ГОСТ Р 59516-2021 Информационные технологии (ИТ). Менеджмент информационной безопасности. Правила страхования рисков информационной безопасности
Приложение А
(справочное)
Перечень документов системы менеджмента информационной безопасности для обмена информацией со страховщиком
В данном приложении приводится перечень документации, относящейся к СМИБ страхователя, которые могут использоваться в качестве свидетельства при оценке рисков информационной безопасности страхователя. Эти документы могут использоваться для этой цели в случае, если область действия СМИБ охватывает область страхования информационных рисков.
Перечень документов разделяется на две категории:
- категория 1. Документы, определенные в [2] (см. таблицу А.1);
- категория 2. Документы, которые определил страхователь как важные.
См. [2] (пункт 7.5.1, перечисления а) и б)) для формулирования требований.
Страховщик и страхователь могут определить перечень документации, требуемый для передачи страховщику (см. раздел 8).
Таблица А.1 - Документация, требуемая согласно [2]
Пункт [2] | Информация |
4.3 | Определение области действия системы менеджмента информационной безопасности |
5.2 | Политика информационной безопасности |
6.1.2 | Оценка рисков информационной безопасности |
6.1.3 | Ведомость применимости |
6.1.3 | Процесс обработки рисков информационной безопасности |
6.2 | Цели в области информационной безопасности |
7.2 | Доказательства компетентности персонала |
7.5 | Доказательства эффективности СМИБ |
8.1 | Доказательства эффективности процессов информационной безопасности |
8.2 | Результаты оценки рисков информационной безопасности |
8.3 | Результаты обработки рисков информационной безопасности |
9.1 | Результаты мониторинга и измерений результатов деятельности по информационной безопасности |
9.2 | Результаты проведения внутреннего аудита |
9.3 | Результаты анализа системы менеджмента |
10.1 | Результаты анализа характера несоответствий и любых последующих предпринятых действий |
10.1 | Результаты любого корректирующего действия |
Документы, которые страхователь определил как важные, могут включать:
- политики, руководства и процедуры защиты информации;
- документы о внутренних ролях и ответственности страхователя;
- планы и записи программ обучения;
- документы по управлению процессами, осуществляемыми на внешнем подряде;
- записи о процессах реагирования на инциденты.