3. Какво включва разработването на СУИС?
Стандартът ISO 27001 определя процесите, които дават възможност на бизнеса да определя, използва, променя, контролира и поддържа ефективна система на управление на информационната сигурност
.
Определят се изискванията към:
- разработването;
- внедряването;
- функционирането;
- мониторинга;
- анализа;
- поддържането и усъвършенстването на документираната система за управление на информационната сигурност в контекста на съществуващите за бизнеса рискове
3.1. Разработване на СУИС
Прилага се структурен подход, като се следват следните стъпки на разработване:
- Определяне обхвата на системата;
- Определяне политиката за информационна сигурност;
- Дефиниране системен подход за оценка на риска;
- Структуриране и оценка на информационните активи и влиянието им върху информационната сигурност (пряко и косвено);
- Изготвяне оценка на риска за всеки информационен актив;
- Да се направи идентификация на възможните рискове и избор на подход за третиране на риска;
- Да се направи избор на подходящи контроли и цели на контролите, които да се внедрят;
- Да се разпише Декларация за приложимост, т.е. документ, който определя целите на контрола, списъка на приложимите контроли и обосновава изключенията.
Схема на ISO / IEC 27001
Сподели с приятели: |