Activ Ediție din 27.12.2006

Numele documentului	"TEHNOLOGIA INFORMATIEI. METODE SI MIJLOACE DE SECURITATE. SISTEME DE MANAGEMENT AL SECURITATII INFORMATIEI. CERINTE. GOST R ISO/IEC 27001-2006"
Tipul documentului	ordine, standard, gost, izo
Corpul gazdă	Rostekhregulirovanie
numarul documentului	ISO/IEC 27001-2006
Data acceptarii	01.01.1970
Data revizuirii	27.12.2006
Data înregistrării în Ministerul Justiției	01.01.1970
stare	valabil
Publicare	La momentul includerii în baza de date, documentul nu a fost publicat
Navigator	Note

"TEHNOLOGIA INFORMATIEI. METODE SI MIJLOACE DE SECURITATE. SISTEME DE MANAGEMENT AL SECURITATII INFORMATIEI. CERINTE. GOST R ISO/IEC 27001-2006"

8. Îmbunătățirea sistemului de management securitatea informatiei

8.1. Imbunatatire continua

Organizația trebuie să îmbunătățească continuu eficacitatea ISMS prin rafinarea politicii de securitate a informațiilor, a obiectivelor de securitate a informațiilor, folosind rezultatele auditurilor, analizând evenimente controlate, acțiuni corective și preventive și folosind rezultatele revizuirii ISMS de către conducere (a se vedea clauza 7). ).

8.2. Acțiuni corective

Organizația trebuie să ia măsuri pentru eliminarea cauzelor neconformităților cu cerințele ISMS pentru a preveni reapariția acestora. O procedură de acțiune corectivă documentată trebuie să stabilească cerințe pentru:

a) identificarea neconformităților;

b) determinarea cauzelor neconformităţilor;

C) evaluarea necesității de acțiune pentru a evita reapariția neconformităților;

d) determinarea și implementarea acțiunilor corective necesare;

e) ținerea evidenței rezultatelor acțiunilor întreprinse (vezi 4.3.3);

f) revizuirea acțiunii corective întreprinse.

8.3. Acțiuni preventive

Organizația trebuie să determine acțiunile necesare pentru a elimina cauzele potențialelor neconformități cu cerințele ISMS pentru a preveni reapariția acestora. Acțiunile preventive întreprinse trebuie să fie proporționale cu consecințele potențialelor probleme. Procedura documentată pentru acțiunea preventivă întreprinsă va specifica cerințele pentru:

a) identificarea potenţialelor neconformităţi şi cauzele acestora;

b) evaluarea necesităţii de acţiune pentru prevenirea apariţiei neconformităţilor;

c) determinarea și implementarea acțiunii preventive necesare;

d) înregistrări ale rezultatelor acțiunii întreprinse (vezi 4.3.3);

e) revizuirea rezultatelor acţiunii întreprinse.

Organizația trebuie să identifice schimbările în evaluările riscurilor și să stabilească cerințe pentru acțiuni preventive, acordând o atenție deosebită cuantificărilor riscurilor modificate semnificativ.

Prioritățile privind implementarea acțiunilor preventive ar trebui stabilite pe baza rezultatelor evaluării riscurilor.

NOTĂ În general, costul acțiunii pentru prevenirea neconformităților este mai economic decât acțiunile corective.

În lumea tehnologiei informației, problema asigurării integrității, fiabilității și confidențialității informațiilor devine o prioritate. Prin urmare, recunoașterea necesității unui sistem de management al securității informațiilor (ISMS) într-o organizație este o decizie strategică.

Conceput pentru a crea, implementa, întreține și imbunatatire continua ISMS la întreprindere De asemenea, datorită aplicării acestui Standard, devine evidentă pentru partenerii externi capacitatea organizației de a îndeplini propriile cerințe de securitate a informațiilor. Acest articol va discuta principalele cerințe ale standardului și va discuta structura acestuia.

(ADV31)

Obiectivele principale ale standardului ISO 27001

Înainte de a trece la descrierea structurii standardului, să specificăm principalele sale sarcini și să luăm în considerare istoria apariției standardului în Rusia.

Obiectivele standardului:

• stabilirea cerințelor uniforme pentru toate organizațiile pentru a crea, implementa și îmbunătăți ISMS;
• asigurarea interactiunii dintre conducerea superioara si angajatii;
• menținerea confidențialității, integrității și disponibilității informațiilor.

Totodata, cerintele stabilite de Standard sunt generale si sunt destinate a fi aplicate de orice organizatie, indiferent de tipul, marimea sau natura acestora.

