų rinkiniu.
(ISMS)- ta bendros valdymo sistemos dalis, kuri remiasi verslo rizikos požiūriu kuriant, įgyvendinant, eksploatuojant, stebint, analizuojant, palaikant ir tobulinant informacijos saugumą.Jei pastatas atitinka ISO / IEC_27001 reikalavimus, jis pagrįstas PDCA modeliu:
- planą(Planavimas) - ISMS kūrimo, turto sąrašo sudarymo, rizikos įvertinimo ir priemonių pasirinkimo etapas;
- Daryk(Veiksmas) – atitinkamų priemonių įgyvendinimo ir įgyvendinimo etapas;
- Patikrinti(Patikrinimas) – ISMS efektyvumo ir veiklos vertinimo fazė. Dažniausiai atlieka vidaus auditoriai.
- veikti(Patobulinimai) - prevencinių ir korekcinių veiksmų įgyvendinimas;
Informacijos saugumo samprata
ISO 27001 standartas informacijos saugumą apibrėžia kaip: „informacijos konfidencialumo, vientisumo ir prieinamumo išsaugojimą; be to, gali būti įtrauktos ir kitos savybės, pvz., autentiškumas, neginčijamumas, patikimumas.
Konfidencialumas – užtikrinti, kad informacija būtų prieinama tik tiems, kurie turi atitinkamą įgaliojimą (įgalioti vartotojai).
Sąžiningumas – informacijos tikslumo ir išsamumo bei jos apdorojimo būdų užtikrinimas.
Prieinamumas – prireikus suteikti prieigą prie informacijos įgaliotiems vartotojams (pagal pareikalavimą).
4 Informacijos saugumo valdymo sistema
4.1 Bendrieji reikalavimai
Organizacija turi nustatyti, įgyvendinti, naudoti, kontroliuoti, peržiūrėti, prižiūrėti ir tobulinti dokumentuotas ISMS nuostatas visoje organizacijos verslo veikloje ir su jai kylančia rizika. Dėl praktinės naudos tai Tarptautinis standartas naudojamas procesas yra pagrįstas PDCA modeliu, parodytu fig. vienas.
4.2 ISMS kūrimas ir valdymas
4.2.1 ISMS sukūrimas
Organizacija turi atlikti šiuos veiksmus.
a) Atsižvelgdama į organizacijos veiklos ypatybes, pati organizacija, jos vieta, turtas ir technologija, nustatykite ISMS apimtį ir ribas, įskaitant detales ir pagrindimus, kodėl bet kurios dokumento nuostatos neįtraukiamos į ISMS projektą (žr. 1.2). .
b) Atsižvelgdami į organizacijos veiklos ypatumus, pačią organizaciją, jos vietą, turtą ir technologijas, parengti ISMS politiką, kuri:
1) apima tikslų (užduočių) nustatymo sistemą ir nustato bendrą informacijos saugumo valdymo kryptį ir veiksmų principus;
2) atsižvelgia į verslo ir teisinius ar normatyvinius reikalavimus, sutartinius įsipareigojimus užtikrinti užtikrinimą;
3) prijungtas prie strateginės rizikos valdymo aplinkos, kurioje vyksta ISMS kūrimas ir priežiūra;
4) nustato kriterijus, pagal kuriuos bus vertinama rizika (žr. 4.2.1 c punktą); ir
5) patvirtinta vadovybės.
PASTABA: Šiame tarptautiniame standarte ISMS politika laikoma išplėstiniu informacijos saugos strategijų rinkiniu. Šias taisykles galima aprašyti viename dokumente.
c) Sukurti rizikos vertinimo koncepciją organizacijoje.
1) Nustatyti rizikos vertinimo metodiką, atitinkančią ISMS ir nustatytus verslo informacijos saugumo, teisinius ir reguliavimo reikalavimus.
2) Sukurti rizikos priimtinumo kriterijus ir nustatyti priimtinus rizikos lygius (žr. 5.1f).
Pasirinkta rizikos vertinimo metodika turėtų užtikrinti, kad rizikos vertinimo rezultatai būtų palyginami ir atkuriami.
