Гост 27001-86
Содержание:
- 2.3. Подготовка к испытанию
- 2а.4. Проведение испытания
- ИНФОРМАЦИОННЫЕ ДАННЫЕ
- Controls
- Образцы выдаваемых сертификатов ИСО 27001
- Certification
- Вопросы и ответыFrequently asked questions
- Structure of the standard
- 2.4. Проведение испытания
- Облачные службы Майкрософт, к которым применима оценкаMicrosoft in-scope cloud services
- ОБЩАЯ ИНФОРМАЦИЯ
- ОБЩИЙ ПЛАН РАБОТ И РАЗРАБАТЫВАЕМАЯ НАМИ ДОКУМЕНТАЦИЯ
2.3. Подготовка к испытанию
При работе с этиловым эфиром его проверяют на присутствие перекисей и при наличии их проводят очистку.
Присутствие перекисей обнаруживают по выделению йода из подкисленного раствора йодистого калия.
В пробирку с 2—3 см3 эфира добавляют равный объем раствора йодистого калия, подкисленного 3—5 каплями раствора соляной кислоты плотностью 1050 кг/м3, и хорошо встряхивают в течение 1—2 мин. При наличии перекисей выделяющийся йод может быть обнаружен по бурому окрашиванию эфирного слоя или по появлению синего окрашивания при добавлении к пробе 1 см3 раствора крахмала.
Для очистки этилового эфира от перекисей в колбу с 65—70 г порошкообразной гидроокиси калия добавляют около 1 дм3 этилового эфира.
Содержимое встряхивают в течение 3 мин. После отстаивания проверяют эфир на отсутствие перекисей, фильтруют через бумажный складчатый фильтр и хранят в темном месте.
Допускается проводить очистку этилового эфира от перекисей по ГОСТ 26829.
2а.4. Проведение испытания
Экстракт, полученный по п. 2.4 с использованием этилового эфира, сушат в течение 2 ч над 6 г безводного сернокислого натрия, затем фильтруют через сухой складчатый фильтр в сухую колбу с притертой пробкой.
20 см3 экстракта упаривают на ротационном испарителе или в выпарительной чашке на песчаной бане при температуре не более 40 °С почти досуха. Остаток экстракта количественно переносят в мерный цилиндр или мерную пробирку и доводят объем этиловым эфиром до 2 см3.
Пластинку силуфола размечают простым мягким карандашом и на линию старта микрошприцем или калиброванным капилляром наносят 4—5 точек по 10 мкл (1 х 10—2 см3) полученного экстракта с постоянным поддувом холодного воздуха феном или вентилятором. Диаметр наносимого пятна не должен превышать 2—3 мм.
Одновременно на пластинку наносят 2—3 точки по 10 мкл стандартного раствора бензойной кислоты. Пластинку подсушивают и опускают в камеру для тонкослойной хроматографии, куда предварительно наливают смесь растворителей, состоящую из 20 см3 петролейного эфира, 12 см3 хлороформа, 2,8 см3 этилового эфира и 1,2 см3 муравьиной кислоты.
После прохождения фронтом растворителей около 15 см от линии старта пластинку вынимают, подсушивают в вытяжном шкафу с использованием фена или вентилятора без подогрева воздуха до исчезновения резкого запаха муравьиной кислоты и рассматривают в ультрафиолетовом свете.
Обводят карандашом темные пятна бензойной кислоты, выделенной из экстракта и стандартного раствора бензойной кислоты. Обведенные зоны вырезают ножницами и помещают в пробирки, в которые приливают по 3 см3 этилового эфира. Пробирки закрывают пробками и встряхивают 1 мин.
Полученные элюаты сливают в кварцевые кюветы и на спектрофотометре, используя длину волны 272 нм, измеряют оптическую плотность экстракта и стандартного раствора бензойной кислоты относительно этилового эфира.
