Куда я попал?
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022
Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Body
9.1 Monitoring, measurement, analysis and evaluation
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
ГОСТ Р № 22301 от 01.01.2022 "Надежность в технике. Системы менеджмента непрерывности деятельности. Требования":
Р. 9 п. 1
9.1 Мониторинг, измерение, анализ и оценка
Организация должна определить:
Организация должна определить:
- а) объекты мониторинга и измерения;
- b) методы мониторинга, измерения, анализа и оценки (что применимо), обеспечивающие достоверные результаты;
- с) сроки и исполнителей мониторинга и измерений;
- d) сроки и исполнителей выполнения анализа и оценки результатов анализа и измерений.
Организация должна хранить соответствующую документированную информацию в качестве объективных свидетельств полученных результатов. Организация должна оценить показатели и результативность СМНД.
NIST Cybersecurity Framework (RU):
PR.IP-7
PR.IP-7: Процессы защиты постоянно улучшаются
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":
ТОН.11
ТОН.11 Определение и анализ показателей оценки эффективности программ тестирования готовности финансовой организации противостоять реализации информационных угроз.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Тело стандарта":
9.1 Мониторинг, измерение, анализ и оценивание
9.1 Мониторинг, оценка защищенности, анализ и оценивание
Организация должна определить:
Организация должна определить:
- a) что требуется мониторить и измерять, включая процессы и средства управления информационной безопасностью
- b) методы мониторинга, измерения, анализа и оценивания, если применимо, для обеспечения достоверных результатов. Выбранные методы должны давать сопоставимые и воспроизводимые результаты, чтобы их можно было считать действительными;
- c) когда должны выполняться мониторинг и измерения;
- d) кто должен выполнять мониторинг и измерения;
- e) когда результаты мониторинга и измерения должны анализироваться и оцениваться; а также
- f) кто должен анализировать и оценивать эти результаты.
Документированная информация должна быть доступна в качестве свидетельств достижения результатов.
Организация должна оценивать исполнение информационной безопасности и эффективность системы менеджмента информационной безопасности.
Организация должна оценивать исполнение информационной безопасности и эффективность системы менеджмента информационной безопасности.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования":
9.1
9.1 Мониторинг, оценка защищенности, анализ и оценивание
Организация должна оценивать деятельность по обеспечению информационной безопасности, а также результативность системы менеджмента информационной безопасности.
Организация должна определить:
а) объекты мониторинга и оценки защищенности, включая процессы, меры обеспечения информационной безопасности;
b) методы проведения мониторинга, оценки защищенности, анализа и оценивания, обеспечивающие уверенность в достоверности результатов.
Примечание — Допустимыми признаются методы, дающие сопоставимые и воспроизводимые результаты;
с) когда проводить мониторинг и оценку защищенности;
d) кто должен осуществлять мониторинг и оценку защищенности;
е) когда анализировать результаты мониторинга и оценки защищенности;
f) кто должен осуществлять анализ и оценивание этих результатов.
Организация должна хранить соответствующую документированную информацию в качестве свидетельства результатов мониторинга и оценки защищенности.
Организация должна оценивать деятельность по обеспечению информационной безопасности, а также результативность системы менеджмента информационной безопасности.
Организация должна определить:
а) объекты мониторинга и оценки защищенности, включая процессы, меры обеспечения информационной безопасности;
b) методы проведения мониторинга, оценки защищенности, анализа и оценивания, обеспечивающие уверенность в достоверности результатов.
Примечание — Допустимыми признаются методы, дающие сопоставимые и воспроизводимые результаты;
с) когда проводить мониторинг и оценку защищенности;
d) кто должен осуществлять мониторинг и оценку защищенности;
е) когда анализировать результаты мониторинга и оценки защищенности;
f) кто должен осуществлять анализ и оценивание этих результатов.
Организация должна хранить соответствующую документированную информацию в качестве свидетельства результатов мониторинга и оценки защищенности.
NIST Cybersecurity Framework (EN):
PR.IP-7
PR.IP-7: Protection processes are improved
Положение Банка России № 716-П от 08.04.2022 "О требованиях к системе управления операционным риском в кредитной организации и банковской группе":
Глава 8. Пункт 8.8
8.8.8. Проведение уполномоченным подразделением регулярной (не реже одного раза в год) оценки соблюдения установленных настоящей главой требований, включая оценку эффективности:
- соблюдения политики информационных систем;
- мероприятий, направленных на повышение качества системы управления риском информационных систем и уменьшение негативного влияния риска информационных систем;
- требований к информационным системам в целях управления риском информационных систем;
- требований по обеспечению непрерывности и качества функционирования информационных систем.
Уполномоченное подразделение направляет отчеты по результатам оценки соблюдения требований, установленных настоящей главой, совету директоров (наблюдательному совету) и коллегиальному исполнительному органу кредитной организации (головной кредитной организации банковской группы), подразделению (подразделениям), ответственному (ответственным) за обеспечение функционирования информационных систем, и службе управления рисками.
Глава 8. Пункт 7.8
8.7.8. Подразделение (подразделения), ответственное (ответственные) за обеспечение функционирования информационных систем, не реже одного раза в год проводит (проводят) анализ необходимости пересмотра требований к информационным системам с учетом текущих и стратегических планов развития, их влияния на процессы, оценки уровня операционного риска, отраженной в отчетах по операционному риску, и мероприятий, направленных на повышение качества системы операционным риском и уменьшение негативного влияния операционного риска, а также с учетом отчетов службы информационной безопасности и подразделения, ответственного за обеспечение информационной безопасности, и направляет результаты анализа коллегиальному исполнительному органу кредитной организации (головной кредитной организации банковской группы) для принятия решения о пересмотре требований к информационным системам.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.