Управление информационной безопасностью. Стандарты СУИБ. Вадим Гребенников

Чтение книги онлайн.

СКАЧАТЬ документированной информации как свидетельства о программе аудита и результатах аудита.

      Анализ со стороны руководства

      Высшее руководство должно анализировать СУИБ организации через запланированные интервалы времени для обеспечения ее постоянной пригодности, адекватности и результативности.

      Анализ со стороны руководства должен включать следующее:

      – статус действий по результатам предыдущих анализов со стороны руководства;

      – изменения внешних и внутренних аспектов, которые имеют отношение к СУИБ;

      – обратную связь о состоянии ИБ, включая:

      • несоответствия и корректирующие действия;

      • результаты мониторинга и измерений;

      • результаты аудита;

      • результат достижения целей ИБ;

      – обратную связь от заинтересованных сторон;

      – результаты оценки рисков и статус выполнения плана по обработке рисков;

      – возможности для постоянного улучшения.

      Выводы анализа со стороны руководства должны включать решения, связанные с реализацией возможностей постоянного улучшения, и любые необходимые изменения в СУИБ.

      Организация должна сохранять документированную информацию в качестве свидетельства о результатах анализа со стороны руководства.

      10. Улучшение (4-й этап «РDСА»)

      Этап улучшения СУИБ обеспечивают следующие мероприятия:

      – корректирующие действия;

      – постоянное улучшение.

      Корректирующие действия

      При появлении несоответствия организация должна:

      – реагировать на несоответствие и в зависимости от обстоятельств принять меры по его управлению и исправлению или проработать последствие;

      – оценить необходимость принятия действий для устранения причин несоответствия с целью предотвращения его повторения или появления в другом месте, для этого:

      • изучить несоответствие;

      • определить причину несоответствия;

      • определить, существуют ли подобные несоответствия или потенциальные возможности их возникновения;

      – реализовать любые необходимые корректирующие действия;

      – проанализировать результативность выполненных корректирующих действий;

      – при необходимости внести изменения в СУИБ.

      Корректирующие действия должны быть адекватными последствиям выявленных несоответствий. Организация должна сохранять документированную информацию как свидетельства о:

      – характере несоответствий;

      – любых корректирующих действиях;

      – результатах корректирующих действий.

      Постоянное улучшение

      Организация должна постоянно улучшать пригодность, адекватность и результативность СКАЧАТЬ