ГОСТ Р ИСО/МЭК 27004-2011 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения

     7.3 Выявление информационной потребности

Каждому конструктивному элементу измерений должна соответствовать, по меньшей мере, определенная информационная потребность. Пример информационной потребности, описываемой в начальной точке как цель измерения и завершающейся получением критериев, необходимых для принятия решения, представлен в приложении A.

Для выявления значительных информационных потребностей следует выполнить следующие действия:

a) исследовать СМИБ и ее процессы, такие как:

1) политика и цели СМИБ, цели применения мер и средств контроля и управления, а также меры и средства контроля и управления,

2) правовые, нормативные, договорные и организационные требования обеспечения информационной безопасности,

3) результаты процесса менеджмента риска информационной безопасности по ИСО/МЭК 27001;

b) назначать приоритеты выявленным информационным потребностям на основе критериев, таких как:

1) приоритеты обработки риска,

2) возможности и ресурсы организации,

3) интересы заинтересованных сторон,

4) политика информационной безопасности,

5) информация, необходимая для удовлетворения правовых, нормативных и договорных требований,

6) ценность информации, касающейся стоимости измерений;

c) выбирать подмножество информации, подлежащей рассмотрению в видах деятельности, связанных с измерениями, из списка приоритетов;

d) документировать информационные потребности и сообщать о них всем соответствующим заинтересованным сторонам.

Все необходимые меры измерения, применяемые для реализованной СМИБ, для мер и средств контроля и управления и их групп следует реализовывать в соответствии с установленными информационными потребностями.