PASTABA: Yra įvairių rizikos vertinimo metodikų. Rizikos vertinimo metodikų pavyzdžiai aptariami ISO/IEC TR 13335-3, Informacinės technologijos – Rekomendacijos vadybaiITSauga – valdymo metodaiITSaugumas.
d) Nustatykite riziką.
1) Apibrėžkite turtą pagal ISMS nuostatas ir savininkus2 (2 Sąvoka „savininkas“ tapatinama su asmeniu arba subjektu, kuris yra patvirtintas atsakingas už gamybos, plėtros kontrolę, Priežiūra, taikomųjų programų ir turto saugumas. Sąvoka „savininkas“ nereiškia, kad asmuo faktiškai turi nuosavybės teises į tą turtą).
2) Nustatykite šio turto pavojų.
3) Nustatykite apsaugos sistemos pažeidžiamumą.
4) Nustatyti poveikį, kuris naikina turto konfidencialumą, vientisumą ir prieinamumą.
e) Analizuoti ir įvertinti riziką.
1) Įvertinti žalą organizacijos verslui, kurią gali sukelti apsaugos sistemos gedimas, taip pat konfidencialumo, vientisumo ar turto prieinamumo pažeidimo pasekmes.
2) Nustatykite saugumo gedimo tikimybę, atsižvelgdami į vyraujančius pavojus ir pažeidžiamumą, su turtu susijusius streikus ir šiuo metu įdiegtas kontrolės priemones.
3) Įvertinkite rizikos lygius.
4) Nustatykite rizikos priimtinumą arba reikalaukite ją sumažinti, naudodami rizikos priimtinumo kriterijus, nurodytus 4.2.1c-2).
f) nustatyti ir įvertinti rizikos mažinimo priemones.
Galimi veiksmai:
1) tinkamų valdiklių taikymas;
2) Sąmoningas ir objektyvus rizikos priėmimas, užtikrinant, kad ji besąlygiškai atitiktų organizacijos politikos ir rizikos priimtinumo kriterijų reikalavimus (žr. 4.2.1c-2));
3) Rizikos vengimas; ir
4) Atitinkamos verslo rizikos perdavimas kitai šaliai, pvz., draudimo bendrovėms, tiekėjams.
g) Pasirinkite užduotis ir kontrolės priemones, kad sumažintumėte riziką.
Užduotys ir kontrolės priemonės turėtų būti parenkamos ir įgyvendinamos pagal rizikos vertinimo ir rizikos mažinimo proceso nustatytus reikalavimus. Renkantis reikia atsižvelgti tiek į rizikos tolerancijos kriterijus (žr. 4.2.1c-2)), tiek į teisinius, reguliavimo ir sutartinius reikalavimus.
Užduotys ir valdikliai iš A priedo turėtų būti atrinkti kaip šio proceso dalis ir atitikti nurodytus reikalavimus.
Kadangi ne visos užduotys ir valdikliai yra išvardyti A priede, galima pasirinkti papildomų.
PASTABA: A priede pateikiamas išsamus kontrolės tikslų, kurie buvo nustatyti kaip svarbiausi organizacijoms, sąrašas. Kad nepraleistumėte nė vieno svarbaus kontrolės parinkčių punkto, šio tarptautinio standarto naudotojai turėtų remtis A priedu kaip imties kontrolės pradžios tašku.
h) Gauti patvirtinimą dėl numanomos liekamosios rizikos valdymo.
