---

Скачать книгу

---

(англ. Statement of Applicability, SoA), которое содержит необходимые элементы управления и обоснования их включения (независимо от того, реализованы они или нет), а также обоснования исключений элементов управления из Приложения А;

      – сформулировать план по обработке рисков ИБ;

      – согласовать с владельцами рисков план по обработке рисков ИБ и получить (от владельцев рисков) согласие на принятие остаточных рисков ИБ.

      Организация должна сохранять документированную информацию о процессе обработки рисков ИБ.

      7. Поддержка

      Поддержка СУИБ определяется следующими составляющими:

      – ресурсы;

      – компетенции;

      – осведомленность;

      – коммуникации;

      – документированная информация.

      Ресурсы

      Организация должна определить и предоставить ресурсы, необходимые для разработки, внедрения, сопровождения и постоянного улучшения СУИБ.

      Компетенции

      Организация должна:

      – определять необходимую компетентность персонала, который самостоятельно выполняет работу, что влияет на результативность ИБ;

      – обеспечить то, что этот персонал обладает необходимыми компетенциями на основе соответствующего обучения, тренингов или опыта;

      – при необходимости принять меры для получения необходимых компетенций и оценить эффективность принятых мер;

      – сохранять соответствующую документированную информацию в качестве доказательств наличия компетенций.

      Соответствующие меры могут включать, например, проведение тренинга, наставничество или переаттестацию действующих сотрудников; или наем / привлечение по контракту компетентных лиц.

      Осведомленность

      Персонал, выполняющий работы в рамках организации, должен быть осведомлен:

      – о политике ИБ;

      – о вкладе в повышение результативности СУИБ, включая выгоды от улучшения состояния ИБ;

      – о последствиях в результате не выполнения требований СУИБ.

      Коммуникации

      Организация должна определить необходимые внутренние и внешние коммуникации, относящиеся к СУИБ, включая:

      – о чем сообщать;

      – когда сообщать;

      – кому сообщать;

      – кто должен участвовать в коммуникациях;

      – процессы осуществления коммуникаций.

      Документированная информация

      СУИБ организации должна включать документированную информацию:

      – требуемую настоящим стандартом;

      – определенную организацией в качестве необходимой для обеспечения результативности СУИБ.

      Степень (детализация) документированной информации для СУИБ одной организации может отличаться от другой в зависимости от:

      – размера организации и ее вида деятельности, процессов, продуктов и услуг;

      – сложности процессов и их взаимодействия;

      – компетенции персонала.

      При

---

Скачать книгу