ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 12.03.2024
Просмотров: 20
Скачиваний: 0
ISO/IEC 27001:2022
несоответствий.
Организация должна сохранять документированную информацию как свидетельство:
f)характера несоответствий и любых последующих предпринятых действий;
g)результатов любого корректирующего действия.
А. Горбунов |
http://pqm-online.com/ |
Не является официальным переводом! |
Ред. 07.09.2023 |
|
11 |
ISO/IEC 27001:2022
Приложение A
(нормативное)
Средства управления информационной безопасностью
Средства управления, перечисленные в Таблице A.1, непосредственно взяты из разделов 5 - 8 ISO/IEC 27002:2022 [1] и согласованы с ними, и должны применяться в контексте п. 6.1.3.
Таблица A.1 – Средства управления информационной безопасностью
5 Организационные средства управления
|
|
Средство управления |
|
|
|
Должны быть определены политика информационной |
|
|
Политики |
безопасности и политики по другим направлениям, |
|
|
утверждены руководством, опубликованы, доведены до |
||
5.1 |
информационной |
||
сведения и поняты соответствующим персоналом и |
|||
|
безопасности |
||
|
значимыми заинтересованными сторонами, а также |
||
|
|
||
|
|
пересматриваться через запланированные интервалы |
|
|
|
времени и в случае значительных изменений. |
|
|
|
|
|
|
Роли и обязанности, |
Средство управления |
|
|
Должны быть определены и назначены все роли и |
||
|
связанные с |
||
5.2 |
обязанности, связанные с информационной |
||
информационной |
|||
|
безопасностью, в соответствии с потребностями |
||
|
безопасностью |
||
|
организации. |
||
|
|
||
|
|
|
|
|
Разделение |
Средство управления |
|
5.3 |
Вступающие в противоречие друг с другом обязанности и |
||
обязанностей |
|||
|
области ответственности должны быть разделены. |
||
|
|
||
|
|
|
|
|
|
Средство управления |
|
|
|
Руководство должно требовать от всех сотрудников |
|
5.4 |
Обязанности |
соблюдения требований по информационной |
|
руководства |
безопасности в соответствии с установленными |
||
|
|||
|
|
политикой информационной безопасности, иными |
|
|
|
политиками и процедурами организации. |
|
|
|
|
|
|
Контакты с |
Средство управления |
|
|
Должны быть установлены и поддерживаться |
||
5.5 |
полномочными |
||
соответствующие контакты с соответствующими |
|||
|
органами |
||
|
органами. |
||
|
|
||
|
|
|
|
|
|
Средство управления |
|
|
Контакты с |
Организация должна установить и поддерживать |
|
5.6 |
профессиональными |
контакты с профессиональными сообществами или |
|
|
сообществами |
иными форумами специалистов по информационной |
|
|
|
безопасности и профессиональными ассоциациями. |
|
|
|
|
А. Горбунов |
http://pqm-online.com/ |
Не является официальным переводом! |
Ред. 07.09.2023 |
|
12 |
ISO/IEC 27001:2022
5 Организационные средства управления
|
|
Средство управления |
|
5.7 |
Изучение угроз |
Должна собираться и анализироваться информация, |
|
связанная с угрозами информационной безопасности, для |
|||
|
|
||
|
|
изучения угроз |
|
|
|
|
|
|
Информационная |
Средство управления |
|
5.8 |
безопасность в |
Обеспечение информационной безопасности должно быть |
|
|
управлении проектами |
интегрировано в управление проектами. |
|
|
|
|
|
|
Инвентаризация |
Средство управления |
|
5.9 |
информации и иных |
Реестры информационных и иных связанных с этим |
|
связанных с ней |
активов, включая владельцев, должны быть разработаны |
||
|
|||
|
активов |
и поддерживаться в актуальном состоянии |
|
|
|
|
|
|
Надлежащее |
Средство управления |
|
|
применение |
Должны быть определены, документированы и внедрены |
|
5.10 |
информационных и |
правила надлежащего применения и процедуры |
|
|
иных, связанных с |
обращения с информационными и иными, связанными с |
|
|
ними, активов |
ними, активами |
|
|
|
|
|
|
|
Средство управления |
|
|
|
Персонал и представители заинтересованных сторон, |
|
5.11 |
Возврат активов |
насколько это применимо, должны вернуть все активы |
|
организации в ее распоряжение при изменении или |
|||
|
|
||
|
|
прекращении трудовых отношений, контрактов и |
|
|
|
соглашений. |
|
|
|
|
|
|
|
Средство управления |
|
5.12 |
Классификация |
Информация должна быть классифицирована исходя из |
|
потребностей информационной безопасности организации на |
|||
информации |
|||
|
основе требований к конфиденциальности, целостности и |
||
|
|
||
|
|
доступности и требований заинтересованных сторон. |
|
|
|
|
|
|
|
Средство управления |
|
5.13 |
Маркировка |
Должен быть разработан и внедрен соответствующий набор |
|
информации |
процедур для маркировки информации в соответствии со |
||
|
|||
|
|
схемой классификации информации, принятой в организации. |
|
|
|
|
|
|
|
Средство управления |
|
5.14 |
Передача информации |
Должны быть внедрены правила, процедуры или соглашения |
|
|
|
для любого вида средств передачи как внутри организации, так |
|
|
|
и между организацией и другими сторонами |
|
|
|
|
|
|
|
Средство управления |
|
5.15 |
Управление доступом |
Должны быть на основе требований бизнеса и требований к |
|
информационной безопасности разработаны и внедрены |