4) palengvinti saugumo įvykių aptikimą ir tokiu būdu, naudojant tam tikrus rodiklius, užkirsti kelią saugumo incidentams; ir
5) nustato veiksmų, kurių buvo imtasi siekiant užkirsti kelią saugumo pažeidimui, efektyvumą.
b) reguliariai atlikti ISMS efektyvumo peržiūras (įskaitant ISMS politikos ir jos tikslų aptarimą, saugumo kontrolės peržiūrą), atsižvelgdami į auditų rezultatus, incidentus, veiklos vertinimo rezultatus, visų suinteresuotų šalių pasiūlymus ir rekomendacijas. .
c) Įvertinkite kontrolės priemonių efektyvumą, kad nustatytų, ar laikomasi saugos reikalavimų.
d) Patikrinkite planuojamų laikotarpių rizikos vertinimą ir likutinę riziką bei toleruotinos rizikos lygius, atsižvelgdami į pokyčius:
1) organizacijos;
2) technologija;
3) verslo tikslai ir procesai;
4) nustatytos grėsmės;
5) įgyvendintų kontrolės priemonių efektyvumą; ir
6) išoriniai įvykiai, tokie kaip teisinės ir valdymo aplinkos pokyčiai, pasikeitę sutartiniai įsipareigojimai, socialinio klimato pokyčiai.
e) Elgesys vidaus auditai ISMS numatytais laikotarpiais (žr. 6)
PASTABA: Vidiniai auditai, kartais vadinami pirminiais auditais, atliekami pačios organizacijos vardu jos tikslais.
f) Reguliariai peržiūrėkite ISMS valdymą, kad įsitikintumėte, jog padėtis išlieka tinkama ir ISMS yra patobulinta.
g) Atnaujinkite saugos planus pagal stebėjimo ir peržiūros išvadas.
h) Įrašykite veiklą ir įvykius, kurie gali turėti įtakos ISMS efektyvumui arba veikimui (žr. 4.3.3).
4.2.4 ISMS priežiūra ir tobulinimas
Organizacija turi nuolat atlikti šiuos veiksmus.
a) Įdiekite konkrečius ISMS pataisymus.
b) Imkitės atitinkamų korekcinių ir prevencinių veiksmų pagal 8.2 ir 8.3 punktus. Taikyti pačios organizacijos sukauptas ir iš kitų organizacijų patirties gautas žinias.
c) Praneškite apie savo veiksmus ir patobulinimus visiems suinteresuotosios šalys situaciją atitinkančiu detalumo laipsniu; ir atitinkamai koordinuoti savo veiksmus.
d) Užtikrinti, kad patobulinimai pasiektų numatytą tikslą.
4.3 Reikalavimai dokumentacijai
4.3.1 Bendra
Dokumentuose turi būti protokolai (įrašai) valdymo sprendimai, įtikinti, kad būtinybė imtis veiksmų kyla dėl vadovybės sprendimų ir politikos; ir užtikrinti įrašytų rezultatų atkuriamumą.
Svarbu mokėti pademonstruoti Atsiliepimas pasirinktos kontrolės priemonės su rizikos vertinimo ir mažinimo procesų rezultatais, o toliau – su ISMS politika ir jos tikslais.
ISMS dokumentacijoje turėtų būti:
a) dokumentuoti ISMS politikos ir tikslų teiginiai (žr. 4.2.1b));
b) ISMS teikimas (žr. 4.2.1a));
c) koncepcija ir valdikliai, skirti palaikyti ISMS;
d) rizikos vertinimo metodikos aprašymas (žr. 4.2.1c punktą);
e) rizikos vertinimo ataskaita (žr. 4.2.1c)–4.2.1g));
f) rizikos mažinimo planas (žr. 4.2.2b));
g) dokumentais pagrįstą koncepciją, reikalinga organizacija užtikrinti savo informacijos saugos procesų planavimo, veikimo ir valdymo efektyvumą ir aprašyti, kaip išmatuoti kontrolės efektyvumą (žr. 4.2.3c));
h) pagal šį tarptautinį standartą reikalaujamus dokumentus (žr. 4.3.3); ir
i) Pareiškimas apie taikymą.
1 PASTABA: Šiame tarptautiniame standarte sąvoka „dokumentuota koncepcija“ reiškia, kad koncepcija įgyvendinama, dokumentuojama, vykdoma ir jos laikomasi.
2 PASTABA: ISMS dokumentacijos dydis įvairiose organizacijose gali skirtis priklausomai nuo:
Organizacijos dydis ir jos turto tipas; ir
Saugos reikalavimų ir valdomos sistemos mastas ir sudėtingumas.
