Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.

Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 8. Требования к организации и управлению защитой информации

ГОСТ Р № 57580.1-2017 от 01.01.2018

СЗИ.2

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования":
8.2 Оценка рисков информационной безопасности
8.2 Оценка рисков информационной безопасности
Организация должна выполнять оценки рисков информационной безопасности в запланированные интервалы времени или при наступлении или предполагаемом наступлении значительных изменений, при этом учитываются критерии, установленные в п.6.1.2 а).
Организация должна сохранять документированную информацию по результатам оценок рисков информационной безопасности.
9.2.1 Общие положения
9.2.1 Общие положения
Организация должна проводить внутренний аудит в запланированные интервалы времени с целью предоставления информации от том, что система менеджмента информационной безопасности:
a) соответствует
  1. собственным требованиям организации к ее системе менеджмента информационной безопасности; а также
  2. требованиям настоящего документа;
b) эффективно применяется и поддерживается.
Guideline for a healthy information system v.2.0 (EN):
38 STANDARD
/STANDARD
Carrying out regular audits (at least once per year) of the information system is essential as this makes it possible to correctly assess the effectiveness of measures implemented and their maintenance over time. These controls and audits are also able to measure the gaps that may remain between the theory and the practice. 

They can be carried out by possible internal audit teams or by specialised external companies. Depending on the scope to test, technical and/or organisational audits will be carried out by the professionals called upon. These audits are especially necessary as the organization must comply with the regulations and legal obligations directly linked to its activities. 

Following these audits, corrective actions must be identified, their application planned and monitoring points organised at regular intervals. For higher efficiency, indicators on the state of progress of the action plan may be integrated into the overview for the management. 

Although security audits participate in the security of the information system by being able to show possible vulnerabilities, they are never proof of their absence and therefore do not negate the need for other control measures. 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.18.2.1
A.18.2.1 Независимая проверка информационной безопасности 
Мера обеспечения информационной безопасности: Подход организации к менеджменту информационной безопасностью и ее реализация (т. е. цели, меры и средства, политики, процессы и процедуры информационной безопасности) следует проверять независимо друг от друга через запланированные интервалы времени или в случае значительных изменений 
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements":
9.2.1 General
9.2.1 General
The organization shall conduct internal audits at planned intervals to provide information on whether the information security management system:
a) conforms to
  1. the organization’s own requirements for its information security management system; and
  2. the requirements of this document;
b) is effectively implemented and maintained. 
8.2 Information security risk assessment
8.2 Information security risk assessment
The organization shall perform information security risk assessments at planned intervals or when significant changes are proposed or occur, taking account of the criteria established in 6.1.2 a).
The organization shall retain documented information of the results of the information security risk assessments.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.5.35
А.5.35 Независимые проверки ИБ
Принятый в организации подход к управлению ИБ и его реализация, включая людей, процессы и технологии, должны подвергаться независимой проверке через запланированные интервалы времени или в случае существенных изменений.
SWIFT Customer Security Controls Framework v2022:
7 - 7.4A Scenario Risk Assessment
7.4A Scenario Risk Assessment
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
АУД.10 АУД.10 Проведение внутренних аудитов
АУД.11 АУД.11 Проведение внешних аудитов
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
АУД.10 АУД.10 Проведение внутренних аудитов
АУД.11 АУД.11 Проведение внешних аудитов
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.5.35
А.5.35 Independent review of information security
The organization’s approach to managing information security and its implementation including people, processes and technologies shall be reviewed independently at planned intervals, or when significant changes occur.

Связанные защитные меры