Необходимые мероприятия
Организация определяет внешние и внутренние факторы, относящиеся к ее цели и влияющие на ее способность достичь ожидаемого(ых) результата(ов) системы менеджмента информационной безопасности (СМИБ).
Пояснение
Для выполнения неотъемлемой функции СМИБ организация должна постоянно подвергать анализу как себя, так и окружающий мир. Такой анализ связан с внешними и внутренними факторами, которые каким-то образом влияют на ИБ и то, как она управляется, а также на соответствующие цели организации.
Анализ этих факторов преследует три цели:
- понимание контекста для определения области действия СМИБ;
- анализ контекста для определения рисков и возможностей;
- обеспечение адаптации СМИБ к меняющимся внешним и внутренним факторам.
Внешние факторы находятся вне контроля организации. Их часто называют средой организации.
Анализ среды может включать следующие аспекты:
a) социальные и культурные;
b) политические, юридические, нормативные и правовые;
c) финансовые и макроэкономические;
d) технологические;
e) природные;
f) конкурентные.
Эти аспекты среды организации постоянно преподносят факторы, которые влияют на ИБ и на то, как она управляется. Соответствующие внешние факторы зависят от конкретных приоритетов организации и ситуации.
Например, внешние факторы для конкретной организации могут включать:
g) юридические последствия использования аутсорсинговых ИТ-услуг (юридический аспект);
h) природные условия с точки зрения возможности возникновения таких бедствий, как пожар, наводнение и землетрясение (природный аспект);
i) технические достижения хакерских инструментов и использование криптографии (технологический аспект);
j) общий спрос на услуги организации (социальные, культурные или финансовые аспекты).
Внутренние факторы находятся под контролем организации. Их анализ может включать следующие аспекты:
k) культура организации;
l) политика, цели и стратегии их достижения;
m) управление, организационная структура, роли и обязанности;
n) стандарты, руководящие принципы и модели, принятые организацией;
o) договорные отношения, которые могут непосредственно влиять на процессы организации, включенные в область действия СМИБ;