Анализ со стороны руководства

image_pdfimage_print

Руководство должно на регулярной основе анализировать СУИБ, чтобы гарантировать ее непрерывное соответствие, адекватность и эффективность. Для того чтобы гарантировать адекватность СУИБ, руководство должно рассматривать изменение ситуации с рисками и способность СУИБ справляться с этими изменениями. В связи с изменением целей бизнеса или другими важными изменениями может потребоваться переопределение области действия СУИБ. Организации должны настраивать СУИБ, анализируя соответствующие цели и метрики. В зависимости от природы СУИБ цели могут носить как качественный, так и количественный характер.

______________________________________

Анализ СУИБ со стороны руководства организации затрагивает:

  • изменение ситуации с рисками и способность СУИБ справляться с этим;
  • переопределение области действия СУИБ в связи с изменением целей бизнеса;
  • настройку СУИБ путем анализа целей и метрик;
  • определение потребностей в ресурсах.

_________________________________________

Анализ должен базироваться на информации, получаемой от пользователей СУИБ, результатах предыдущих анализов, аудиторских отчетах, протоколах выполнения процедур, а также на внутренних и внешних сравнительных тестах и обследованиях. Выходные данные анализа должны касаться изменений СУИБ, например, идентифицировать изменения в процедурах, влияющих на информационную безопасность, и гарантировать адекватность охвата этих изменений. Выходные данные должны также показывать, где и как можно повысить эффективность. При анализе должны быть четко определены потребности в ресурсах, необходимых как для реализации усовершенствований, так и для их последующего сопровождения.

Автор

Александр Астахов

Эксперт по информационной безопасности, автор книг и статей, предприниматель, основатель группы GlobalTrust, компании Protectiva, портала ISO27000.RU.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *