Куда я попал?
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022
Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Тело стандарта
9.1 Мониторинг, измерение, анализ и оценивание
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
ГОСТ Р № 22301 от 01.01.2022 "Надежность в технике. Системы менеджмента непрерывности деятельности. Требования":
Р. 9 п. 1
9.1 Мониторинг, измерение, анализ и оценка
Организация должна определить:
Организация должна определить:
- а) объекты мониторинга и измерения;
- b) методы мониторинга, измерения, анализа и оценки (что применимо), обеспечивающие достоверные результаты;
- с) сроки и исполнителей мониторинга и измерений;
- d) сроки и исполнителей выполнения анализа и оценки результатов анализа и измерений.
Организация должна хранить соответствующую документированную информацию в качестве объективных свидетельств полученных результатов. Организация должна оценить показатели и результативность СМНД.
NIST Cybersecurity Framework (RU):
PR.IP-7
PR.IP-7: Процессы защиты постоянно улучшаются
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":
ТОН.11
ТОН.11 Определение и анализ показателей оценки эффективности программ тестирования готовности финансовой организации противостоять реализации информационных угроз.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования":
9.1
9.1 Мониторинг, оценка защищенности, анализ и оценивание
Организация должна оценивать деятельность по обеспечению информационной безопасности, а также результативность системы менеджмента информационной безопасности.
Организация должна определить:
а) объекты мониторинга и оценки защищенности, включая процессы, меры обеспечения информационной безопасности;
b) методы проведения мониторинга, оценки защищенности, анализа и оценивания, обеспечивающие уверенность в достоверности результатов.
Примечание — Допустимыми признаются методы, дающие сопоставимые и воспроизводимые результаты;
с) когда проводить мониторинг и оценку защищенности;
d) кто должен осуществлять мониторинг и оценку защищенности;
е) когда анализировать результаты мониторинга и оценки защищенности;
f) кто должен осуществлять анализ и оценивание этих результатов.
Организация должна хранить соответствующую документированную информацию в качестве свидетельства результатов мониторинга и оценки защищенности.
Организация должна оценивать деятельность по обеспечению информационной безопасности, а также результативность системы менеджмента информационной безопасности.
Организация должна определить:
а) объекты мониторинга и оценки защищенности, включая процессы, меры обеспечения информационной безопасности;
b) методы проведения мониторинга, оценки защищенности, анализа и оценивания, обеспечивающие уверенность в достоверности результатов.
Примечание — Допустимыми признаются методы, дающие сопоставимые и воспроизводимые результаты;
с) когда проводить мониторинг и оценку защищенности;
d) кто должен осуществлять мониторинг и оценку защищенности;
е) когда анализировать результаты мониторинга и оценки защищенности;
f) кто должен осуществлять анализ и оценивание этих результатов.
Организация должна хранить соответствующую документированную информацию в качестве свидетельства результатов мониторинга и оценки защищенности.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Body":
9.1 Monitoring, measurement, analysis and evaluation
9.1 Monitoring, measurement, analysis and evaluation
The organization shall determine:
The organization shall determine:
- a) what needs to be monitored and measured, including information security processes and controls;
- b) the methods for monitoring, measurement, analysis and evaluation, as applicable, to ensure valid results. The methods selected should produce comparable and reproducible results to be considered valid;
- c) when the monitoring and measuring shall be performed;
- d) who shall monitor and measure;
- e) when the results from monitoring and measurement shall be analysed and evaluated; and
- f) who shall analyse and evaluate these results
Documented information shall be available as evidence of the results.
The organization shall evaluate the information security performance and the effectiveness of the information security management system.
The organization shall evaluate the information security performance and the effectiveness of the information security management system.
NIST Cybersecurity Framework (EN):
PR.IP-7
PR.IP-7: Protection processes are improved
Положение Банка России № 716-П от 08.04.2022 "О требованиях к системе управления операционным риском в кредитной организации и банковской группе":
Глава 8. Пункт 8.8
8.8.8. Проведение уполномоченным подразделением регулярной (не реже одного раза в год) оценки соблюдения установленных настоящей главой требований, включая оценку эффективности:
- соблюдения политики информационных систем;
- мероприятий, направленных на повышение качества системы управления риском информационных систем и уменьшение негативного влияния риска информационных систем;
- требований к информационным системам в целях управления риском информационных систем;
- требований по обеспечению непрерывности и качества функционирования информационных систем.
Уполномоченное подразделение направляет отчеты по результатам оценки соблюдения требований, установленных настоящей главой, совету директоров (наблюдательному совету) и коллегиальному исполнительному органу кредитной организации (головной кредитной организации банковской группы), подразделению (подразделениям), ответственному (ответственным) за обеспечение функционирования информационных систем, и службе управления рисками.
Глава 8. Пункт 7.8
8.7.8. Подразделение (подразделения), ответственное (ответственные) за обеспечение функционирования информационных систем, не реже одного раза в год проводит (проводят) анализ необходимости пересмотра требований к информационным системам с учетом текущих и стратегических планов развития, их влияния на процессы, оценки уровня операционного риска, отраженной в отчетах по операционному риску, и мероприятий, направленных на повышение качества системы операционным риском и уменьшение негативного влияния операционного риска, а также с учетом отчетов службы информационной безопасности и подразделения, ответственного за обеспечение информационной безопасности, и направляет результаты анализа коллегиальному исполнительному органу кредитной организации (головной кредитной организации банковской группы) для принятия решения о пересмотре требований к информационным системам.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.