3 PASTABA: Dokumentai ir ataskaitos gali būti pateikiami bet kokia forma.
4.3.2 Dokumentų kontrolė
ISMS reikalingi dokumentai turi būti apsaugoti ir tvarkomi. Būtina patvirtinti dokumentacijos tvarką, reikalingą valdymo veiksmams aprašyti:
a) nustatyti, ar dokumentai atitinka tam tikrus standartus prieš juos paskelbiant;
b) dokumentų tikrinimas ir prireikus atnaujinimas, dokumentų pakartotinis tvirtinimas;
c) užtikrinti, kad pakeitimai atitiktų esamą peržiūrėtų dokumentų būklę;
d) pateikti svarbias galiojančių dokumentų versijas;
e) užtikrinti, kad dokumentai būtų suprantami ir įskaitomi;
f) pateikti dokumentus tiems, kuriems jų reikia; taip pat jų perkėlimas, saugojimas ir galutinis sunaikinimas, laikantis procedūrų, taikomų atsižvelgiant į jų klasifikaciją;
g) dokumentų autentiškumo patvirtinimas iš išorinių šaltinių;
h) dokumentų platinimo kontrolė;
i) užkirsti kelią netyčiniam pasenusių dokumentų naudojimui; ir
j) atitinkamo identifikavimo metodo taikymas, jei jie saugomi bet kuriuo atveju.
4.3.3 Įrašų valdymas
Įrašai turėtų būti kuriami ir tvarkomi siekiant užtikrinti atitiktį reikalavimams ir veiksmingą ISMS veikimą. Įrašai turi būti apsaugoti ir patikrinti. ISMS turėtų atsižvelgti į visus teisinius ir reguliavimo reikalavimus bei sutartinius įsipareigojimus. Įrašai turi būti suprantami, lengvai atpažįstami ir atkuriami. Kontrolės priemonės, reikalingos įrašams identifikuoti, saugoti, apsaugoti, gauti, saugoti ir sunaikinti, turėtų būti dokumentuojamos ir įdiegtos.
Į įrašus turėtų būti įtraukta informacija apie 4.2 punkte aprašytos veiklos įgyvendinimą ir visus su ISMS susijusius incidentus ir saugai svarbius incidentus.
Įrašų pavyzdžiai yra svečių knyga, audito takai ir užpildytos prieigos teisės formos.
Teisingai, nepatogu. Pranešėme apie netrukus pasirodysiantį ISO 45001 standartą, kuris turėtų pakeisti dabar galiojantį darbo apsaugos vadybos standartą OHSAS 18001, jie sakė, kad jo reikėtų laukti 2016 metų pabaigoje... Artėja vidurnaktis, bet Hermano vis dar nebėra. Laikas pripažinti – ISO 45001 vėluoja. Tiesa, dėl rimtų priežasčių. Ekspertų bendruomenė jam turėjo per daug klausimų. […]
Planuojamas dvigubas straipsnis. Tarptautinė organizacija dėl standartizacijos aiškiai išreiškė savo poziciją dėl savo standartų ženklinimo ant gaminių – ISO sako „ne“. Tačiau verslininkai nori vis dar nori tai daryti. Kaip jie gali būti? Kodėl gi ne, tikrai? Klausimo pagrindas yra toks. Kaip suprantate, ISO standartai nėra tiesiogiai susiję su produktais, kuriuos gamina pagal juos sertifikuotos įmonės. […]
Paimkime temą. Paskutiniame straipsnyje pradėjome kalbėti apie aštuonis KVS principus. Principai, kuriais remiantis kuriama bet kokia kokybės vadybos sistema. Mūsų tikslas – išversti šiuos principus iš verslo koučerių kalbos į žmonių kalbą. Kad iš jų tikrai gautumėte naudos. Kalbėjomės apie orientaciją į vartotoją. Jie kalbėjo apie tai, kaip pagaminti ne „kažką […]
Daugelis žmonių kalba apie kokybės valdymą. Bet kažkodėl sako taip, kad galiausiai niekas neaišku. Taigi, kokybės valdymas lieka žodžiais. Per daug protingi žodžiai. Išverskime juos į normalią kalbą ir supraskime, kaip kokybės vadybos principai iš tiesų padeda gerinti įmonės veiklą. Apsieikime be ilgų preliudijų. Iš viso dabartinės kokybės vadybos sistemos, iš kurių populiariausios […]
