Куда я попал?
NIST Cybersecurity Framework (EN)
Framework
ID.BE-3
Для проведения оценки соответствия по документу войдите в систему.
Похожие требования
ГОСТ Р № 22301 от 01.01.2022 "Надежность в технике. Системы менеджмента непрерывности деятельности. Требования":
Р. 8 п. 3 пп. 2
8.3.2 Идентификация стратегий и решений
Идентификация стратегий и решений должна быть основана на уровне их полезности:
Идентификация стратегий и решений должна быть основана на уровне их полезности:
- а) при выполнении требований к продолжению и восстановлению приоритетных мероприятий в установленные сроки с установленным объемом производства;
- b) обеспечении защиты приоритетных направлений деятельности организации;
- с) снижении вероятности нарушения деятельности организации;
- d) сокращении продолжительности простоя при нарушении деятельности организации;
- е) ограничении влияния нарушения деятельности организации на продукцию и услуги организации;
- f) обеспечении необходимых ресурсов.
Р. 4 п. 3 пп. 1
4.3.1 Общие положения
Организация должна определить границы и применимость СМНД для установления ее области применения.
При установлении области определения СМНД организация должна учитывать:
Организация должна определить границы и применимость СМНД для установления ее области применения.
При установлении области определения СМНД организация должна учитывать:
- а) внешние и внутренние проблемы, указанные в 4.1;
- b) требования, указанные в 4.2;
- с) назначение, цели, а также внутренние и внешние обязательства организации.
Область применения СМНД организации должна быть документирована и доступна.
Р. 8 п. 2 пп. 2
8.2.2 Анализ воздействий на деятельность
Организация должна использовать процесс анализа воздействий на деятельность для определения приоритетов и требований к обеспечению непрерывности деятельности.
Процесс должен:
Организация должна использовать процесс анализа воздействий на деятельность для определения приоритетов и требований к обеспечению непрерывности деятельности.
Процесс должен:
- а) определить виды воздействий и критерии, соответствующие области применения и специфике организации;
- b) определить виды деятельности, которые поддерживают производство продукции и оказание услуг;
- с) использовать типы и критерии воздействий для оценки воздействий, происходящих в результате нарушения деятельности организации в этих видах деятельности;
- d) определить продолжительность времени, в течение которого невозобновление деятельности становится неприемлемым для организации;
Примечание 1 — Данный период времени можно назвать «максимально допустимым периодом прерывания деятельности».
- е) установить предпочтительную продолжительность времени, указанного в d), для возобновления прерванной деятельности, установленным минимально приемлемым объемом производства продукции;
Примечание 2 — Такой временной интервал можно назвать «целевой продолжительностью восстановления».
- f) использовать данный анализ для определения приоритетных видов деятельности;
- д) определить ресурсы, необходимы для поддержки приоритетных видов деятельности;
- h) определить виды зависимости, в том числе от партнеров и поставщиков, а также взаимозависимости. связанные с приоритетными видами деятельности.
Р. 5 п. 2 пп. 1
5.2.1 Установление политики в области обеспечения непрерывности деятельности
Высшее руководство должно установить политику в области обеспечения непрерывности деятельности. которая:
Высшее руководство должно установить политику в области обеспечения непрерывности деятельности. которая:
- а) соответствует целям организации;
- b) обеспечивает основу для установления целей в области обеспечения непрерывности деятельности;
- с) включает в себя обязательство организации о выполнении применимых требований;
- d) включает в себя обязательство по постоянному улучшению СМНД.
Р. 6 п. 2 пп. 1
6.2.1 Установление целей в области обеспечения непрерывности деятельности
Организация должна установить цели в области обеспечения непрерывности деятельности для соответствующих уровней и подразделений.
Цели в области обеспечения непрерывности деятельности должны:
Организация должна установить цели в области обеспечения непрерывности деятельности для соответствующих уровней и подразделений.