Istoria standardului:

• În 1995, Institutul Britanic de Standarde (BSI) a adoptat Codul de management al securității informațiilor ca standard național din Regatul Unit și l-a înregistrat sub numărul BS 7799 - Partea 1.
• În 1998, BSI publică BS7799-2, care constă din două părți, dintre care una include un cod de practică, iar cealaltă - cerințe pentru sistemele de management al securității informațiilor.
• În cursul revizuirilor ulterioare, prima parte a fost publicată ca BS 7799:1999, Partea 1. În 1999, această versiune a standardului a fost transmisă Organizației Internaționale de Certificare.
• Acest document a fost aprobat în 2000 ca standard internațional ISO/IEC 17799:2000 (BS 7799-1:2000). Cea mai recentă versiune a acestui standard, adoptată în 2005, este ISO/IEC 17799:2005.
• În septembrie 2002, a intrat în vigoare a doua parte a BS 7799 „Specificația sistemului de management al securității informațiilor”. A doua parte a BS 7799 a fost revizuită în 2002, iar la sfârșitul anului 2005 a fost adoptată de ISO ca standard internațional ISO/IEC 27001:2005 „Tehnologia informației – Practici de securitate – Sisteme de management al securității informațiilor – Cerințe”.
• În 2005, standardul ISO/IEC 17799 a fost inclus în a 27-a serie de standarde și a primit numar nou- ISO/IEC 27002:2005.
• La 25 septembrie 2013, standardul actualizat ISO/IEC 27001:2013 „Sisteme de management al securității informațiilor. Cerințe”. În prezent, organizațiile sunt certificate conform acestei versiuni a Standardului.

Structura standardului

Unul dintre avantajele acestui standard este similaritatea structurii sale cu ISO 9001, deoarece conține titluri identice de subsecțiuni, text identic, termeni comuni și definiții de bază. Această circumstanță economisește timp și bani, deoarece o parte din documentație a fost deja elaborată în timpul certificării conform ISO 9001.

Dacă vorbim despre structura Standardului, este o listă de cerințe ISMS care sunt obligatorii pentru certificare și constă din următoarele secțiuni:

Secțiunile principale	anexa a
0. Introducere	A.5 Politici de securitate a informațiilor
1 domeniu de utilizare	A.6 Organizarea securității informațiilor
2. Referințe normative	A.7 Siguranța resurselor umane (personal)
3. Termeni și definiții	A.8 Gestionarea activelor
4. Contextul organizaţiei	A.9 Controlul accesului
5. Conducere	A.10 Criptografia
6. Planificare	A.11 Securitatea fizică și protecția mediului
7. Suport	A.12 Securitate operațională
8. Operațiuni (Operațiune)	A.13 Securitatea comunicațiilor
9. Evaluarea (Măsurarea) performanței	A.14 Achiziția, dezvoltarea și întreținerea sistemelor informaționale
10. Îmbunătățire (Îmbunătățire)	A.15 Relații cu furnizorii
	A.16 Managementul incidentelor
	A.17 Asigurarea continuității afacerii
	A.18 Conformitate legală

Cerințele din „Anexa A” sunt obligatorii, dar standardul vă permite să excludeți zonele care nu pot fi aplicate la întreprindere.

La implementarea standardului la o întreprindere pentru certificare ulterioară, merită să ne amintim că nu sunt permise excepții de la cerințele stabilite în secțiunile 4 - 10. Aceste secțiuni vor fi discutate în continuare.

Să începem cu Secțiunea 4 – Contextul organizațional

Contextul organizației

În această secțiune, Standardul cere unei organizații să identifice problemele externe și interne care sunt relevante pentru obiectivele sale și care afectează capacitatea ISMS de a obține rezultatele așteptate. Acest lucru ar trebui să ia în considerare cerințele legale și de reglementare și obligațiile contractuale privind securitatea informațiilor. De asemenea, organizația ar trebui să definească și să documenteze domeniul de aplicare și aplicabilitatea ISMS pentru a stabili domeniul de aplicare al acestuia.

Conducere

Conducerea de vârf ar trebui să demonstreze leadership și angajament față de sistemul de management al securității informațiilor, de exemplu, asigurându-se că politica de securitate a informațiilor și obiectivele de securitate a informațiilor sunt stabilite și în concordanță cu strategia organizației. De asemenea, conducerea de vârf ar trebui să se asigure că sunt furnizate toate resursele necesare pentru ISMS. Cu alte cuvinte, ar trebui să fie evident pentru angajați că managementul este implicat în problemele de securitate a informațiilor.

