Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 27004-2011 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения

     7.2 Определение области применения измерений


В зависимости от возможностей и ресурсов организации первоначальная область деятельности организации в части измерений, связанных с информационной безопасностью, может быть ограничена такими элементами, как специфические меры и средства контроля и управления, информационные активы, защищенные специфическими мерами и средствами контроля и управления, специфические виды деятельности, направленные на обеспечение информационной безопасности, которым руководство присваивает наивысший приоритет. С течением времени область применения видов деятельности, связанных с измерениями, будет расширяться для того, чтобы рассматривать дополнительные компоненты реализованной СМИБ, а также меры и средства контроля и управления и их группы, учитывая приоритеты заинтересованных сторон.

Необходимо, чтобы были определены соответствующие заинтересованные стороны, которым следует принимать участие в определении области применения измерений. Соответствующие заинтересованные стороны могут быть внутренними или внешними по отношению к подразделениям организации, например, руководителями проектов, администраторами информационных систем или лицами, принимающими решения по обеспечению информационной безопасности. Специфические результаты измерений эффективности отдельных мер и средств контроля и управления и их групп следует определять и доводить до сведения соответствующих заинтересованных сторон.

Организация может рассмотреть ограничение числа результатов измерений, о которых должно быть сообщено лицам, принимающим решения в течение конкретного периода времени, с тем чтобы обеспечить им возможность влиять на совершенствование СМИБ, основанное на сообщенных результатах измерений. Чрезмерное число сообщенных результатов измерений будет влиять на возможность лица, принимающего решения, фокусировать усилия и назначать приоритеты для будущих видов деятельности по совершенствованию. Приоритеты рассмотрения результатов измерений следует основывать на важности соответствующих информационных потребностей и связанных с ними целей СМИБ.

Примечание - Область применения измерений относится к сфере применения СМИБ, установленной в соответствии с перечислением а) 4.2.1 ИСО/МЭК 27001:2005.