Куда я попал?
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022
Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Body
8.1 Operational planning and control
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
ГОСТ Р № 57580.3-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.":
ОПР.19.5
ОПР.19.5 Обеспечение как минимум ежегодного контроля за деятельностью в части планирования, реализации, контроля и совершенствования системы управления риском реализации информационных угроз, а также систем управления, определенных в рамках семейств стандартов ОН и ЗИ Комплекса стандартов;
ОПР.5.1
ОПР.5.1 В целях обеспечения ИБ:
- разработка и (или) пересмотр внутренних документов в области обеспечения операционной надежности и защиты информации;
- планирование, реализация (в том числе установление требований) и контроль процессов обеспечения операционной надежности и защиты информации;
- разработка предложений по совершенствованию процессов обеспечения операционной надежности и защиты информации (по результатам анализа необходимости совершенствования систем управления, определяемых в рамках семейств стандартов ОН и ЗИ);
- выявление и фиксация инцидентов, в том числе обнаружение реализации компьютерных атак и выявление фактов (индикаторов) компрометации объектов информатизации;
- формирование отчетности по вопросам обеспечения операционной надежности и защиты информации, направляемой на рассмотрение коллегиальному исполнительному органу, должностному лицу, ответственному за функционирование системы управления риском реализации информационных угроз, а также иным должностным лицам, в случае наличия соответствующих требований во внутренних документах финансовой организации или требований нормативных актов Банка России;
- осуществление других функций, связанных с реализаций процессов обеспечения операционной надежности и защиты информации, предусмотренных внутренними документами финансовой организации
Положение Банка России № 787-П от 12.01.2022 "Обязательные для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг":
п. 9
9. Кредитные организации должны установить во внутренних документах, предусмотренных подпунктом 4.1.2, абзацем первым подпункта 4.1.3 и абзацем вторым подпункта 4.1.4 пункта 4.1 Положения Банка России N 716-П, описание процедур, направленных на реализацию требований к операционной надежности, включая:
- определение и описание состава процедур, направленных на выполнение требований к операционной надежности;
- определение перечня и порядка организационного взаимодействия подразделений кредитной организации, участвующих в соблюдении требований к операционной надежности, с учетом исключения конфликта интересов;
- определение порядка осуществления контроля за соблюдением требований к операционной надежности в рамках системы внутреннего контроля;
- выделение ресурсного обеспечения для выполнения требований к операционной надежности;
- порядок утверждения и условия пересмотра процедур, направленных на выполнение требований к операционной надежности.
Кредитная организация должна обеспечить реализацию требований к операционной надежности начиная с разработки и планирования внедрения технологических процессов.
ГОСТ Р № 22301 от 01.01.2022 "Надежность в технике. Системы менеджмента непрерывности деятельности. Требования":
Р. 8 п. 2 пп. 2
8.2.2 Анализ воздействий на деятельность
Организация должна использовать процесс анализа воздействий на деятельность для определения приоритетов и требований к обеспечению непрерывности деятельности.
Процесс должен:
Организация должна использовать процесс анализа воздействий на деятельность для определения приоритетов и требований к обеспечению непрерывности деятельности.
Процесс должен:
- а) определить виды воздействий и критерии, соответствующие области применения и специфике организации;
- b) определить виды деятельности, которые поддерживают производство продукции и оказание услуг;
- с) использовать типы и критерии воздействий для оценки воздействий, происходящих в результате нарушения деятельности организации в этих видах деятельности;
- d) определить продолжительность времени, в течение которого невозобновление деятельности становится неприемлемым для организации;
Примечание 1 — Данный период времени можно назвать «максимально допустимым периодом прерывания деятельности».
- е) установить предпочтительную продолжительность времени, указанного в d), для возобновления прерванной деятельности, установленным минимально приемлемым объемом производства продукции;
Примечание 2 — Такой временной интервал можно назвать «целевой продолжительностью восстановления».
- f) использовать данный анализ для определения приоритетных видов деятельности;
- д) определить ресурсы, необходимы для поддержки приоритетных видов деятельности;
- h) определить виды зависимости, в том числе от партнеров и поставщиков, а также взаимозависимости. связанные с приоритетными видами деятельности.
Р. 8 п. 1
8.1 Оперативное планирование и управление
Организация должна планировать, выполнять и контролировать процессы, необходимые для выполнения требований и осуществления действий, определенных в 6.1:
Организация должна планировать, выполнять и контролировать процессы, необходимые для выполнения требований и осуществления действий, определенных в 6.1:
- а) путем установления критериев состояния процессов;
- b) осуществления контроля и управления процессами в соответствии с критериями;
- с) хранения документированной информации в объеме, необходимом для уверенности в том. что процессы выполнены в соответствии с планом.