Politica de securitate a informațiilor trebuie să fie documentată și comunicată angajaților. Acest document seamănă cu politica de calitate ISO 9001. De asemenea, ar trebui să fie în concordanță cu scopul organizației și să includă obiective de securitate a informațiilor. Ei bine, dacă acestea sunt obiective reale, cum ar fi menținerea confidențialității și integrității informațiilor.

De asemenea, se așteaptă ca managementul să distribuie funcțiile și responsabilitățile legate de securitatea informațiilor între angajați.

Planificare

În această secțiune, ajungem la prima etapă a principiului de management PDCA (Plan - Do - Check - Act) - planifică, faci, verifică, acționează.

La planificarea sistemului de management al securității informațiilor, organizația trebuie să țină cont de aspectele menționate în Clauza 4 și să identifice riscurile și oportunitățile care trebuie luate în considerare pentru a se asigura că ISMS poate obține rezultatele așteptate, poate preveni efectele nedorite și poate obține o îmbunătățire continuă. .

Atunci când planifică cum să-și atingă obiectivele de securitate a informațiilor, o organizație ar trebui să determine:

• ce se va face;
• ce resurse vor fi necesare;
• cine va fi responsabil;
• când vor fi atinse obiectivele;
• cum vor fi evaluate rezultatele.

În plus, organizația ar trebui să rețină datele privind obiectivele de securitate a informațiilor ca informații documentate.

Securitate

Organizația trebuie să determine și să furnizeze resursele necesare dezvoltării, implementării, menținerii și îmbunătățirii continue a ISMS, aceasta include atât personalul, cât și documentația. În ceea ce privește personalul, se așteaptă ca organizația să recruteze personal calificat și competent pentru securitatea informațiilor. Calificările angajaților trebuie confirmate prin certificate, diplome etc. Este posibil să atrageți specialiști terți în cadrul contractului sau să vă instruiți proprii angajați. În ceea ce privește documentația, aceasta ar trebui să includă:

• informații documentate cerute de standard;
• informații documentate determinate de organizație ca fiind necesare pentru eficacitatea sistemului de management al securității informațiilor.

Informațiile documentate cerute de ISMS și standard trebuie controlate pentru a se asigura că:

• disponibil și utilizabil unde și când este necesar și
• protejate corespunzător (de exemplu, împotriva pierderii confidențialității, a utilizării greșite sau a pierderii integrității).

Functionare

Această secțiune vorbește despre al doilea pas al principiului de guvernare PDCA - necesitatea unei organizații de a gestiona procesele pentru a asigura conformitatea și de a desfășura activitățile identificate în secțiunea Planificare. De asemenea, prevede că o organizație ar trebui să efectueze o evaluare a riscului de securitate a informațiilor la intervale programate sau atunci când sunt propuse sau apar modificări semnificative. Organizația trebuie să rețină rezultatele evaluării riscului de securitate a informațiilor ca informații documentate.

Evaluarea performanței

A treia etapă este verificarea. Organizația trebuie să evalueze funcționarea și eficacitatea ISMS. De exemplu, ar trebui să efectueze un audit intern pentru a obține informații despre

1. dacă sistemul de management al securității informațiilor este conform
   • cerințele proprii ale organizației pentru sistemul său de management al securității informațiilor;
   • cerințele Standardului;
2. că sistemul de management al securității informațiilor este implementat și operațional eficient.

Desigur, volumul și calendarul auditurilor ar trebui planificate în avans. Toate rezultatele trebuie să fie documentate și păstrate.

Îmbunătăţire

Scopul acestei secțiuni este de a defini cursul acțiunii atunci când este identificată o neconformitate. Organizația trebuie să corecteze discrepanța, consecințele și să efectueze o analiză a situației, astfel încât acest lucru să nu se întâmple în viitor. Toate neconformitățile și acțiunile corective vor fi documentate.

Aceasta încheie principalele secțiuni ale standardului. Anexa A oferă cerințe mai specifice pe care trebuie să le îndeplinească o organizație. De exemplu, în ceea ce privește controlul accesului, utilizarea dispozitive mobileși purtători de informații.

Beneficiile implementării și certificării ISO 27001

• ridicarea statutului organizației și, în consecință, a încrederii partenerilor;
• creșterea stabilității funcționării organizației;
• creșterea nivelului de protecție împotriva amenințărilor la securitatea informațiilor;
• asigurarea nivelului necesar de confidențialitate a informațiilor părților interesate;
• extinderea oportunităților organizației de a participa la contracte majore.

