2014-02-09
383
Постоянное улучшение
Улучшение СМЗИ
Выходные данные анализа
Входные данные для анализа
Общие положения
Анализ СМЗИ со стороны руководства
Руководство должно анализировать СМЗИ организации через запланированные интервалы времени (по крайней мере, один раз в год), чтобы гарантировать ее постоянную пригодность, адекватность и результативность. Этот анализ должен включать в себя оценивание возможностей для улучшения и потребности в изменениях СМЗИ, включая политику защиты информации и цели защиты информации. Результаты анализа должны быть четко документированы, а записи должны поддерживаться в рабочем состоянии (см. п.4.3.3).
Входные данные для анализа со стороны руководства должны включать в себя следующее:
a) результаты аудитов и анализа СМЗИ;
b) обратная реакция заинтересованных сторон;
c) методики, продукты или процедуры, которые можно было бы использовать в организации для улучшения качества работы и результативности СМЗИ;
|
|
|
d) статус предупреждающих и корректирующих действий;
e) уязвимые места или угрозы, адекватно не рассмотренные в предыдущих оценках риска;
f) результаты измерений эффективности;
g) последующие действия, вытекающие из предыдущего анализа со стороны руководства;
h) любые изменения, которые могли повлиять на СМЗИ; и
i) рекомендации по улучшению.
Выходные данные анализа со стороны руководства должны включать в себя любые решения и действия, имеющие отношение к нижеследующему.
a) Улучшение эффективности СМЗИ.
b) Обновление оценки риска и плана обработки риска.
c) Изменения процедур и средств управления, которые влияют на защиту информации, если это необходимо, для того чтобы отреагировать на внутренние или внешние события, которые могли негативно повлиять на СМЗИ, включая изменения в следующем:
1) деловые требования;
2) требования защиты;
3) деловые процессы, влияющие на существующие деловые требования;
4) нормативные или законодательные требования;
5) договорные обязательства; и
6) уровни риска и/или критерии принятия риска.
d) Необходимые ресурсы.
e) Улучшение в том, как измеряется эффективность средств управления.
Организация должна постоянно улучшать эффективность СМЗИ посредством использования политики защиты информации, целей защиты информации, результатов аудита, анализа наблюдаемых событий, корректирующих и предупреждающих действий и анализа со стороны руководства (см. раздел 7).
Организация должна предпринимать действия по устранению причины несоответствия требованиям СМЗИ для того, чтобы предотвращать повторение. Документированная процедура для корректирующего действия должна определять требования для следующего:
|
|
|
a) выявление несоответствий;
b) определение причин несоответствий;
c) оценивание потребности в действиях, чтобы гарантировать, что несоответствия не возникнут снова;
d) определение и реализация требующихся корректирующих действий;
e) записывание результатов предпринятых действий (см. п.4.3.3); и
f) анализ предпринятого корректирующего действия.
Организация должна определить действие для устранения причины возможного несоответствия требованиям СМЗИ для того, чтобы предотвратить его возникновение. Предпринятые предупреждающие действия должны соответствовать негативному влиянию возможных проблем. Документированная процедура для предупреждающего действия должна определять требования для следующего:
a) выявление возможных несоответствий и их причин;
b) оценивание потребности в действии, имеющем целью предотвратить случай несоответствия;
c) определение и реализация требуемого предупреждающего действия;
d) записывание результатов предпринятого действия (см. п.4.3.3); и
e) анализ предпринятого предупреждающего действия.
Организация должна выявить изменившиеся риски и определить требования к предупреждающим действиям, сосредоточив внимание на значительно изменившихся рисках.
Приоритет предупреждающих действий должен быть определен на основе результатов оценки риска.
ПРИМЕЧАНИЕ: Действие по предотвращению несоответствий часто является экономически более выгодным, чем корректирующее действие.
2. Звід цілей та засобів управління