|||
|
|
правила физического и логического доступа к |
|
|
|
информационным и иным, связанным с ними, активам |
|
|
|
|
А. Горбунов |
http://pqm-online.com/ |
Не является официальным переводом! |
Ред. 07.09.2023 |
|
13 |
ISO/IEC 27001:2022
5 Организационные средства управления
|
Управление |
Средство управления |
|
5.16 |
Должно быть обеспечено управление всем жизненным циклом |
||
идентификацией |
|||
|
идентификаторов |
||
|
|
||
|
|
|
|
|
|
Средство управления |
|
|
|
Назначение и управление информацией для |
|
5.17 |
Информация для |
аутентификации должно быть контролируемым в рамках |
|
аутентификации |
процесса управления, включая консультирование |
||
|
|||
|
|
сотрудников по вопросам надлежащего обращения с |
|
|
|
информацией для аутентификации |
Средство управления
Права доступа к информационным и иным, связанным с
5.18 Права доступа ними, активам должны быть предоставлены, пересматриваться, изменяться и аннулироваться в
соответствии с различными политиками организации и правилами контроля доступа
|
Информационная |
Средство управления |
|
|
Должны быть определены и внедрены процессы и |
||
|
безопасность в |
||
5.19 |
процедуры управления рисками для информационной |
||
отношениях с |
|||
|
безопасности, связанными с использованием продуктов и |
||
|
поставщиками |
||
|
услуг, предоставляемых поставщиками |
||
|
|
||
|
|
|
|
|
Обеспечение |
Средство управления |
|
|
информационной |
Должны быть установлены сущностные требования к |
|
5.20 |
безопасности в рамках |
информационной безопасности и согласованы с каждым |
|
|
соглашений с |
поставщиком с учетом особенностей отношений с этим |
|
|
поставщиками |
поставщиком. |
|
|
|
|
|
|
Управление |
Средство управления |
|
|
информационной |
Должны быть разработаны и внедрены процесс и |
|
|
безопасностью в |
||
|
процедуры управления рисками для информационной |
||
5.21 |
цепочках поставки в |
||
безопасности, связанных с цепочкой поставок продуктов |
|||
|
сфере информационно- |
и услуг ИКТ. |
|
|
коммуникационных |
|
|
|
технологий (ИКТ) |
|
|
|
|
|
|
|
Мониторинг, анализ и |
Средство управления |
|
|
Организация должна регулярно вести мониторинг, |
||
5.22 |
управление |
анализ, оценку и управлять изменениями в деятельности |
|
изменениями услуг |
|||
|
поставщиков в сфере информационной безопасности и |
||
|
поставщиков |
||
|
поставки услуг. |
||
|
|
А. Горбунов |
http://pqm-online.com/ |
Не является официальным переводом! |
Ред. 07.09.2023 |
|
14 |
ISO/IEC 27001:2022
5 Организационные средства управления
|
Информационная |
Средство управления |
|
|
Должен быть установлен процесс запроса, использования, |
||
|
безопасность при |
||
5.23 |
управления и прекращения использования облачных |
||
использовании |
|||
|
сервисов в соответствии с требования организации в |
||
|
облачных сервисов |
||
|
области информационной безопасности. |
||
|
|
||
|
|
|
|
|
Планирование и |
Средство управления |
|
|
подготовка в части |
Организация должна планировать и готовиться к |
|
5.24 |
управления |
управлению инцидентами информационной безопасности |
|
инцидентами |
посредством определения, установления и |
||
|
|||
|
информационной |
информирования о процессах управления инцидентами |
|
|
безопасности |
информационной безопасности, ролях и обязанностях. |
|
|
|
|
|
|
Оценка событий в |
Средство управления |
|
|
области |
Организация должна оценивать события в области |
|
5.25 |
информационной |
информационной безопасности и решать, следует ли их |
|
|
безопасности и |
расценивать как инцидент информационной |
|
|
принятие решений |
безопасности. |
|
|
|
|
|
|
Ответные меры по |
Средство управления |
|
5.26 |
инцидентам |
Реагирование на инциденты информационной |
|
информационной |
безопасности должно осуществляться в соответствии с |
||
|
|||
|
безопасности |
документированными процедурами. |
|
|
|
|
|
|
Излечение уроков из |
Средство управления |
|
|
Знания, полученные из инцидентов информационной |
||
|
инцидентов |
||
5.27 |
безопасности, должны использоваться для усиления и |
||
информационной |
|||
|
улучшения средств управления информационной |
||
|
безопасности |
||
|
безопасностью. |
||
|
|
Средство управления
Организация должна установить и внедрить процедуры 5.28 Сбор свидетельств для идентификации, сбора, накопления и сохранения
свидетельств, связанных с событиями информационной безопасности.
|
|
Средство управления |
|
5.29 |
Информационная |
Организация должна планировать, каким образом она |
|
безопасность при сбое |
будет обеспечивать информационную безопасность на |
||
|
|||
|
|
соответствующем уровне при сбое. |
|
|
|
|
|
|
|
Средство управления |
|
|
Готовность ИКТ к |
Меры по обеспечению готовности ИКТ должны |
|
5.30 |
обеспечению |
планироваться, внедряться, поддерживаться в |
|
непрерывности |
актуальном состоянии и тестироваться с точки зрения |
||
|
|||
|
бизнеса |
целей непрерывности бизнеса и требований к |
|
|
|
непрерывности функционирования ИКТ. |
А. Горбунов |
http://pqm-online.com/ |
Не является официальным переводом! |
Ред. 07.09.2023 |
|
15 |