Beneficiile economice sunt:

• confirmarea independentă de către organismul de certificare a prezenței în organizație nivel inalt securitatea informatiilor controlata de personal competent;
• dovada conformității cu legile și reglementările aplicabile (respectarea sistemului de cerințe obligatorii);
• demonstrarea unui anumit nivel înalt de sisteme de management pentru a asigura un nivel adecvat de servicii clienților și partenerilor organizației;
• Demonstrarea efectuării de audituri regulate ale sistemelor de management, evaluarea performanței și îmbunătățirea continuă.

Certificare

O organizație poate fi certificată de agenții acreditate în conformitate cu acest standard. Procesul de certificare constă în trei etape:

• Etapa 1 – studiul de către auditor a documentelor cheie ISMS pentru conformitatea cu cerințele Standardului – poate fi efectuat atât pe teritoriul organizației, cât și prin transferarea acestor documente către un auditor extern;
• Etapa 2 - audit detaliat, inclusiv testarea măsurilor implementate și evaluarea eficacității acestora. Include un studiu complet al documentelor cerute de standard;
• Etapa 3 - efectuarea unui audit de supraveghere pentru a confirma că organizația certificată îndeplinește cerințele declarate. Efectuat periodic.

Rezultat

După cum puteți vedea, utilizarea acestui standard într-o întreprindere va permite o creștere calitativă a nivelului de securitate a informațiilor, ceea ce valorează foarte mult în realitățile de astăzi. Standardul conține o mulțime de cerințe, dar cea mai importantă cerință este să faci ceea ce este scris! Fără aplicarea reală a cerințelor standardului, se transformă într-un set gol de bucăți de hârtie.

(ISMS)- acea parte a sistemului de management general, care se bazează pe abordarea riscurilor de afaceri în crearea, implementarea, operarea, monitorizarea, analiza, sprijinirea și îmbunătățirea securității informațiilor.

În cazul construcției în conformitate cu cerințele ISO/IEC_27001, se bazează pe modelul PDCA:

plan(Planificare) - faza de creare a unui ISMS, crearea unei liste de active, evaluarea riscurilor și alegerea măsurilor;

Do(Acțiune) - stadiul implementării și implementării măsurilor relevante;

Verifica(Verificare) - faza de evaluare a eficacității și performanței ISMS. Efectuat de obicei de auditori interni.

act(Îmbunătățiri) - implementarea acțiunilor preventive și corective;

Conceptul de securitate a informațiilor

Standardul ISO 27001 definește securitatea informațiilor ca: „păstrarea confidențialității, integrității și disponibilității informațiilor; în plus, pot fi incluse și alte proprietăți, cum ar fi autenticitatea, non-repudierea, credibilitatea.”

Confidențialitate – asigurarea faptului că informațiile sunt disponibile numai pentru cei care au autoritatea corespunzătoare (utilizatori autorizați).

Integritate – asigurarea acurateții și exhaustivității informațiilor, precum și a metodelor de prelucrare a acestora.

Disponibilitate – asigurarea accesului la informații utilizatorilor autorizați atunci când este necesar (la cerere).

4 Sistem de management al securității informațiilor

4.1 Cerințe generale

Organizația trebuie să stabilească, să implementeze, să utilizeze, să controleze, să revizuiască, să mențină și să îmbunătățească prevederile documentate ale ISMS pe parcursul activităților de afaceri ale organizației și a riscurilor cu care se confruntă. Pentru beneficiul practic al acestui lucru Standard international procesul utilizat se bazează pe modelul PDCA prezentat în fig. unu.

4.2 Crearea și managementul ISMS

4.2.1 Stabilirea unui ISMS

Organizația trebuie să facă următoarele.

a) Având în vedere caracteristicile activităților organizației, organizația în sine, locația, activele și tehnologia acesteia, determină domeniul de aplicare și limitele ISMS, inclusiv detaliile și justificările pentru excluderile oricăror prevederi ale documentului din proiectul ISMS (vezi 1.2) .

b) Ținând cont de caracteristicile activităților organizației, organizația în sine, locația acesteia, activele și tehnologia, elaborați o politică ISMS care:

1) include un sistem de stabilire a scopurilor (sarcinilor) și stabilește direcția generală de management și principiile de acțiune privind securitatea informației;

2) ia în considerare cerințele comerciale și legale sau de reglementare, obligațiile contractuale de securitate;

3) conectat la mediul strategic de management al riscului în care are loc crearea și întreținerea ISMS;

4) stabilește criteriile în funcție de care va fi evaluat riscul (vezi 4.2.1 c)); și

5) aprobat de conducere.

NOTĂ: În sensul acestui standard internațional, o politică ISMS este considerată un set extins de politici de securitate a informațiilor. Aceste politici pot fi descrise într-un singur document.

c) Dezvoltarea conceptului de evaluare a riscurilor în organizație.

