Куда я попал?
ГОСТ Р № 22301 от 01.01.2022
Надежность в технике. Системы менеджмента непрерывности деятельности. Требования
Р. 9 п. 3 пп. 2
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
ГОСТ Р № 57580.3-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.":
ВИО.6
ВИО.6 Организация и выполнение деятельности по анализу информации, полученной в рамках инициативного информирования работниками финансовой организации подразделений, формирующих «вторую линию защиты» и «третью линию защиты».
ВИО.5
ВИО.5 Организация и выполнение деятельности по анализу информации, полученной от подразделений, формирующих «третью линию защиты», и (или) в рамках внешнего аудита.
NIST Cybersecurity Framework (RU):
ID.RM-3
ID.RM-3: Определение отношения (степени принятия риска) к риску организации основывается на ее роли в критической инфраструктуре и анализе рисков для конкретных секторов
ID.SC-4
ID.SC-4: Производиться контроль поставщиков и партнеров, чтобы подтвердить, что они выполнили свои обязательства в соответствии с требованиями. Проводятся обзоры аудитов, сводки результатов тестов или другие эквивалентные оценки поставщиков
DE.DP-4
DE.DP-4: Информация об обнаружении событий передается соответствующим сторонам
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Тело стандарта":
9.3.2 Входная информация анализа со стороны руководства
9.3.2 Входная информация анализа со стороны руководства
Анализ со стороны руководства должен включать в себя рассмотрение следующего:
Анализ со стороны руководства должен включать в себя рассмотрение следующего:
- a) статус действий после предыдущего анализа со стороны руководства;
- b) изменения внешних и внутренних параметров, которые относятся к системе менеджмента информационной безопасности;
- с) изменения потребностей и ожиданий заинтересованных сторон, имеющих отношение к системе менеджмента информационной безопасности;
- f) обратную связь в отношении исполнения информационной безопасности, включая тенденции в:
- 1) несоответствиях и корректирующих действиях;
- 2) результатах мониторинга и оценки защищенности;
- 3) результатах аудита;
- 4) достижении целей информационной безопасности;
- d) обратную связи от заинтересованных сторон;
- e) результаты оценки рисков и статус плана обработки рисков;
- f) возможности для непрерывного улучшения
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования":
9.3
9.3 Проверка со стороны руководства
Высшее руководство должно проводить проверку системы менеджмента информационной безопасности через запланированные интервалы времени в целях обеспечения уверенности в сохраняющейся ее приемлемости, адекватности и результативности.
Проверка со стороны руководства должна включать рассмотрение:
а) состояния выполнения решений по результатам предыдущих проверок со стороны руководства;
b) изменений внешних и внутренних факторов, касающихся системы менеджмента информационной безопасности;
с) отзывов о результатах деятельности по обеспечению информационной безопасности, включая тенденции:
1) в выявлении несоответствий и применении корректирующих действий;
2) результатах мониторинга и оценки защищенности;
3) результатах аудита;
4) достижении целей информационной безопасности;
d) отзывов от заинтересованных сторон;
е) результатов оценки рисков информационной безопасности и статуса выполнения плана обработки рисков информационной безопасности;
f) возможностей для постоянного улучшения системы менеджмента информационной безопасности.
Результаты проверки со стороны руководства должны включать решения, относящиеся к возможностям постоянного улучшения и к необходимости внесения любых изменений в систему менеджмента информационной безопасности организации.
Организация должна хранить документированную информацию в качестве свидетельства результатов проверок со стороны руководства
Высшее руководство должно проводить проверку системы менеджмента информационной безопасности через запланированные интервалы времени в целях обеспечения уверенности в сохраняющейся ее приемлемости, адекватности и результативности.
Проверка со стороны руководства должна включать рассмотрение:
а) состояния выполнения решений по результатам предыдущих проверок со стороны руководства;
b) изменений внешних и внутренних факторов, касающихся системы менеджмента информационной безопасности;
с) отзывов о результатах деятельности по обеспечению информационной безопасности, включая тенденции:
1) в выявлении несоответствий и применении корректирующих действий;
2) результатах мониторинга и оценки защищенности;
3) результатах аудита;
4) достижении целей информационной безопасности;
d) отзывов от заинтересованных сторон;
е) результатов оценки рисков информационной безопасности и статуса выполнения плана обработки рисков информационной безопасности;
f) возможностей для постоянного улучшения системы менеджмента информационной безопасности.
Результаты проверки со стороны руководства должны включать решения, относящиеся к возможностям постоянного улучшения и к необходимости внесения любых изменений в систему менеджмента информационной безопасности организации.
Организация должна хранить документированную информацию в качестве свидетельства результатов проверок со стороны руководства
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Body":
9.3.2 Management review inputs
9.3.2 Management review inputs
The management review shall include consideration of:
The management review shall include consideration of:
- a) the status of actions from previous management reviews;
- b) changes in external and internal issues that are relevant to the information security management system;
- c) changes in needs and expectations of interested parties that are relevant to the information security management system;
- d) feedback on the information security performance, including trends in:
- 1) nonconformities and corrective actions;
- 2) monitoring and measurement results;
- 3) audit results;
- 4) fulfilment of information security objectives;
- e) feedback from interested parties;
- f) results of risk assessment and status of risk treatment plan;.
- g) opportunities for continual improvement
NIST Cybersecurity Framework (EN):
ID.RM-3
ID.RM-3: The organization’s determination of risk tolerance is informed by its role in critical infrastructure and sector specific risk analysis
ID.SC-4
ID.SC-4: Suppliers and third-party partners are routinely assessed using audits, test results, or other forms of evaluations to confirm they are meeting their contractual obligations.
DE.DP-4
DE.DP-4: Event detection information is communicated
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.