Руководство должно на регулярной основе анализировать СУИБ, чтобы гарантировать ее непрерывное соответствие, адекватность и эффективность. Для того чтобы гарантировать адекватность СУИБ, руководство должно рассматривать изменение ситуации с рисками и способность СУИБ справляться с этими изменениями. В связи с изменением целей бизнеса или другими важными изменениями может потребоваться переопределение области действия СУИБ. Организации должны настраивать СУИБ, анализируя соответствующие цели и метрики. В зависимости от природы СУИБ цели могут носить как качественный, так и количественный характер.
______________________________________
Анализ СУИБ со стороны руководства организации затрагивает:
- изменение ситуации с рисками и способность СУИБ справляться с этим;
- переопределение области действия СУИБ в связи с изменением целей бизнеса;
- настройку СУИБ путем анализа целей и метрик;
- определение потребностей в ресурсах.
_________________________________________
Анализ должен базироваться на информации, получаемой от пользователей СУИБ, результатах предыдущих анализов, аудиторских отчетах, протоколах выполнения процедур, а также на внутренних и внешних сравнительных тестах и обследованиях. Выходные данные анализа должны касаться изменений СУИБ, например, идентифицировать изменения в процедурах, влияющих на информационную безопасность, и гарантировать адекватность охвата этих изменений. Выходные данные должны также показывать, где и как можно повысить эффективность. При анализе должны быть четко определены потребности в ресурсах, необходимых как для реализации усовершенствований, так и для их последующего сопровождения.