1) Determinați o metodologie de evaluare a riscurilor care să se potrivească cu ISMS și cu cerințele legale și de reglementare stabilite de securitate a informațiilor de afaceri.

2) Elaborați criterii de acceptare a riscurilor și determinați nivelurile acceptabile de risc (vezi 5.1f).

Metodologia de evaluare a riscurilor aleasă ar trebui să asigure că evaluarea riscului produce rezultate comparabile și reproductibile.

NOTĂ: Există diverse metodologii de evaluare a riscurilor. Exemple de metodologii de evaluare a riscurilor sunt discutate în ISO/IEC TR 13335-3, Tehnologia informației - Recomandări pentru managementACEASTASecuritate - Metode de managementACEASTASecuritate.

d) Identificarea riscurilor.

1) Definiți activele în cadrul prevederilor ISMS și proprietarii2 (2 Termenul „proprietar” este identificat cu o persoană fizică sau o entitate care este aprobată pentru a fi responsabilă pentru controlul producției, dezvoltării, întreținere, securitatea aplicațiilor și a activelor. Termenul „proprietar” nu înseamnă că persoana respectivă are de fapt vreun drept de proprietate asupra bunului) acelor active.

2) Identificați pericolele pentru aceste bunuri.

3) Identificarea vulnerabilităților din sistemul de protecție.

4) Identificați efectele care distrug confidențialitatea, integritatea și disponibilitatea activelor.

e) Analizează și evaluează riscurile.

1) Evaluează prejudiciul adus activității organizației care poate fi cauzat de defecțiunea sistemului de protecție, precum și consecința unei încălcări a confidențialității, integrității sau disponibilității activelor.

2) Determinați probabilitatea defecțiunii securității în lumina pericolelor și vulnerabilităților predominante, a grevelor legate de active și a controalelor implementate în prezent.

3) Evaluați nivelurile de risc.

4) Determinați acceptabilitatea riscului sau solicitați reducerea riscului, utilizând criteriile de acceptabilitate a riscului stabilite la 4.2.1c-2).

f) Identificarea și evaluarea instrumentelor de reducere a riscurilor.

Acțiunile posibile includ:

1) Aplicarea unor controale adecvate;

2) Acceptarea conștientă și obiectivă a riscurilor, asigurându-se că acestea îndeplinesc necondiționat cerințele politicii organizației și criteriile de acceptabilitate a riscurilor (vezi 4.2.1c-2));

3) Evitarea riscurilor; și

4) Transferul riscurilor de afaceri relevante către o altă parte, de exemplu companii de asigurări, furnizori.

g) Selectați sarcini și controale pentru a reduce riscurile.

Sarcinile și controalele trebuie selectate și implementate în conformitate cu cerințele stabilite prin procesul de evaluare și reducere a riscurilor. Această alegere trebuie să țină cont atât de criteriile de toleranță la risc (a se vedea 4.2.1c-2)), cât și de cerințele legale, de reglementare și contractuale.

Sarcinile și controalele din Anexa A ar trebui selectate ca parte a acestui proces și să îndeplinească cerințele specificate.

Deoarece nu toate sarcinile și controalele sunt enumerate în Anexa A, pot fi selectate altele suplimentare.

NOTĂ: Anexa A conține o listă cuprinzătoare a obiectivelor de control care au fost identificate ca fiind cele mai relevante pentru organizații. Pentru a nu rata niciun punct important al opțiunilor de control, utilizatorii acestui standard internațional ar trebui să se refere la anexa A ca punct de plecare pentru controlul prin eșantionare.

h) Obține aprobarea pentru gestionarea riscurilor reziduale percepute.

4) facilitează detectarea evenimentelor de securitate și astfel, folosind anumiți indicatori, previne incidentele de securitate; și

5) determina eficacitatea acțiunilor întreprinse pentru a preveni o încălcare a securității.

b) Efectuează revizuiri periodice ale eficacității ISMS (inclusiv discuții despre politica ISMS și obiectivele acesteia, revizuirea controalelor de securitate), ținând cont de rezultatele auditurilor, incidentelor, rezultatelor măsurătorilor de performanță, sugestii și recomandări din partea tuturor părților interesate .

c) Evaluează eficacitatea controalelor pentru a determina dacă sunt îndeplinite cerințele de siguranță.

d) Verificați evaluarea riscurilor pentru perioadele planificate și verificați riscurile reziduale și nivelurile de risc tolerabile, ținând cont de modificările în:

1) organizații;

2) tehnologie;

3) obiectivele și procesele de afaceri;

