Куда я попал?
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022
Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Body
6.1.1 General
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
ГОСТ Р № 57580.3-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.":
ОПР.13.3
ОПР.13.3 Валидацию и верификацию со стороны подразделений, формирующих «вторую» и «третью линии защиты», методологии и внутренней отчетности в рамках управления риском реализации информационных угроз;
ГОСТ Р № 22301 от 01.01.2022 "Надежность в технике. Системы менеджмента непрерывности деятельности. Требования":
Р. 6 п. 1 пп. 2
6.1.2 Снижение риска и использование возможностей
Организация должна планировать:
- а) действия по снижению или устранению выявленного риска и использованию выявленных возможностей;
- b) способы:
- 1) интегрирования и внедрения действий в процессы СМНД организации (см. 8.1);
- 2) оценку результативности этих действий (см. 9.1).
Примечание — Риск и возможности связаны с результативностью системы менеджмента. Риск, связанный с нарушением деятельности, рассмотрен в 6.2.
Р. 6 п. 1 пп. 1
6.1.1 Определение риска и благоприятных возможностей
При планировании СМНД организация должна учитывать вопросы, указанные в 4.1. требования, указанные в 4.2, и определить риски и возможности:
При планировании СМНД организация должна учитывать вопросы, указанные в 4.1. требования, указанные в 4.2, и определить риски и возможности:
- а) для обеспечения уверенности в достижении СМНД поставленных целей;
- b) предупреждения или снижения нежелательных воздействий;
- с) обеспечения постоянного улучшения.
NIST Cybersecurity Framework (RU):
ID.GV-4
ID.GV-4: Процессы руководства и управления рисками направлены на устранение рисков кибербезопасности
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Тело стандарта":
6.1.1 Общие положения
6.1.1 Общие положения
При планировании системы менеджмента информационной безопасности организация должна рассмотреть параметры, относящиеся к п. 4.1, требования из п.4.2, а также определить риски и возможности, которые требуются в отношении вопросов:
При планировании системы менеджмента информационной безопасности организация должна рассмотреть параметры, относящиеся к п. 4.1, требования из п.4.2, а также определить риски и возможности, которые требуются в отношении вопросов:
- а) обеспечения достижения системой менеджмента информационной безопасности ее ожидаемых результатов;
- b) предотвращения или снижения нежелательных последствий, а также
- c) достижения непрерывного улучшения
Организация должна планировать:
- d) действия в отношении этих рисков и возможностей; а также
- e) каким образом
- 1) интегрировать и внедрить действия в процессы ее системы менеджмента информационной безопасности; а также
- 2) оценивать эффективность этих действий.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования":
6.1.1
6.1.1 Общие положения
При планировании системы менеджмента информационной безопасности организация должна учитывать факторы, указанные в 4.1, и требования, приведенные в 4.2, а также определять подлежащие рассмотрению риски информационной безопасности и возможности организации для:
а) обеспечения уверенности в том, что система менеджмента информационной безопасности способна достичь намеченных результатов;
b) предотвращения или уменьшения нежелательных последствий (Например, реализации рисков информационной безопасности);
с) обеспечения постоянного улучшения (Например, уровня информационной безопасности).
Организация должна планировать:
d) действия по рассмотрению данных рисков и возможностей;
е) каким образом:
1) интегрировать и внедрять эти действия в процессы системы менеджмента информационной безопасности;
2) оценивать результативность этих действий.
При планировании системы менеджмента информационной безопасности организация должна учитывать факторы, указанные в 4.1, и требования, приведенные в 4.2, а также определять подлежащие рассмотрению риски информационной безопасности и возможности организации для:
а) обеспечения уверенности в том, что система менеджмента информационной безопасности способна достичь намеченных результатов;
b) предотвращения или уменьшения нежелательных последствий (Например, реализации рисков информационной безопасности);
с) обеспечения постоянного улучшения (Например, уровня информационной безопасности).
Организация должна планировать:
d) действия по рассмотрению данных рисков и возможностей;
е) каким образом:
1) интегрировать и внедрять эти действия в процессы системы менеджмента информационной безопасности;
2) оценивать результативность этих действий.
Guideline for a healthy information system v.2.0 (EN):
41 STANDARD
/STANDARD
Each organization develops within a complex computing environment specific to itself. As such, any position taken or action plan involving the information system security must be considered in light of the risks foreseen by the management. Whether it is organisational or technical measures, their implementation represents a cost for the organization, which needs to ensure that they are able to reduce an identified risk to an acceptable level.
In the most sensitive cases, the risk analysis may call into question certain previous choices. This may be the case if the probability of an event appearing and its potential consequences prove critical for the organization and there is no preventive action to control it.
The recommended approach consists, in broad terms, of defining the context, assessing the risks and dealing with them. The risk assessment generally works by considering two areas: the likelihood and the impacts. This is then followed by the creation of a risk treatment plan to be validated by a designated authority at a higher level.
Three kinds of approach can be considered to control the risks associated with the information system:
In the most sensitive cases, the risk analysis may call into question certain previous choices. This may be the case if the probability of an event appearing and its potential consequences prove critical for the organization and there is no preventive action to control it.
The recommended approach consists, in broad terms, of defining the context, assessing the risks and dealing with them. The risk assessment generally works by considering two areas: the likelihood and the impacts. This is then followed by the creation of a risk treatment plan to be validated by a designated authority at a higher level.
Three kinds of approach can be considered to control the risks associated with the information system:
- the recourse to best IT security practices;
- a systematic risk analysis based on feedback from users;
- a structured risk management formalised by a dedicated methodology.
In this last case, the EBIOS method referenced by ANSSI is recommended. It is able to write down security needs, identify the security objectives and determine the security demands
NIST Cybersecurity Framework (EN):
ID.GV-4
ID.GV-4: Governance and risk management processes address cybersecurity risks
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.