AXBTni tashkil etish va boshqarish ISBHni yaratish Tashkilot quyidagilarni bajarishi kerak.
a) Tashkilot faoliyatining o'ziga xos xususiyatlarini inobatga olgan holda, tashkilotning o'zi, uning joylashuvi, aktivlari va texnologiyasi, XBTT doirasi va chegaralarini, shu jumladan hujjatning har qanday qoidalarini XBTT loyihasidan chiqarib tashlashning tafsilotlari va asoslarini belgilaydi (1.2 -bandga qarang). ).
b) Tashkilot faoliyatining o'ziga xos xususiyatlarini inobatga olgan holda, tashkilotning o'zi, uning joylashuvi, aktivlari va texnologiyasi BXBT siyosatini ishlab chiqadi:
1) maqsadlarni (vazifalarni) belgilash tizimini o'z ichiga oladi va axborot xavfsizligi bo'yicha boshqaruvning umumiy yo'nalishini va harakat tamoyillarini belgilaydi;
2) biznes va qonuniy yoki me'yoriy talablarni, shartnomaviy xavfsizlik majburiyatlarini hisobga oladi;
3) XMSni yaratish va yuritish amalga oshiriladigan strategik tavakkalchilik muhitiga biriktirilgan;
4) tavakkalchilik baholanadigan mezonlarni belgilaydi (4.2.1 s ga qarang); va
5) rahbariyat tomonidan tasdiqlangan.
ESLATMA: Ushbu Xalqaro standartning maqsadlariga muvofiq, ISMS siyosati axborot xavfsizligi siyosatining kengaytirilgan to'plamidir. Bu siyosatni bitta hujjatda tasvirlash mumkin.
c) Tashkilotda tavakkalchilikni baholash uchun asos yaratish.
1) XBYS va biznes axborot xavfsizligi, qonuniy va tartibga soluvchi talablarga mos keladigan tavakkalchilikni baholash metodologiyasini aniqlang.
2) tavakkalchilikni qabul qilish mezonlarini ishlab chiqish va tavakkalchilikning maqbul darajasini aniqlash (5.1f ga qarang).
Tanlangan tavakkalchilik metodologiyasi tavakkalchilik bahosining solishtiriladigan va takrorlanadigan natijalar berishini ta'minlashi kerak.
QAYD: Xatarlarni baholashning turli usullari mavjud. Xavflarni baholash metodologiyasining namunalari ISO / IEC TU 13335-3, Axborot texnologiyalari - menejment bo'yicha tavsiyalarITXavfsizlik - boshqaruv texnikasiITXavfsizlik. d) xavflarni aniqlash.
1) XBTT va mulkdorlar doirasidagi aktivlarni belgilang2 (2 "Egasi" atamasi ishlab chiqarish, rivojlanish, xizmat, aktivlarning qo'llanilishi va xavfsizligi. "Mulkdor" atamasi, shaxsning ushbu aktivlarga) egalik qilish huquqiga ega ekanligini anglatmaydi.
2) ushbu aktivlarning xavfliligini aniqlash.
3) Himoya tizimidagi zaifliklarni aniqlash.
4) aktivlarning maxfiyligini, yaxlitligini va mavjudligini buzadigan ta'sirlarni aniqlash.
e) Xatarlarni tahlil qilish va baholash.
1) himoya tizimining ishlamay qolishi, shuningdek maxfiylik, yaxlitlik yoki aktivlarning mavjudligi buzilishi oqibatida tashkilot biznesiga etkazilgan zararni baholang.
2) Hozirgi vaqtda mavjud bo'lgan xavf-xatarlar, aktivlar bilan bog'liq ta'sirlar va nazoratni hisobga olgan holda xavfsizlikning buzilishi ehtimolini aniqlang.
3) xavf darajasini baholang.
4) 4.2.1c) 2) da ko'rsatilgan tavakkalchilikning maqbullik mezonlari yordamida tavakkalchilikning maqbulligini aniqlang yoki kamaytirishni talab qiling.
f) xavflarni kamaytirish vositalarini aniqlash va baholash.
Mumkin bo'lgan harakatlarga quyidagilar kiradi:
1) tegishli boshqaruv vositalarini qo'llash;
2) tavakkalchiliklarni ongli va xolis qabul qilish, ularning tashkilot siyosati talablariga va tavakkalchiliklarga bardoshlik mezonlariga so'zsiz muvofiqligini ta'minlash (4.2.1c -ga qarang) 2));
3) xavflardan qochish; va
4) tegishli biznes tavakkalchiliklarini boshqa tomonga o'tkazish, masalan, sug'urta kompaniyalari, etkazib beruvchilar.
g) tavakkalchiliklarni kamaytirish uchun vazifalar va boshqaruv vositalarini tanlang.