4) amenințări identificate;

5) eficacitatea controalelor implementate; și

6) evenimente externe, cum ar fi schimbări în mediul juridic și de management, obligații contractuale modificate, schimbări în climatul social.

e) Conduita audituri interne ISMS în perioadele programate (vezi 6)

NOTĂ: Auditurile interne, uneori denumite audituri primare, sunt efectuate în numele organizației în sine, în scopuri proprii.

f) Revizuiți în mod regulat managementul ISMS pentru a vă asigura că situația rămâne adecvată și că ISMS este îmbunătățit.

g) Actualizarea planurilor de securitate pe baza constatărilor din monitorizare și revizuire.

h) Înregistrați activitățile și evenimentele care pot afecta eficacitatea sau performanța ISMS (vezi 4.3.3).

4.2.4 Întreținerea și îmbunătățirea ISMS

Organizația trebuie să facă în mod continuu următoarele.

a) Implementați corecții specifice la ISMS.

b) Luați măsuri corective și preventive adecvate în conformitate cu 8.2 și 8.3. Să aplice cunoștințele acumulate de organizația însăși și obținute din experiența altor organizații.

c) Comunicați tuturor acțiunile și îmbunătățirile dvs părțile interesateîn gradul de detaliu adecvat situației; și, în consecință, să-și coordoneze acțiunile.

d) Asigurați-vă că îmbunătățirile își ating scopul propus.

4.3 Cerințe de documentare

4.3.1 Generalități

Documentația trebuie să includă protocoale (înregistrări) decizii de management, să convingă că nevoia de acțiune se datorează deciziilor și politicilor managementului; și să asigure reproductibilitatea rezultatelor înregistrate.

Este important să poți demonstra părere controalele selectate cu rezultatele proceselor de evaluare și atenuare a riscurilor și, în continuare, cu politica ISMS și obiectivele acesteia.

Documentația ISMS ar trebui să includă:

a) declarații documentate ale politicii și obiectivelor ISMS (a se vedea 4.2.1b));

b) furnizarea ISMS (a se vedea 4.2.1a));

c) conceptul și controalele pentru sprijinirea ISMS;

d) o descriere a metodologiei de evaluare a riscurilor (a se vedea 4.2.1c));

e) raport de evaluare a riscurilor (vezi 4.2.1c) până la 4.2.1g));

f) plan de reducere a riscurilor (vezi 4.2.2b));

g) un concept documentat, organizarea necesară să asigure eficacitatea planificării, operațiunii și gestionării proceselor sale de securitate a informațiilor și să descrie modul de măsurare a eficacității controalelor (a se vedea 4.2.3c));

h) documentele cerute de acest standard internațional (vezi 4.3.3); și

i) Declarație de aplicabilitate.

NOTA 1: În sensul acestui standard internațional, termenul „concept documentat” înseamnă că conceptul este implementat, documentat, realizat și urmat.

NOTA 2: Mărimea documentației ISMS în diferite organizații poate varia în funcție de:

Mărimea organizației și tipul activelor acesteia; și

Amploarea și complexitatea cerințelor de securitate și a sistemului gestionat.

NOTA 3: Documentele și rapoartele pot fi furnizate sub orice formă.

4.3.2 Controlul documentelor

Documentele cerute de ISMS trebuie protejate și gestionate. Este necesar să se aprobe procedura de documentare necesară descrierii acțiunilor de management pentru:

a) stabilirea conformității documentelor cu anumite standarde înainte de a fi publicate;

b) verificarea și actualizarea documentelor după caz, reaprobarea documentelor;

c) asigurarea faptului că modificările sunt conforme cu starea actuală a documentelor revizuite;

d) punerea la dispoziție a versiunilor importante ale documentelor actuale;

e) asigurarea faptului că documentele sunt inteligibile și lizibile;

f) punerea documentelor la dispoziția celor care au nevoie de ele; precum si transferul, depozitarea si in final distrugerea acestora in conformitate cu procedurile aplicabile in functie de clasificarea acestora;

g) autentificarea documentelor din surse externe;

h) controlul distribuirii documentelor;

i) prevenirea utilizării neintenționate a documentelor învechite; și

j) aplicarea unei metode adecvate de identificare a acestora dacă sunt păstrate pentru orice eventualitate.

4.3.3 Controlul înregistrărilor

Înregistrările trebuie create și menținute pentru a asigura conformitatea cu cerințele și funcționarea eficientă a ISMS. Înregistrările trebuie protejate și verificate. ISMS ar trebui să țină cont de orice cerințe legale și de reglementare și obligații contractuale. Înregistrările ar trebui să fie ușor de înțeles, ușor de identificat și de recuperat. Controalele necesare pentru identificarea, stocarea, protejarea, preluarea, păstrarea și distrugerea înregistrărilor ar trebui să fie documentate și puse în aplicare.

