Студопедия КАТЕГОРИИ: АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция |
Структура стандартов серии ISO 14000 ⇐ ПредыдущаяСтр 4 из 4
Продолжение табл. 2.3
Стандарты системы менеджмента информационной безопасности Одной из современных разработок в области стандартизации элементов системы менеджмента качества явился документ ISO/IEC 27001:2005 «Методы обеспечения безопасности. Системы менеджмента информационной безопасности (СМИБ)», открывающий соответствующую серию стандартов. В нем установлены требования по созданию, внедрению, эксплуатации, мониторингу, анализу, поддержке и совершенствованию документально оформленной СМИБ в контексте общих рисков организации. В стандарте также устанавливаются требования по внедрению мер (средств) контроля в области безопасности, адаптированные к потребностям конкретной организации или ее подразделений. Целью построения СМИБ является обеспечение выбора адекватных и соответствующих мер (средств) контроля безопасности, с помощью которых обеспечивается необходимая защита информационных активов и создается доверие заинтересованных сторон. Требования, изложенные в этом международном стандарте, являются общими и предназначены для применения во всех организациях, независимо от типа, размера и сферы деятельности. В разделе «Термины и определения» определяются такие понятия, как «активы», «конфиденциальность», «безопасность информации», «менеджмент риска» и некорорые другие. Создание СМИБ должно включать следующие виды работ: - определение области применения СМИБ на основе характеристик бизнеса, организации, ее расположения, активов и технологий и обоснование любого исключения (если оно есть) из области действий; - определение политики СМИБ, утвержденной высшим руководством организации; - определение подхода (методов и критериев) к оценке риски в организации; - идентификация рисков (идентификация активов, угроз и уязвимости для них, ); - анализ и оценка рисков; - определение и оценка различных вариантов обработки рисков; - выбор цели и мер (средств) контроля для обработки рисков; - получение одобрения руководства в отношении остаточных предлагаемых рисков; - получение разрешения руководства на внедрение и эксплуатацию СМИБ; - подготовка «Положения о применимости». Стандарт ISO/IEC 27001:2005 предусматривает меры контроля документов. Для этого на предприятии оформляется соответствующая процедура (стандарт организации) действий руководства, чтобы: - обеспечить адекватность документов перед их изданием; - пересматривать и обновлять (при необходимости) документы; - обеспечивать возможность определения внесенных изменений и статуса текущей версии документов, а также предотвращать использование устаревших документов; - обеспечивать наличие и доступ к документам в местах их использования; - обеспечивать легкочитаемость и понимаемость документов; - обеспечивать передачу документов авторизованным лицам, контроль за распространением документов, а также их хранение и удаление согласно специальным процедурам; - обеспечивать выявление документов, созданных вне организации. Также предусматриваются меры по хранению учетных записей. Специфика стандарта СМИБ отражена в Приложении АА к нему, в котором представлены конкретные цели и меры (средства) контроля, касающиеся: - политики безопасности; - организации информационной безопасности, касающейся внутренней деятельности организации и внешних сторон; - менеджмента активов; - вопросов безопасности, связанных с персоналом; - физической безопасности и безопасности от воздействий окружающей среды; - менеджмента коммуникаций и их функционирования; - контроля доступа; - приобретения, разработки обслуживания информационных систем; - менеджмента инцидентов информационной безопасности; - менеджмента непрерывности бизнеса; - соответствия требованиям законодательства, политикам и стандартам безопасности, а также вопросам аудита информационных систем. Структура и идеология стандарта ISO/IEC 27001:2005 в значительной степени совпадает со структурой и идеологией международных стандартов ISO 9001:2000 и ISO 14001:2004, что способствует созданию интегрированных систем менеджмента качества.
|
|||||||||||||||||||||||||||||||||||||||||
Последнее изменение этой страницы: 2018-04-12; просмотров: 242. stydopedya.ru не претендует на авторское право материалов, которые вылажены, но предоставляет бесплатный доступ к ним. В случае нарушения авторского права или персональных данных напишите сюда... |