Куда я попал?
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022
Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Body
9.2.1 General
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 8. Требования к организации и управлению защитой информации":
СЗИ.2
СЗИ.2 Проведение и фиксация результатов (свидетельств) анализа необходимости совершенствования процесса системы защиты информации в случаях изменения политики финансовой организации в отношении:
- области применения процесса системы защиты информации;
- основных принципов и приоритетов в реализации процесса системы защиты информации;
- целевых показателей величины допустимого остаточного операционного риска (риск-аппетита), связанного с обеспечением безопасности информации
3-О 2-О 1-О
ГОСТ Р № 22301 от 01.01.2022 "Надежность в технике. Системы менеджмента непрерывности деятельности. Требования":
Р. 9 п. 2 пп. 1
9.2.1 Общие положения
Организация должна проводить внутренние аудиторские проверки через запланированные промежутки времени, чтобы получить информацию о том. что СМНД:
Организация должна проводить внутренние аудиторские проверки через запланированные промежутки времени, чтобы получить информацию о том. что СМНД:
- а) соответствует:
- 1) требованиям организации к своей СМНД;
- 2) требованиям настоящего стандарта;
- b) результативно функционирует и поддерживается в рабочем состоянии.
NIST Cybersecurity Framework (RU):
PR.IP-7
PR.IP-7: Процессы защиты постоянно улучшаются
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Тело стандарта":
9.2.1 Общие положения
9.2.1 Общие положения
Организация должна проводить внутренний аудит в запланированные интервалы времени с целью предоставления информации от том, что система менеджмента информационной безопасности:
a) соответствует
Организация должна проводить внутренний аудит в запланированные интервалы времени с целью предоставления информации от том, что система менеджмента информационной безопасности:
a) соответствует
- собственным требованиям организации к ее системе менеджмента информационной безопасности; а также
- требованиям настоящего документа;
b) эффективно применяется и поддерживается.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования":
9.2
9.2 Внутренний аудит Организация должна проводить внутренние аудиты через запланированных интервалы времени, чтобы получать информацию о том,
a) соответствует ли система менеджмента информационной безопасности
1) собственным требованиям организации к ее системе менеджмента информационной безопасности; и
2) требованиям Настоящего Международного Стандарта;
b) что система менеджмента информационной безопасности результативно внедрена и функционирует. Организация должна:
c) планировать, разрабатывать, выполнять и управлять программой(ами) аудитов, включая периодичность их проведения, методы, ответственность, требования к планированию и отчетности. Программа (ы) аудитов должна учитывать значимость проверяемых процессов и результаты предыдущих аудитов;
d) определить критерии и область аудита для каждой проверки;
e) выбирать аудиторов и проводить аудиты так, чтобы гарантировать объективность и беспристрастность процесса аудита;
f) гарантировать, что результаты аудитов переданы на соответствующим руководителям, и
g) сохранять документированную информацию как подтверждение программы аудита и его результатов.
f) обеспечивать предоставление результатов аудитов соответствующим руководителям организации;
g) хранить документированную информацию в качестве свидетельств реализации программ(ы) аудита и результатов аудита.
a) соответствует ли система менеджмента информационной безопасности
1) собственным требованиям организации к ее системе менеджмента информационной безопасности; и
2) требованиям Настоящего Международного Стандарта;
b) что система менеджмента информационной безопасности результативно внедрена и функционирует. Организация должна:
c) планировать, разрабатывать, выполнять и управлять программой(ами) аудитов, включая периодичность их проведения, методы, ответственность, требования к планированию и отчетности. Программа (ы) аудитов должна учитывать значимость проверяемых процессов и результаты предыдущих аудитов;
d) определить критерии и область аудита для каждой проверки;
e) выбирать аудиторов и проводить аудиты так, чтобы гарантировать объективность и беспристрастность процесса аудита;
f) гарантировать, что результаты аудитов переданы на соответствующим руководителям, и
g) сохранять документированную информацию как подтверждение программы аудита и его результатов.
f) обеспечивать предоставление результатов аудитов соответствующим руководителям организации;
g) хранить документированную информацию в качестве свидетельств реализации программ(ы) аудита и результатов аудита.
Guideline for a healthy information system v.2.0 (EN):
38 STANDARD
/STANDARD
Carrying out regular audits (at least once per year) of the information system is essential as this makes it possible to correctly assess the effectiveness of measures implemented and their maintenance over time. These controls and audits are also able to measure the gaps that may remain between the theory and the practice.
They can be carried out by possible internal audit teams or by specialised external companies. Depending on the scope to test, technical and/or organisational audits will be carried out by the professionals called upon. These audits are especially necessary as the organization must comply with the regulations and legal obligations directly linked to its activities.
Following these audits, corrective actions must be identified, their application planned and monitoring points organised at regular intervals. For higher efficiency, indicators on the state of progress of the action plan may be integrated into the overview for the management.
Although security audits participate in the security of the information system by being able to show possible vulnerabilities, they are never proof of their absence and therefore do not negate the need for other control measures.
Carrying out regular audits (at least once per year) of the information system is essential as this makes it possible to correctly assess the effectiveness of measures implemented and their maintenance over time. These controls and audits are also able to measure the gaps that may remain between the theory and the practice.
They can be carried out by possible internal audit teams or by specialised external companies. Depending on the scope to test, technical and/or organisational audits will be carried out by the professionals called upon. These audits are especially necessary as the organization must comply with the regulations and legal obligations directly linked to its activities.
Following these audits, corrective actions must be identified, their application planned and monitoring points organised at regular intervals. For higher efficiency, indicators on the state of progress of the action plan may be integrated into the overview for the management.
Although security audits participate in the security of the information system by being able to show possible vulnerabilities, they are never proof of their absence and therefore do not negate the need for other control measures.
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
АУД.10
АУД.10 Проведение внутренних аудитов
NIST Cybersecurity Framework (EN):
PR.IP-7
PR.IP-7: Protection processes are improved
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
АУД.10
АУД.10 Проведение внутренних аудитов
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.