Înregistrările trebuie să includă informații despre implementarea activităților descrise la 4.2 și despre toate incidentele și incidentele semnificative de siguranță legate de ISMS.

Exemple de intrări sunt cartea de oaspeți, pistele de audit și formularele de autorizare de acces completate.

Corect, e incomod. Am raportat despre lansarea iminentă a standardului ISO 45001, care ar trebui să înlocuiască actualul standard de management al protecției muncii OHSAS 18001, ei au spus că ar trebui să îl așteptăm la sfârșitul anului 2016... Se apropie miezul nopții, dar Herman încă a plecat. Este timpul să recunoaștem - ISO 45001 este întârziat. Adevărat, din motive întemeiate. Comunitatea de experți avea prea multe întrebări pentru el. […]

Este planificat un articol dublu. organizatie internationala privind standardizarea și-a exprimat clar poziția cu privire la utilizarea etichetării standardelor sale pe produse - ISO spune „nu”. Cu toate acestea, antreprenorii vor să-și dorească în continuare să o facă. Cum pot fi? De ce nu, chiar? Fondul întrebării este acesta. După cum înțelegeți, standardele ISO nu au legătură directă cu produsele fabricate de întreprinderile certificate conform acestora. […]

Să luăm subiectul. În ultimul articol am început să vorbim despre cele opt principii ale SMC. Principiile pe care se construiește orice sistem de management al calității. Scopul nostru este să traducem aceste principii din limbajul antrenorilor de afaceri în limbajul uman. Pentru ca tu sa beneficiezi cu adevarat de ele. Am vorbit despre orientarea spre consumator. Ei au vorbit despre cum să producă nu „ceva […]

Mulți oameni vorbesc despre managementul calității. Dar dintr-un motiv oarecare o spun în așa fel încât nimic nu este clar până la urmă. Deci, managementul calității rămâne cuvinte. Cuvinte prea inteligente. Să le traducem într-un limbaj normal și să înțelegem cum principiile managementului calității ajută cu adevărat la îmbunătățirea performanței companiei. Să ne descurcăm fără preludii lungi. În total, sistemele actuale de management al calității, dintre care cele mai populare […]

Managementul proiectelor... Sunt sigur că sunt mulți oameni care vorbesc cu tot felul de consultanți de afaceri de prea mult timp - și acum încep să simtă o mică greață de la o astfel de frază. Ce sa fac? Să ne scoatem din cap consultanții de afaceri și să punem chestiunea în termeni profani. Managementul de proiect nu este neapărat o persoană în cămașă albă care desenează diagrame și diagrame complexe cu un […]

GOST R ISO / IEC 27001-2006 " Tehnologia de informație. Metode și mijloace de asigurare a securității. Sisteme de management al securității informațiilor. Cerințe"

Dezvoltatorii standardului notează că acesta a fost pregătit ca model pentru dezvoltarea, implementarea, operarea, monitorizarea, analiza, întreținerea și îmbunătățirea unui sistem de management al securității informațiilor (ISMS). ISMS (în engleză - sistem de management al securității informațiilor; ISMS) este definit ca parte a unui sistem de management general bazat pe utilizarea metodelor de evaluare a riscurilor de afaceri pentru dezvoltarea, implementarea, operarea, monitorizarea, analiza, sprijinirea și îmbunătățirea securității informațiilor. Sistemul de management include structura organizationala, politici, activități de planificare, alocare de responsabilități, activitati practice, proceduri, procese și resurse.

Standardul presupune utilizarea unei abordări de proces pentru dezvoltarea, implementarea, menținerea, monitorizarea, analiza, menținerea și îmbunătățirea ISMS al unei organizații. Se bazează pe modelul Plan - Do - Check - Act (PDCA), care poate fi aplicat în structurarea tuturor proceselor ISMS. Pe fig. Figura 4.4 arată modul în care ISMS, folosind cerințele de securitate a informațiilor și rezultatele așteptate ale părților interesate ca intrare, produce rezultate de securitate a informațiilor care îndeplinesc acele cerințe și rezultatele așteptate prin activitățile și procesele necesare.

Orez. 4.4.

