П’ятий етап: Порівняння поточної ситуації зі стандартом.
Провести навчання відповідальних за СМІБ вимогам стандарту;
Організація має визначити та підібрати необхідний персонал для здійснення наступних завдань:
розробки, впровадження, використання, контролю, перевірки, підтримки та покращення систем управління інформаційною безпекою;
забезпечення відповідності принципів інформаційної безпеки вимогам бізнесу;
визначення юридичних та регулятивних вимог та укладення договорів щодо безпеки;
забезпечення необхідного рівня безпеки за допомогою правильного використання всіх доступних інструментів управління;
проведення перевірок, необхідних за потреби, та реагування на їх результати;
вдосконалення ефективності системи управління інформаційною безпекою, де це необхідно.
12. Опрацювати вимоги стандарту;
Політика інформаційної безпеки: Розробка та впровадження політики інформаційної безпеки, яка визначає загальну стратегію, цілі та зобов'язання організації щодо захисту інформації.
Управління ризиками: Визначення процесу оцінки ризиків, виявлення потенційних загроз безпеці інформації, оцінка ризиків та прийняття заходів для їх зниження або управління.
Організаційна безпека: Встановлення структури управління безпекою інформації, визначення ролей та відповідальності, здійснення перевірок співробітників та забезпечення свідомості про безпеку інформації серед персоналу.
Фізична безпека: Захист фізичного середовища, включаючи обладнання, приміщення, обмеження доступу та контроль вхідно-вихідних точок.
Управління доступом: Забезпечення контрольованого доступу до систем, даних та ресурсів, включаючи управління ідентифікацією, аутентифікацією, авторизацією та аудитом доступу.
Забезпечення безпеки інформації: Визначення заходів для захисту конфіденційності, цілісності та доступності інформації, включаючи шифрування даних, захист від несанкціонованого доступу та заходи проти втрати даних.
Управління інцидентами: Визначення процедур виявлення, реагування та відновлення в разі інцидентів інформаційної безпеки, включаючи планування інцидентів та управління комунікаціями.
Порівняти вимоги стандарту з існуючим станом справ
Відповідно до вимог стандарту ISO 27001, необхідно виконати ряд процедур щодо встановлення політики безпеки, керування документообігом та навчання персоналу, що стосуються впровадження СМІБ. Основні вимоги стандарту будуть перераховані, і буде зазначено, які з них виконує компанія.
| Вимоги стандарту ISO 27001 | Дотримання цих вимог у видавництві |
| Враховуючи особливості діяльності організації, самої організації, її місцерозташування, активів і технології, визначити масштаб і кордони СМІБ | ТАК |
| Розробити концепцію оцінки ризиків в організації | ТАК |
| Виявити ризики | ТАК |
| Проаналізувати і оцінити ризики | ТАК |
| Виявити і оцінити інструменти для зменшення ризиків | ТАК |
| Вибрати задачі і засоби управління для зменшення ризиків | ТАК |
| Досягти затвердження управління передбачуваними залишковими ризиками | НІ |
| Досягти авторизації управління для функціонування СМІБ | НІ |
| Скласти Декларацію Застосовності | НІ |
1 2 3 4 5 6 7 8 9