Организация должна управлять запланированными изменениями и анализировать последствия непреднамеренных изменений, принимая меры для смягчения всех неблагоприятных последствий, при необходимости. Организация должна обеспечить управление процессами аутсорсинга и цепочкой поставок.
NIST Cybersecurity Framework (RU):
ID.GV-4
ID.GV-4: Процессы руководства и управления рисками направлены на устранение рисков кибербезопасности
ID.RM-1
ID.RM-1: Процессы управления рисками установлены, управляются и согласованы заинтересованными сторонами организации
PR.IP-7
PR.IP-7: Процессы защиты постоянно улучшаются
DE.DP-5
DE.DP-5: Процессы обнаружения постоянно совершенствуются
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Тело стандарта":
8.1 Операционное планирование и контроль
8.1 Оперативнное планирование и контроль
Организация должна планировать, внедрять и контролировать процессы, необходимые для выполнения требований информационной безопасности, а также для реализации действий, определенных в Разделе 6, посредством:
Организация должна планировать, внедрять и контролировать процессы, необходимые для выполнения требований информационной безопасности, а также для реализации действий, определенных в Разделе 6, посредством:
- установление критериев для процессов;
- осуществление контроля процессов в соответствии с критериями.
Документированная информация должна быть доступна в объеме, необходимом для уверенности в том, что процессы выполняются в соответствии с планом.
Организация должна контролировать запланированные изменения и анализировать последствия непреднамеренных изменений, предпринимая действия по снижению любых неблагоприятных последствий, если это необходимо.
Организация должна обеспечить контроль предоставляемых извне, относящихся к системе менеджмента информационной безопасности, процессов, продуктов или услуг.
Организация должна контролировать запланированные изменения и анализировать последствия непреднамеренных изменений, предпринимая действия по снижению любых неблагоприятных последствий, если это необходимо.
Организация должна обеспечить контроль предоставляемых извне, относящихся к системе менеджмента информационной безопасности, процессов, продуктов или услуг.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования":
8.1
8.1 Оперативное планирование и контроль
Организация должна планировать, реализовывать и контролировать процессы, необходимые для соответствия требованиям информационной безопасности и для осуществления действий, определенных в 6.1. Организация должна также реализовывать планы по достижению целей информационной безопасности, определенных в соответствии с 6.2.
Организация должна хранить документированную информацию в объеме, необходимом для обеспечения уверенности в том, что процессы были выполнены в соответствии с планами.
В организации необходимо управлять запланированными изменениями системы менеджмента информационной безопасности и анализировать последствия незапланированных изменений, принимая при необходимости меры по снижению любых неблагоприятных последствий.
Процессы организации, осуществляемые с использованием аутсорсинга, должны быть определены и проконтролированы.
Аутсорсинг — передача одним юридическим лицом (контрактором) другому юридическому лицу (субконтрактору) работ или услуг и принятие их к выполнению этим другим юридическим лицом (субконтрактором) на основании договора (см. Решение Совета Евразийской экономической комиссии от 21 декабря 2016 г. № 143 «О Концепции создания евразийской сети промышленной кооперации и субконтрактации»).
Организация должна планировать, реализовывать и контролировать процессы, необходимые для соответствия требованиям информационной безопасности и для осуществления действий, определенных в 6.1. Организация должна также реализовывать планы по достижению целей информационной безопасности, определенных в соответствии с 6.2.
Организация должна хранить документированную информацию в объеме, необходимом для обеспечения уверенности в том, что процессы были выполнены в соответствии с планами.
В организации необходимо управлять запланированными изменениями системы менеджмента информационной безопасности и анализировать последствия незапланированных изменений, принимая при необходимости меры по снижению любых неблагоприятных последствий.
Процессы организации, осуществляемые с использованием аутсорсинга, должны быть определены и проконтролированы.
Аутсорсинг — передача одним юридическим лицом (контрактором) другому юридическому лицу (субконтрактору) работ или услуг и принятие их к выполнению этим другим юридическим лицом (субконтрактором) на основании договора (см. Решение Совета Евразийской экономической комиссии от 21 декабря 2016 г. № 143 «О Концепции создания евразийской сети промышленной кооперации и субконтрактации»).
NIST Cybersecurity Framework (EN):
ID.GV-4
ID.GV-4: Governance and risk management processes address cybersecurity risks
ID.RM-1
ID.RM-1: Risk management processes are established, managed, and agreed to by organizational stakeholders
PR.IP-7
PR.IP-7: Protection processes are improved
DE.DP-5
DE.DP-5: Detection processes are continuously improved
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.