La scenă „Dezvoltarea unui sistem de management al securității informațiilor” organizația trebuie să facă următoarele:

• - determina sfera și limitele ISMS;
• — să definească politica ISMS pe baza caracteristicilor întreprinderii, organizației, locației, activelor și tehnologiei;
• — determina abordarea evaluării riscurilor în organizație;
• - identificarea riscurilor;
• - analiza si evaluarea riscurilor;
• — identificarea și evaluarea diferitelor opțiuni de tratare a riscurilor;
• — selectarea obiectivelor și controalelor pentru tratarea riscurilor;
• - Obține aprobarea conducerii pentru riscurile reziduale anticipate;
• - obține permisiunea conducerii pentru implementarea și operarea ISMS;
• - elaborarea Regulamentului de aplicabilitate.

Scena " Implementarea și funcționarea sistemului de management al securității informațiilor” cere unei organizații să:

• — să elaboreze un plan de tratare a riscurilor care definește acțiunile de management adecvate, resursele, responsabilitățile și prioritățile pentru gestionarea riscului de securitate a informațiilor;
• - implementează un plan de tratare a riscurilor pentru atingerea obiectivelor de management preconizate, inclusiv aspectele legate de finanțare, precum și repartizarea funcțiilor și responsabilităților;
• - implementarea măsurilor de management selectate;
• — determinarea modului în care va fi măsurată eficacitatea măsurilor de control selectate;
• - implementeaza programe de formare si dezvoltare profesionala pentru angajati;
• - gestionează activitatea ISMS;
• - gestionarea resurselor ISMS;
• — să pună în aplicare proceduri și alte măsuri de management pentru a asigura detectarea rapidă a evenimentelor IS și răspunsul la incidente IS.

A treia etapă Monitorizarea și analiza sistemului de management al securității informațiilor” necesită:

• - efectuarea procedurilor de monitorizare si analiza;
• - efectuarea unei analize regulate a eficacității ISMS;
• - măsurarea eficacității măsurilor de control pentru verificarea conformității cu cerințele de securitate a informațiilor;
• — revizuirea evaluărilor riscurilor la intervale specificate, revizuirea riscurilor reziduale și nivelurile de risc acceptabile stabilite, ținând cont de modificări;
• — efectuează audituri interne ISMS la intervale specificate;
• - efectuează în mod regulat o analiză a ISMS de către conducerea organizației pentru a confirma caracterul adecvat al funcționării sistemului și a determina zonele de îmbunătățire;
• - actualizarea planurilor de securitate a informațiilor ținând cont de rezultatele analizei și monitorizării;
• - înregistrați acțiunile și evenimentele care pot afecta eficacitatea sau funcționarea ISMS.

Și în sfârșit, scena „Suport și îmbunătățire a sistemului de management al securității informațiilor” sugerează ca organizația să desfășoare în mod regulat următoarele activități:

• - identificarea oportunităților de îmbunătățire a ISMS;
• - să întreprindă acțiunile corective și preventive necesare, să folosească în practică experiența în asigurarea securității informațiilor obținută atât în ​​propria organizație, cât și în alte organizații;
• - să comunice tuturor părților interesate informații detaliate despre acțiunile de îmbunătățire a ISMS, în timp ce nivelul de detaliu ar trebui să corespundă circumstanțelor și, dacă este necesar, să convină asupra acțiunilor ulterioare;
• — se asigură că îmbunătățirile ISMS sunt implementate pentru a atinge obiectivele planificate.

În plus, standardul prevede cerințe pentru documentare, care ar trebui să includă prevederile politicii ISMS și o descriere a domeniului de operare, o descriere a metodologiei și un raport de evaluare a riscurilor, un plan de tratare a riscurilor și documentarea procedurilor aferente. De asemenea, ar trebui definit un proces de gestionare a documentelor ISMS, inclusiv actualizarea, utilizarea, stocarea și distrugerea.

ISMS trebuie menținut și menținut pentru a oferi dovezi ale conformității cu cerințele și eficacității funcționării ISMS. Conturiși înregistrările de execuție a procesului. Exemple sunt jurnalele vizitatorilor, rapoartele de audit etc.

Standardul precizează că conducerea unei organizații este responsabilă de furnizarea și gestionarea resurselor necesare înființării unui ISMS, precum și de organizarea formării personalului.

După cum sa menționat anterior, organizația trebuie, în conformitate cu programul aprobat, să efectueze audituri interne ISMS pentru a-și evalua funcționalitatea și conformitatea cu standardul. Și conducerea ar trebui să revizuiască sistemul de management al securității informațiilor.

De asemenea, ar trebui să se lucreze pentru îmbunătățirea sistemului de management al securității informațiilor: pentru a crește eficacitatea acestuia și nivelul de conformitate cu starea actuală a sistemului și cerințele pentru acesta.