ИНФОРМАЦИОННЫЕ ДАННЫЕ
1. РАЗРАБОТАН И ВНЕСЕН Министерством рыбного хозяйства СССР РАЗРАБОТЧИКИ
В.А. Исаев, А.Н. Головин, С.Г. Кириченко, В.Е. Астахов, Н.Н. Жайворонок,
Н.И. Веселова, Ю.Н. Арсеньев
2. УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Постановлением Государственного комитета СССР по стандартам от 24.09.86 № 2790
3. ВЗАМЕН ГОСТ 5431-50, кроме разд. 2-4
4. ССЫЛОЧНЫЕ НОРМАТИВНО-ТЕХНИЧЕСКИЕ ДОКУМЕНТЫ
|
Обозначение НТД, на который дана ссылка |
Номер пункта, приложения |
Обозначение НТД, на который дана ссылка |
Номер пункта, приложения |
|
ГОСТ 22-94 |
3.2 |
ГОСТ 8756.0-70 |
и |
|
ГОСТ 1770-74 |
2.2, 2а.2 |
ГОСТ 9147-80 |
2.2, 3.2 |
|
ГОСТ 3118-77 |
2.2 |
ГОСТ 9412-93 |
2.2 |
|
ГОСТ 4166-76 |
2а.2 |
ГОСТ 10163-76 |
2.2 |
|
ГОСТ 4174-77 |
2.2 |
ГОСТ 10521-78 |
2.2 |
|
ГОСТ 4204-77 |
2.2, 3.2 |
ГОСТ 12026-76 |
2.2, 3.2 |
|
ГОСТ 4207-75 |
2.2 |
ГОСТ 14919-83 |
3.2 |
|
ГОСТ 4232-74 |
2.2 |
ГОСТ 18300-87 |
2.2, 3.2 |
|
ГОСТ 4328-77 |
2.2, 3.2 |
ГОСТ 20015-88 |
2.2 |
|
ГОСТ 4919.1-77 |
2.2 |
ГОСТ 21400-75 |
2.2, 3.2 |
|
ГОСТ 5848-73 |
2а.2 |
ГОСТ 22300-76 |
2а. 2 |
|
ГОСТ 5962-67 |
2.2 |
ГОСТ 24104-88 |
3.2 |
|
ГОСТ 6709-72 |
2.2, 3.2 |
ГОСТ 24363-80 |
2.2 |
|
ГОСТ 6824-96 |
3.2 |
ГОСТ 25336-82 |
2.2, 2а.2, 3.2 |
|
ГОСТ 7631-2008 |
1.1 |
ГОСТ 26829-86 |
2.3 |
|
ГОСТ 7636-85 |
1.1 |
ТУ 6-09-5484-90 |
3.2 |
5. Ограничение срока действия снято по протоколу № 7—95 Межгосударственного совета по стандартизации, метрологии и сертификации (НУС 11—95)
6. ИЗДАНИЕ (март 2012 г.) с Изменением № 1, утвержденным в марте 1990 г. (НУС 6—90)
Controls
Clause 6.1.3 describes how an organization can respond to risks with a risk treatment plan; an important part of this is choosing appropriate controls. A very important change in ISO/IEC 27001:2013 is that there is now no requirement to use the Annex A controls to manage the information security risks. The previous version insisted («shall») that controls identified in the risk assessment to manage the risks must have been selected from Annex A. Thus almost every risk assessment ever completed under the old version of ISO/IEC 27001 used Annex A controls but an increasing number of risk assessments in the new version do not use Annex A as the control set. This enables the risk assessment to be simpler and much more meaningful to the organization and helps considerably with establishing a proper sense of ownership of both the risks and controls. This is the main reason for this change in the new version.
There are now 114 controls in 14 groups and 35 control categories; the 2005 standard had 133 controls in 11 groups.
- A.5: Information security policies (2 controls)
- A.6: Organization of information security (7 controls)
- A.7: Human resource security — 6 controls that are applied before, during, or after employment
- A.8: Asset management (10 controls)
- A.9: Access control (14 controls)
- A.10: Cryptography (2 controls)
- A.11: Physical and environmental security (15 controls)
- A.12: Operations security (14 controls)
- A.13: Communications security (7 controls)
- A.14: System acquisition, development and maintenance (13 controls)
- A.15: Supplier relationships (5 controls)
- A.16: Information security incident management (7 controls)
- A.17: Information security aspects of business continuity management (4 controls)
- A.18: Compliance; with internal requirements, such as policies, and with external requirements, such as laws (8 controls)
The new and updated controls reflect changes to technology affecting many organizations—for instance, cloud computing—but as stated above it is possible to use and be certified to ISO/IEC 27001:2013 and not use any of these controls.
