Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022

Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования

6.2

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

ГОСТ Р № 57580.3-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.":
ОПР.10
ОПР.10 Установление целей и требований политики управления риском реализации информационных угроз с участием и по согласованию с вовлеченными подразделениями, формирующими «три линии защиты». 
ГОСТ Р № 22301 от 01.01.2022 "Надежность в технике. Системы менеджмента непрерывности деятельности. Требования":
Р. 6 п. 2 пп. 1
 6.2.1 Установление целей в области обеспечения непрерывности деятельности 
Организация должна установить цели в области обеспечения непрерывности деятельности для соответствующих уровней и подразделений. 
Цели в области обеспечения непрерывности деятельности должны: 
  • а) соответствовать политике в области обеспечения непрерывности деятельности;
  • b) быть измеримыми (если применимо); 
  • с) учитывать применимые требования (см. 4.1 и 4.2); 
  • d) быть объектом постоянного мониторинга; 
  • е) быть объектом обмена информацией с заинтересованными сторонами; 
  • f) актуализироваться по мере необходимости. 
Организация должна хранить документированную информацию о целях в области обеспечения непрерывности деятельности. 
Р. 6 п. 2 пп. 2
 6.2.2 Определение целей в области обеспечения непрерывности деятельности 
При планировании способов достижения целей в области обеспечения непрерывности деятельности организация должна определить: 
  • а) что необходимо сделать; 
  • b) какие необходимы ресурсы; 
  • с) ответственных; 
  • d) сроки достижения целей; 
  • е) способы оценки результатов. 
NIST Cybersecurity Framework (RU):
ID.GV-4
ID.GV-4: Процессы руководства и управления рисками направлены на устранение рисков кибербезопасности 
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Тело стандарта":
6.2 Цели ИБ и планирование их достижения
6.2 Цели информационной безопасности и планирование их достижения
Организация должна установить цели информационной безопасности на соответствующих видах деятельности и уровнях. 
Цели информационной безопасности должны:
  • а) согласовываться с политикой информационной безопасности; 
  • b) быть измеряемыми (если это осуществимо);
  • c) учитывать применимые требования информационной безопасности, результаты оценки и обработки рисков;
  • d) мониториться:
  • е) быть доведенными до всех заинтересованных сторон;
  • f) обновляться по мере необходимости:
  • g) быть задокументированными.
Организация должна сохранять документированную информацию в отношении целей информационной безопасности.
При планировании методов достижения целей информационной безопасности организация должна определить:
  • h) что должно быть сделано;
  • i) какие ресурсы потребуются;
  • j) кто за это будет ответственным;
  • k) когда это должно быть закончено; а также
  • l) каким образом результаты будут оцениваться.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Body":
6.2 Information security objectives and planning to achieve them
6.2 Information security objectives and planning to achieve them
The organization shall establish information security objectives at relevant functions and levels. The information security objectives shall:
  • a) be consistent with the information security policy;
  • b) be measurable (if practicable);
  • c) take into account applicable information security requirements, and results from risk assessment and risk treatment;
  • d) be monitored;
  • e) be communicated; 
  • f) be updated as appropriate:
  • g) be available as documented information.
The organization shall retain documented information on the information security objectives.
When planning how to achieve its information security objectives, the organization shall determine:
  • h) what will be done;
  • i) what resources will be required;
  • j) who will be responsible;
  • k) when it will be completed; and
  • l) how the results will be evaluated.
NIST Cybersecurity Framework (EN):
ID.GV-4 ID.GV-4: Governance and risk management processes address cybersecurity risks