Необходимые мероприятия
Организация устанавливает цели ИБ и планы по их достижению для соответствующих функций и уровней.
Пояснение
Цели ИБ помогают реализовать стратегические цели организации, а также политику ИБ. Таким образом, цели СМИБ - это цели ИБ для обеспечения конфиденциальности, целостности и доступности информации. Цели ИБ также помогают определять и измерять эффективность мер обеспечения ИБ, процессов ИБ в соответствии с политикой ИБ (см. 5.2).
Организация планирует, устанавливает и определяет цели ИБ для соответствующих функций и уровней.
Требования в ИСО/МЭК 27001, относящиеся к целям ИБ, применяются ко всем целям ИБ. Если политика ИБ содержит цели, то эти цели должны соответствовать критериям, изложенным в этом разделе. Если политика содержит структуру для постановки целей, то цели, создаваемые этой структурой, должны соответствовать требованиям этого подраздела.
Требования, которые необходимо принимать во внимание при определении целей, это те требования, которые определяются при понимании организации и ее контекста (см. 4.1), а также потребностей и ожиданий заинтересованных сторон (см. 4.2).
Результаты оценки и обработки риска используются в качестве входных данных для постоянного анализа целей, чтобы убедиться, что они по-прежнему соответствуют условиям организации.
Цели ИБ являются исходными данными для оценки риска: критерии принятия риска и критерии для проведения оценки риска ИБ (см. 6.1.2) учитывают цели ИБ, и, таким образом, обеспечивается соответствие уровней риска с целями.
Цели ИБ согласно ИСО/МЭК 27001:
a) соответствуют политике ИБ;
b) измеримы, если это практически возможно; это означает, что важно уметь определять, была ли достигнута цель или нет;
c) связаны с применимыми требованиями ИБ и являются результатом оценки и обработки риска;
d) доведены до сведения;
e) обновляются по возможности.
Организация хранит документированную информацию о целях ИБ.
При планировании мероприятий по достижению целей ИБ организация определяет:
f) что будет сделано;
g) какие ресурсы потребуются;
h) кто будет нести ответственность;
i) когда это будет завершено;
j) как будут оцениваться результаты.
Упомянутое выше требование относительно планирования является общим и применимо также к другому планированию, регулируемому ИСО/МЭК 27001. Планирование, которое необходимо рассмотреть для СМИБ, включает:
- планы по улучшению СМИБ, как описано в 6.1.1 и 8.1;
- планы обработки идентифицированных рисков, как описано в 6.1.3 и 8.3;
- любые другие планы, которые будут признаны необходимыми для эффективной работы (например, планы по развитию компетенции и повышению осведомленности, коммуникации, оценке эффективности, внутреннему аудиту и контролю качества).
Руководство
Политика ИБ должна устанавливать цели ИБ или обеспечивать основу для их постановки.