Образцы выдаваемых сертификатов ИСО 27001
|
Сертификат ИСО 27001 (основной бланк) |
Разрешение на использование знака РосТестСтандарт |
Сертификат аудитора ИСО 27001 — 1 |
Сертификат аудитора ИСО 27001 — 2 |
|
ГОСУДАРСТВЕННАЯ АККРЕДИТАЦИЯ |
|
Обозначение нормативных документов, на соответствие которым проводится сертификация
|
|
ООО «СпецТехноСервис» |
ООО «Ульяновск Фармация» |
ООО ЧОП «Рубеж» |
ООО «Самоздрав» |
Certification
An ISMS may be certified compliant with ISO/IEC 27001 by a number of Accredited Registrars worldwide. Certification against any of the recognized national variants of ISO/IEC 27001 (e.g. JIS Q 27001, the Japanese version) by an accredited certification body is functionally equivalent to certification against ISO/IEC 27001 itself.
In some countries, the bodies that verify conformity of management systems to specified standards are called «certification bodies», while in others they are commonly referred to as «registration bodies», «assessment and registration bodies», «certification/ registration bodies», and sometimes «registrars».
The ISO/IEC 27001 certification, like other ISO management system certifications, usually involves a three-stage external audit process defined by the ISO/IEC 17021 and ISO/IEC 27006 standards:
- Stage 1 is a preliminary, informal review of the ISMS, for example checking the existence and completeness of key documentation such as the organization’s information security policy, Statement of Applicability (SoA) and Risk Treatment Plan (RTP). This stage serves to familiarize the auditors with the organization and vice versa.
- Stage 2 is a more detailed and formal compliance audit, independently testing the ISMS against the requirements specified in ISO/IEC 27001. The auditors will seek evidence to confirm that the management system has been properly designed and implemented, and is in fact in operation (for example by confirming that a security committee or similar management body meets regularly to oversee the ISMS). Certification audits are usually conducted by ISO/IEC 27001 Lead Auditors. Passing this stage results in the ISMS being certified compliant with ISO/IEC 27001.
- Ongoing involves follow-up reviews or audits to confirm that the organization remains in compliance with the standard. Certification maintenance requires periodic re-assessment audits to confirm that the ISMS continues to operate as specified and intended. These should happen at least annually but (by agreement with management) are often conducted more frequently, particularly while the ISMS is still maturing.
Вопросы и ответыFrequently asked questions
Почему важно соответствие Microsoft требованиям ISO/IEC 27001?Why is Microsoft compliance with ISO/IEC 27001 important?
Соответствие этим стандартам, подтвержденное аккредитованным аудитором, показывает, что корпорация Майкрософт использует международно признанные процессы и передовые практики для управления инфраструктурой и организацией, которые поддерживают и предоставляют свои услуги.Compliance with these standards, confirmed by an accredited auditor, demonstrates that Microsoft uses internationally recognized processes and best practices to manage the infrastructure and organization that support and deliver its services. Сертификат подтверждает, что корпорация Майкрософт применила рекомендации и общие принципы для инициирования, внедрения, поддержки и улучшения подхода к управлению информационной безопасностью.The certificate validates that Microsoft has implemented the guidelines and general principles for initiating, implementing, maintaining, and improving the management of information security.
Где можно получить отчеты аудита по ISO 27001 и SCOPE для служб Майкрософт?Where can I get the ISO/IEC 27001 audit reports and scope statements for Microsoft services?
На портале Service Trust Portal представлены отчеты независимых аудитов соответствия требованиям.The Service Trust Portal provides independently audited compliance reports. Вы можете воспользоваться порталом для запроса отчетов, что позволит вашим аудиторам сравнить результаты для облачных служб Майкрософт с вашими юридическими и нормативными требованиями.You can use the portal to request reports so that your auditors can compare Microsoft’s cloud services results with your own legal and regulatory requirements.
Проводит ли корпорация Майкрософт ежегодные испытания на ошибки инфраструктуры?Does Microsoft run annual tests for infrastructure failures?
Да.Yes. Ежегодный процесс сертификации ISO / IEC 27001 для группы облачной инфраструктуры и операций Майкрософт включает в себя аудит операционной устойчивости.The annual ISO/IEC 27001 certification process for the Microsoft Cloud Infrastructure and Operations group includes an audit for operational resiliency. Для просмотра последнего сертификата щелкните ссылку под ним.To preview the latest certificate, click the link below.
