Описание контрольного перечня
Цель:
- представить контрольную таблицу с описанием действий, требуемых для учреждения и внедрения СМИБ;
- способствовать мониторингу процесса выполнения работ по внедрению СМИБ;
- связать определенные действия по внедрению СМИБ с соответствующими требованиями ISO/IEC 27001.
Таблица A.1
Фаза внедрения ISO/IEC 27003 | Номер этапа | Действия, ссылка на ISO/IEC 27003 | Предвари- | Документированные выходные данные | Ссылка на ISO/IEC 27001 |
5 Получение одобрения руководства для внедрения СМИБ | 1 | Собрать корпоративные цели предприятия | Нет | Список корпоративных целей предприятия | Не применяется |
2 | Приобретение знаний о существующих системах управления | Нет | Описание существующих систем управления | Не применяется | |
3 | 5.2 Определить цели, потребности информационной безопасности и требования предприятия к СМИБ | 1, 2 | Описание целей, потребностей информационной безопасности и требований предприятия к СМИБ | Не применяется | |
4 | Собрать соответствующие регулятивные стандарты, стандарты соответствия и отраслевые стандарты, применяемые к корпорации | Нет | Описание регулятивных стандартов, стандартов соответствия и отраслевых стандартов, применяемых к корпорации | Не применяется | |
5 | 5.3 Определить предварительную область действия СМИБ | 3, 4 | Описание предварительной области действия СМИБ (5.3.1) | Не применяется | |
Определение ролей и сфер ответственности в области СМИБ (5.3.2) | |||||
6 | 5.4 Составить описание случая применения СМИБ для данного предприятия и план проекта для утверждения руководством | 5 | Описание случая применения СМИБ для данного предприятия и план проекта | Не применяется | |
7 | 5.5 Получить одобрение руководства и поручение на запуск проекта внедрения СМИБ | 6 | Одобрение руководством запуска проекта внедрения СМИБ | Не применяется | |
6 Определение области действия и политики СМИБ | 8 | 6.2 Определить границы организации | 7 | Описание границ организации; | 4.2.1, a) (частично) |
9 | 6.3 Определение границ технологии передачи информации | 7 | Описание границ ИКТ | 4.2.1, а) (частично) | |
10 | 6.4 Определение физических границ | 7 | Описание физических границ СМИБ | 4.2.1, a) (частично) | |
11 | 6.5 Окончательно определить границы области действия СМИБ | 8, 9, 10 | Документ, описывающий область действия и границы СМИБ | 4.2.1, a) | |
12 | 6.6 Разработка политики СМИБ | 11 | Утвержденная руководством политика СМИБ | 4.2.1, b) | |
7 Проведение анализа организации | 13 | 7.2 Определение требований к информационной безопасности, подкрепляющих СМИБ | 12 | Список основных процессов, функций, объектов, информационных систем, коммуникационных сетей | Не применяется |
Требования организации, касающиеся конфиденциальности, доступности и целостности | Не применяется | ||||
Требования организации, касающиеся законных, обязательных, контрактных и отраслевых требований к информационной безопасности | 4.2.1, c) 1) | ||||
Перечень известных уязвимостей в организации | 4.2.1, d) 3) | ||||
14 | 7.3 Определение активов в рамках области действия СМИБ | 13 | Описание основных процессов в организации | Не применяется | |
Определение информационных активов основных процессов в организации | 4.2.1, d) 1) | ||||
Классификация важнейших процессов (активов) | Не применяется | ||||
15 | 7.4 Запуск оценки информационной безопасности | 14 | Документ по фактическому состоянию и оценке информационной безопасности в организации, включая существующие меры и средства контроля и управления информационной безопасностью | 4.2.1, е) 2) | |
8 Проведение оценки риска и выбор вариантов обработки риска | 16 | 8.2 Проведение риска | 15 | Область действия для оценки риска | 4.2.1, с) 1) |
17 | 8.3 Выбор целей и средств управления | 16 | Документированная оценка риска высокого уровня | 4.2.1, е) 3) | |
Определение необходимости дополнительной глубокой оценки риска | Не применяется | ||||
Документированная глубокая оценка риска | 4.2.1, e) 3) | ||||
Сгруппированные результаты оценки риска | Не применяется | ||||
18 | 8.4 Получить одобрение руководства для внедрения СМИБ | 17 | Риски и определенные для них варианты оценки риска | 4.2.1, f) | |
Выбранные цели, меры и средства контроля и управления для снижения риска | 4.2.1, g) | ||||
19 | Утверждение руководством остаточных рисков | 18 | Документированное утверждение руководством предложенных остаточных рисков (должно входить в число выходных данных действия 8.4) | 4.2.1, h) | |
20 | Санкция руководства на внедрение и использование СМИБ | 19 | Документированная санкция руководства на внедрение и использование СМИБ (должно входить в число выходных данных действия 8.4) | 4.2.1, i) | |
21 | Подготовка декларации о применимости | 18 | Декларация о применимости | 4.2.1, j) | |
9 Разработка СМИБ | 22 | 9.2 Разработка безопасности организации | 20 | Структура организации, связанная с ролями и сферами ответственности, связанными с информационной безопасностью | 5.1, c) |
Определение документации, связанной со СМИБ. | 4.3 | ||||
Документ по политике информационной безопасности | ISO/IEC 27002; | ||||
Основа политики и процедур обеспечения информационной безопасности (и планы разработки конкретных политики, процедур и т.д., если таковые применяются) | |||||
23 | 9.3 Разработка информационной безопасности ИКТ и физических объектов | 20, 21 | Планы проектов внедрения для процессов внедрения выбранных средств управления безопасностью, связанных с информационной безопасностью ИКТ и физических объектов | 4.2.2, c) | |
24 | 9.4 Разработка информационной безопасности, связанной со | 22, 23 | Процедуры, описывающие процессы отчетности и проверки, проводимой руководством | 7.1 | |
25 | Описания аудита, мониторинга и измерения | 4.2.3, a) частично; | |||
26 | Программа обучения и информирования | 5.2.2 | |||
27 | 9.5 Составление конечного плана проекта СМИБ | 25 | План проекта внедрение для процессов внедрения*, утвержденный руководством | Не применяется | |
___________________ * Текст документа соответствует оригиналу. - Примечание изготовителя базы данных. | |||||
28 | Окончательный план проекта СМИБ | 28 | План проекта внедрения СМИБ организацией, охватывающий запланированное выполнение действий по информационной ее безопасности, ИКТ и физических объектов, а также связанные с системой СМИБ требования по ее внедрению в соответствии с результатами действий, описываемых в ISO/IEC 27003 | Не применяется |