Цели в области обеспечения непрерывности деятельности должны:
- а) соответствовать политике в области обеспечения непрерывности деятельности;
- b) быть измеримыми (если применимо);
- с) учитывать применимые требования (см. 4.1 и 4.2);
- d) быть объектом постоянного мониторинга;
- е) быть объектом обмена информацией с заинтересованными сторонами;
- f) актуализироваться по мере необходимости.
Организация должна хранить документированную информацию о целях в области обеспечения непрерывности деятельности.
Р. 4 п. 1
4.1 Понимание особенностей организации и условий ее работы
Организация должна определить внешние и внутренние проблемы, которые могут повлиять на ее возможности достижения поставленных целей и намеченных результатов системы менеджмента непрерывности деятельности (СМНД).
Примечание — Эти проблемы связаны с общими целями организации, ее продукцией и услугами, а также величиной и типом риска, который может или не может быть принят организацией.
Организация должна определить внешние и внутренние проблемы, которые могут повлиять на ее возможности достижения поставленных целей и намеченных результатов системы менеджмента непрерывности деятельности (СМНД).
Примечание — Эти проблемы связаны с общими целями организации, ее продукцией и услугами, а также величиной и типом риска, который может или не может быть принят организацией.
Р. 6 п. 2 пп. 2
6.2.2 Определение целей в области обеспечения непрерывности деятельности
При планировании способов достижения целей в области обеспечения непрерывности деятельности организация должна определить:
При планировании способов достижения целей в области обеспечения непрерывности деятельности организация должна определить:
- а) что необходимо сделать;
- b) какие необходимы ресурсы;
- с) ответственных;
- d) сроки достижения целей;
- е) способы оценки результатов.
NIST Cybersecurity Framework (RU):
ID.BE-3
ID.BE-3: Установлены и сообщены приоритеты для миссии, целей и деятельности организации
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Тело стандарта":
4.1 Понимание организации и ее контекста
4.1 Понимание организации и ее контекста
Организация должна определить внешние и внутренние параметры, которые относятся к ее цели и влияют на ее способность достигать ожидаемого (-ых) результата (-ов) ее системы менеджмента информационной безопасности.
ПРИМЕЧАНИЕ Определение данных параметров относится к формированию внешнего и внутреннего контекста организации, рассмотренного в Разделе 5.4.1 ИСО 31000:2018.
Организация должна определить внешние и внутренние параметры, которые относятся к ее цели и влияют на ее способность достигать ожидаемого (-ых) результата (-ов) ее системы менеджмента информационной безопасности.
ПРИМЕЧАНИЕ Определение данных параметров относится к формированию внешнего и внутреннего контекста организации, рассмотренного в Разделе 5.4.1 ИСО 31000:2018.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования":
4.1
4.1 Понимание внутренних и внешних факторов деятельности организации
В организации должны быть определены внешние и внутренние факторы, имеющие отношение к деятельности организации и оказывающие влияние на ее способность достигать ожидаемого(ых) результата(ов) от системы менеджмента информационной безопасности.
Примечание — Определение этих факторов относится к установлению внутреннего и внешнего контекста организации, рассматриваемого в ИСО 31000:2009 (подраздел 5.3).
В организации должны быть определены внешние и внутренние факторы, имеющие отношение к деятельности организации и оказывающие влияние на ее способность достигать ожидаемого(ых) результата(ов) от системы менеджмента информационной безопасности.
Примечание — Определение этих факторов относится к установлению внутреннего и внешнего контекста организации, рассматриваемого в ИСО 31000:2009 (подраздел 5.3).
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Body":
4.1 Understanding the organization and its context
4.1 Understanding the organization and its context
The organization shall determine external and internal issues that are relevant to its purpose and that affect its ability to achieve the intended outcome(s) of its information security management system.
NOTE Determining these issues refers to establishing the external and internal context of the organization considered in Clause 5.4.1 of ISO 31000:2018.
The organization shall determine external and internal issues that are relevant to its purpose and that affect its ability to achieve the intended outcome(s) of its information security management system.
NOTE Determining these issues refers to establishing the external and internal context of the organization considered in Clause 5.4.1 of ISO 31000:2018.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.