Vazifalar va nazoratlar tavakkalchilikni baholash va xavflarni kamaytirish jarayonida belgilangan talablarga muvofiq tanlanishi va amalga oshirilishi kerak. Bu tanlovda tavakkalchilikka bardoshlilik mezonlari (4.2.1c ga qarang) 2)), shuningdek, qonuniy, me'yoriy va shartnoma talablari hisobga olinishi kerak.
Belgilangan talablarga javob berish uchun A ilovasidagi vazifalar va boshqaruv elementlari ushbu jarayonning bir qismi sifatida tanlanishi kerak.
Hamma vazifalar va boshqaruv elementlari A ilovasida ko'rsatilmaganligi uchun qo'shimcha vazifalarni tanlash mumkin.
ESLATMA: Qo'shimcha A tashkilotlarga eng mos keladigan boshqaruv maqsadlarining to'liq ro'yxatini o'z ichiga oladi. Tekshirish variantlaridan bitta muhim nuqtani o'tkazib yubormaslik uchun, ushbu Xalqaro standartdan foydalanishda namunaviy nazoratni boshlash uchun A ilovasi qo'llanilishi kerak.
h) kutilayotgan qoldiq xatarlarni boshqarish ma'qullanishiga erishish.
4) xavfsizlik hodisalarini aniqlashga ko'maklashish va shu tariqa ma'lum ko'rsatkichlar yordamida xavfsizlik hodisalarini oldini olish; va
5) xavfsizlik buzilishlarining oldini olish bo'yicha ko'rilgan harakatlarning samaradorligini aniqlash.
b) audit natijalari, baxtsiz hodisalar, ish faoliyatini o'lchash natijalari, barcha manfaatdor tomonlarning takliflari va tavsiyalarini hisobga olgan holda, AXBT samaradorligini muntazam ko'rib chiqish (shu jumladan, XBTT siyosati va uning maqsadlarini muhokama qilish, xavfsizlik nazoratini qayta ko'rib chiqish). .
c) xavfsizlik talablari bajarilganligini aniqlash uchun nazorat samaradorligini baholang.
d) rejalashtirilgan davrlar uchun tavakkalchilikni baholang va quyidagi o'zgarishlarni hisobga olgan holda qoldiq xatarlarni va tavakkalchiliklarni tekshiring.
1) tashkilotlar;
2) texnologiya;
3) biznes maqsadlari va jarayonlari;
4) aniqlangan tahdidlar;
5) joriy qilingan boshqaruv vositalarining samaradorligi; va
6) qonuniy va boshqaruv muhitining o'zgarishi, shartnoma majburiyatlarining o'zgarishi, ijtimoiy iqlimning o'zgarishi kabi tashqi hodisalar.
e) rejalashtirilgan davrlarda XBYS ichki auditini o'tkazish (6 -bandga qarang)
QAYD: Ichki audit, ba'zida boshlang'ich audit deb ataladi, o'z maqsadlari uchun tashkilotning o'zi nomidan o'tkaziladi.
f) Vaziyat o'z kuchida qolishi va BMSni takomillashtirishga ishonch hosil qilish uchun BMSni boshqarishni muntazam ravishda ko'rib chiqing.
g) monitoring va audit natijalariga asoslangan xavfsizlik rejalarini yangilash.
h) XBYS samaradorligi yoki ishlashiga ta'sir ko'rsatishi mumkin bo'lgan harakatlar va hodisalarni yozib oling (4.3.3 ga qarang).
XABTni saqlash va takomillashtirish Tashkilot doimiy ravishda quyidagilarni bajarishi kerak.
a) AXBTda maxsus tuzatishlarni amalga oshirish.
b) 8.2 va 8.3 -bandlarga muvofiq tegishli tuzatish va profilaktika choralarini ko'rish. Tashkilotning o'zi va boshqa tashkilotlarning tajribasidan olgan bilimlarini qo'llang.
v) o'z harakatlari va yaxshilanishlarini barcha manfaatdor tomonlarga vaziyatga mos keladigan darajada etkazish; va shunga muvofiq, ularning harakatlarini muvofiqlashtirish.
d) takomillashtirishlar o'z maqsadiga erishganligini tekshirish.