Projektų valdymas... Esu tikras, kad yra daug žmonių, kurie per ilgai kalbasi su visokiais verslo konsultantais – o dabar nuo vienos tokios frazės pradeda šiek tiek pykinti. Ką daryti? Išmeskime iš galvos verslo konsultantus ir išsakykime reikalą neprofesionaliai. Projektų valdymas nebūtinai yra žmogus baltais marškiniais, kuris braižo sudėtingas diagramas ir struktūrines schemas su […]
GOST R ISO / IEC 27001-2006 " Informacinės technologijos. Saugumo užtikrinimo būdai ir priemonės. Informacijos saugumo valdymo sistemos. Reikalavimai"
Standarto kūrėjai pažymi, kad jis buvo parengtas kaip informacijos saugumo valdymo sistemos (ISVS) kūrimo, diegimo, eksploatavimo, stebėjimo, analizės, priežiūros ir tobulinimo modelis. ISMS (angl. – information security management system; ISMS) apibrėžiama kaip bendros valdymo sistemos dalis, pagrįsta verslo rizikos vertinimo metodų naudojimu kuriant, diegiant, eksploatuojant, stebint, analizuojant, remiant ir tobulinant informacijos saugumą. Valdymo sistema apima organizacinė struktūra, politika, planavimo veikla, atsakomybės paskirstymas, praktinė veikla, procedūras, procesus ir išteklius.
Standartas numato proceso metodo naudojimą kuriant, diegiant, prižiūrint, stebint, analizuojant, prižiūrint ir tobulinant organizacijos ISMS. Jis pagrįstas planu – daryk – patikrink – veik (PDCA) modeliu, kurį galima pritaikyti struktūrizuojant visus ISMS procesus. Ant pav. 4.4 paveiksle parodyta, kaip ISMS, naudodama informacijos saugos reikalavimus ir suinteresuotųjų šalių laukiamus rezultatus kaip įvestį, sukuria informacijos saugos rezultatus, atitinkančius tuos reikalavimus ir laukiamus rezultatus, atlikdama būtinas veiklas ir procesus.
Ryžiai. 4.4.
Scenoje „Informacijos saugumo valdymo sistemos kūrimas“ organizacija turi atlikti šiuos veiksmus:
- - nustatyti ISMS apimtį ir ribas;
- — apibrėžti ISMS politiką, pagrįstą verslo, organizacijos, vietos, turto ir technologijos ypatumais;
- — nustatyti rizikos vertinimo metodą organizacijoje;
- - nustatyti rizikas;
- - analizuoti ir įvertinti rizikas;
- — nustatyti ir įvertinti įvairias rizikos gydymo galimybes;
- — pasirinkti rizikos valdymo tikslus ir kontrolės priemones;
- - gauti vadovybės patvirtinimą dėl numatomos likusios rizikos;
- - gauti vadovybės leidimą diegti ir eksploatuoti ISMS;
- - parengti taikymo reglamentus.
Scena" Informacijos saugumo valdymo sistemos diegimas ir veikimas“ reikalauja, kad organizacija:
- — parengti rizikos valdymo planą, kuriame būtų apibrėžiami tinkami valdymo veiksmai, ištekliai, atsakomybė ir informacijos saugumo rizikos valdymo prioritetai;
- - įgyvendinti rizikos valdymo planą, kad būtų pasiekti numatyti valdymo tikslai, įskaitant finansavimo klausimus, taip pat funkcijų ir atsakomybės paskirstymą;
- - įgyvendinti pasirinktas valdymo priemones;
- — nustatyti, kaip bus matuojamas pasirinktų kontrolės priemonių veiksmingumas;
- - įgyvendinti darbuotojų mokymo ir kvalifikacijos tobulinimo programas;
- - vadovauti ISMS darbui;
- - valdyti ISMS išteklius;
- — įgyvendinti procedūras ir kitas valdymo priemones, užtikrinančias greitą IS įvykių aptikimą ir reagavimą į IS incidentus.
