Куда я попал?
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022
Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Body
9.3.2 Management review inputs
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
ГОСТ Р № 57580.3-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.":
ВИО.6
ВИО.6 Организация и выполнение деятельности по анализу информации, полученной в рамках инициативного информирования работниками финансовой организации подразделений, формирующих «вторую линию защиты» и «третью линию защиты».
ОПР.11.1
ОПР.11.1 Группа КПУР, характеризующих уровень совокупных потерь финансовой организации в результате событий риска реализации информационных угроз;
ВИО.5
ВИО.5 Организация и выполнение деятельности по анализу информации, полученной от подразделений, формирующих «третью линию защиты», и (или) в рамках внешнего аудита.
ГОСТ Р № 22301 от 01.01.2022 "Надежность в технике. Системы менеджмента непрерывности деятельности. Требования":
Р. 9 п. 3 пп. 2
9.3.2 Входные данные для анализа со стороны руководства
Анализ со стороны руководства должен включать рассмотрение:
Анализ со стороны руководства должен включать рассмотрение:
- а) статуса действий по результатам предыдущего анализа со стороны руководства;
- b) изменения во внешних и внутренних проблемах, которые имеют отношение к СМНД;
- с) информации о показателях работы СМНД, включая тенденции:
- 1) несоответствий и корректирующих действий;
- 2) результатов мониторинга и оценки измерений;
- 3) результатов аудита;
- d) отзывов заинтересованных сторон;
- е) необходимости изменений СМНД. включая политику и цели;
- f) процедур и ресурсов, которые можно использовать в организации для улучшения показателей результативности СМНД;
- g) информации, полученной на основе воздействий анализа на деятельность и оценки риска;
- h) результатов оценки документации и возможностей по обеспечению непрерывности деятельности (см. 8.6);
- i) риска или проблем, которые не были адекватно рассмотрены при предыдущей оценке риска;
- j) извлеченных уроков и действий, возникших в результате промахов и нарушения деятельности организации;
- к) возможностей постоянного улучшения.
NIST Cybersecurity Framework (RU):
PR.IP-7
PR.IP-7: Процессы защиты постоянно улучшаются
ID.RM-1
ID.RM-1: Процессы управления рисками установлены, управляются и согласованы заинтересованными сторонами организации
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Тело стандарта":
9.3.2 Входная информация анализа со стороны руководства
9.3.2 Входная информация анализа со стороны руководства
Анализ со стороны руководства должен включать в себя рассмотрение следующего:
Анализ со стороны руководства должен включать в себя рассмотрение следующего:
- a) статус действий после предыдущего анализа со стороны руководства;
- b) изменения внешних и внутренних параметров, которые относятся к системе менеджмента информационной безопасности;
- с) изменения потребностей и ожиданий заинтересованных сторон, имеющих отношение к системе менеджмента информационной безопасности;
- f) обратную связь в отношении исполнения информационной безопасности, включая тенденции в:
- 1) несоответствиях и корректирующих действиях;
- 2) результатах мониторинга и оценки защищенности;
- 3) результатах аудита;
- 4) достижении целей информационной безопасности;
- d) обратную связи от заинтересованных сторон;
- e) результаты оценки рисков и статус плана обработки рисков;
- f) возможности для непрерывного улучшения
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования":
9.3
9.3 Проверка со стороны руководства
Высшее руководство должно проводить проверку системы менеджмента информационной безопасности через запланированные интервалы времени в целях обеспечения уверенности в сохраняющейся ее приемлемости, адекватности и результативности.
Проверка со стороны руководства должна включать рассмотрение:
а) состояния выполнения решений по результатам предыдущих проверок со стороны руководства;
b) изменений внешних и внутренних факторов, касающихся системы менеджмента информационной безопасности;
с) отзывов о результатах деятельности по обеспечению информационной безопасности, включая тенденции:
1) в выявлении несоответствий и применении корректирующих действий;
2) результатах мониторинга и оценки защищенности;
3) результатах аудита;
4) достижении целей информационной безопасности;
d) отзывов от заинтересованных сторон;
е) результатов оценки рисков информационной безопасности и статуса выполнения плана обработки рисков информационной безопасности;
f) возможностей для постоянного улучшения системы менеджмента информационной безопасности.
Результаты проверки со стороны руководства должны включать решения, относящиеся к возможностям постоянного улучшения и к необходимости внесения любых изменений в систему менеджмента информационной безопасности организации.
Организация должна хранить документированную информацию в качестве свидетельства результатов проверок со стороны руководства
Высшее руководство должно проводить проверку системы менеджмента информационной безопасности через запланированные интервалы времени в целях обеспечения уверенности в сохраняющейся ее приемлемости, адекватности и результативности.
Проверка со стороны руководства должна включать рассмотрение:
а) состояния выполнения решений по результатам предыдущих проверок со стороны руководства;
b) изменений внешних и внутренних факторов, касающихся системы менеджмента информационной безопасности;
с) отзывов о результатах деятельности по обеспечению информационной безопасности, включая тенденции:
1) в выявлении несоответствий и применении корректирующих действий;
2) результатах мониторинга и оценки защищенности;
3) результатах аудита;
4) достижении целей информационной безопасности;
d) отзывов от заинтересованных сторон;
е) результатов оценки рисков информационной безопасности и статуса выполнения плана обработки рисков информационной безопасности;
f) возможностей для постоянного улучшения системы менеджмента информационной безопасности.
Результаты проверки со стороны руководства должны включать решения, относящиеся к возможностям постоянного улучшения и к необходимости внесения любых изменений в систему менеджмента информационной безопасности организации.
Организация должна хранить документированную информацию в качестве свидетельства результатов проверок со стороны руководства
Guideline for a healthy information system v.2.0 (EN):
38 STANDARD
/STANDARD
Carrying out regular audits (at least once per year) of the information system is essential as this makes it possible to correctly assess the effectiveness of measures implemented and their maintenance over time. These controls and audits are also able to measure the gaps that may remain between the theory and the practice.
They can be carried out by possible internal audit teams or by specialised external companies. Depending on the scope to test, technical and/or organisational audits will be carried out by the professionals called upon. These audits are especially necessary as the organization must comply with the regulations and legal obligations directly linked to its activities.
Following these audits, corrective actions must be identified, their application planned and monitoring points organised at regular intervals. For higher efficiency, indicators on the state of progress of the action plan may be integrated into the overview for the management.
Although security audits participate in the security of the information system by being able to show possible vulnerabilities, they are never proof of their absence and therefore do not negate the need for other control measures.
Carrying out regular audits (at least once per year) of the information system is essential as this makes it possible to correctly assess the effectiveness of measures implemented and their maintenance over time. These controls and audits are also able to measure the gaps that may remain between the theory and the practice.
They can be carried out by possible internal audit teams or by specialised external companies. Depending on the scope to test, technical and/or organisational audits will be carried out by the professionals called upon. These audits are especially necessary as the organization must comply with the regulations and legal obligations directly linked to its activities.
Following these audits, corrective actions must be identified, their application planned and monitoring points organised at regular intervals. For higher efficiency, indicators on the state of progress of the action plan may be integrated into the overview for the management.
Although security audits participate in the security of the information system by being able to show possible vulnerabilities, they are never proof of their absence and therefore do not negate the need for other control measures.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.