Trečiasis etapas Informacijos saugumo valdymo sistemos stebėjimas ir analizė“ reikalauja:
- - atlikti stebėsenos ir analizės procedūras;
- - reguliariai atlikti ISMS efektyvumo analizę;
- - išmatuoti kontrolės priemonių efektyvumą siekiant patikrinti, ar laikomasi informacijos saugumo reikalavimų;
- — nustatytais laiko tarpais peržiūrėti rizikos vertinimus, peržiūrėti likutinę riziką ir nustatytus priimtinus rizikos lygius, atsižvelgiant į pokyčius;
- — nustatytais laiko tarpais atlikti vidinius ISMS auditus;
- - reguliariai atlikti organizacijos vadovybės vykdomą ISMS analizę, siekiant patvirtinti sistemos veikimo adekvatumą ir nustatyti tobulintinas sritis;
- - atnaujinti informacijos saugumo planus, atsižvelgiant į analizės ir stebėsenos rezultatus;
- - įrašyti veiksmus ir įvykius, kurie gali turėti įtakos ISMS efektyvumui ar veikimui.
Ir galiausiai scena „Informacijos saugumo valdymo sistemos palaikymas ir tobulinimas“ siūlo, kad organizacija reguliariai vykdytų šią veiklą:
- - nustatyti ISMS tobulinimo galimybes;
- - imtis reikiamų korekcinių ir prevencinių veiksmų, praktiškai panaudoti tiek savo, tiek kitose organizacijose įgytą informacijos saugumo užtikrinimo patirtį;
- - perduoti išsamią informaciją apie veiksmus ISMS tobulinti visoms suinteresuotoms šalims, o detalumo lygis turi atitikti aplinkybes ir, jei reikia, susitarti dėl tolesnių veiksmų;
- — užtikrinti, kad ISMS patobulinimai būtų įgyvendinami siekiant suplanuotų tikslų.
Be to, standartas numato reikalavimus dokumentacijai, į kurią turi būti įtrauktos ISMS politikos nuostatos ir veiklos apimties aprašymas, metodikos aprašymas ir rizikos vertinimo ataskaita, rizikos gydymo planas ir susijusių procedūrų dokumentacija. Taip pat turėtų būti apibrėžtas ISMS dokumentų valdymo procesas, įskaitant atnaujinimą, naudojimą, saugojimą ir naikinimą.
Norint pateikti ISMS reikalavimų laikymosi ir ISMS veikimo efektyvumo įrodymus, būtina palaikyti ir prižiūrėti Sąskaitos ir procesų vykdymo įrašai. Pavyzdžiai yra lankytojų žurnalai, audito ataskaitos ir kt.
Standartas nurodo, kad organizacijos vadovybė yra atsakinga už išteklių, reikalingų ISMS sukurti, suteikimą ir valdymą, taip pat už personalo mokymo organizavimą.
Kaip minėta anksčiau, organizacija, vadovaudamasi patvirtintu grafiku, turi atlikti vidinius ISMS auditus, kad įvertintų jos funkcionalumą ir atitiktį standartui. Ir vadovybė turėtų peržiūrėti informacijos saugumo valdymo sistemą.
Taip pat reikėtų tobulinti informacijos saugumo valdymo sistemą: didinti jos efektyvumą ir atitikties esamai sistemos būklei bei jai keliamiems reikalavimams lygį.
Gėlių vakarėlis: teigiamų emocijų puokštė
Mokytojų žodžiai sveikinimo scenoje tėvams
Kas yra kas pagal santykius Jos anyta uošvę vadina mama
Tavo mama yra mano anyta Mįslė anyta vadina mano uošve
Kaip sukurti sceną vestuvėms „Trys merginos po langu Komiška scena trys merginos