- Microsoft Azure: сертификат ISO/IEC 27001:2013 для облачной инфраструктуры и операций МайкрософтMicrosoft Azure: ISO/IEC 27001:2013 certificate for Microsoft Cloud Infrastructure and Operations
- Azure для ГерманииAzure German
С чего мне начать свои действия по соответствию стандарту ISO/IEC 27001 для моей организации?Where do I start my organization’s own ISO/IEC 27001 compliance effort?
Внедрение ISO/IEC 27001 является стратегическим обязательством.Adopting ISO/IEC 27001 is a strategic commitment. В качестве отправной точки обращайтесь к каталогу ISO/IEC 27000.As a starting point, consult the ISO/IEC 27000 Directory.
Можно ли использовать соответствие стандарту ISO/IEC 27001 для служб Майкрософт в сертификации моей организации?Can I use the ISO/IEC 27001 compliance of Microsoft services in my organization’s certification?
Да.Yes. Если вашей организации требуется сертификат ISO/IEC 27001 для реализаций, развернутых в службах Майкрософт, то можно использовать применимые сертификаты в процессе оценки соответствия требованиям.If your business requires ISO/IEC 27001 certification for implementations deployed on Microsoft services, you can use the applicable certification in your compliance assessment. Однако вы несете ответственность за привлечение аудитора для оценки средств и процессов управления в рамках вашей организации, а также за соответствие вашей реализации требованиям стандарта ISO/IEC 27001.You are responsible, however, for engaging an assessor to evaluate the controls and processes within your own organization and your implementation for ISO/IEC 27001 compliance.
Structure of the standard
The official title of the standard is «Information technology — Security techniques — Information security management systems — Requirements»
ISO/IEC 27001:2013 has ten short clauses, plus a long annex, which cover:
- 1. Scope of the standard
- 2. How the document is referenced
- 3. Reuse of the terms and definitions in ISO/IEC 27000
- 4. Organizational context and stakeholders
- 5. Information security leadership and high-level support for policy
- 6. Planning an ; risk assessment; risk treatment
- 7. Supporting an information security management system
- 8. Making an information security management system operational
- 9. Reviewing the system’s performance
- 10. Corrective action
- Annex A: List of controls and their objectives
This structure mirrors other management standards such as ISO 22301 (business continuity management) and this helps organizations comply with multiple management systems standards if they wish. Annexes B and C of 27001:2005 have been removed.
2.4. Проведение испытания
Из подготовленной пробы отвешивают 100 г в выпарительную чашку и количественно переносят ее дистиллированной водой в мерную колбу вместимостью 500 см3, доводя объем в колбе до 250-300 см3.
Содержимое колбы подщелачивают до pH 7,5—8,0 (по лакмусу или универсальной индикаторной бумаге) раствором гидроокиси натрия массовой концентрации 100 г/дм3, нагревают на кипящей водяной бане в течение 30 мин, затем охлаждают до комнатной температуры.
В колбу приливают 20 см3 водного раствора железистосинеродистого калия и 20 см3 водного раствора сернокислого цинка, осторожно перемешивая содержимое после прибавления каждого реактива, и оставляют на 30 мин. Объем в колбе доводят дистиллированной водой до метки, хорошо перемешивают и фильтруют в сухую колбу сначала через двойной слой марли, а затем через бумажный складчатый фильтр
Фильтрат должен быть прозрачным.
100 см3 полученного фильтрата количественно переносят в делительную воронку, нейтрализуют (по лакмусу или универсальной индикаторной бумаге) раствором серной кислоты и добавляют еще 2 см3 указанного раствора серной кислоты при экстракции эфиром. При экстракции хлороформом допускается подкисление соляной кислотой.
* На территории Российской Федерации действует ГОСТ Р 51652—2000.
При использовании этилового эфира экстракцию бензойной кислоты проводят три раза последовательно 40, 30 и 30 см3 эфира осторожными вращательными движениями делительной воронки в течение 5 мин.
Объединенные в делительной воронке эфирные вытяжки промывают дистиллированной водой три раза по 15 см3, удаляя каждый раз нижний водный слой после отстаивания. Водная фаза последней промывки должна иметь нейтральную реакцию по лакмусу или универсальной индикаторной бумаге.
Эфир из делительной воронки сливают в колбу и отгоняют или выпаривают досуха при температуре водяной бани не выше 40 °С.
При использовании хлороформа экстракцию проводят четыре раза, последовательно 35; 25; 20 и 15 см3 хлороформа.
Каждую экстракцию проводят в течение 5 мин осторожными вращательными движениями делительной воронки. После разделения слоев хлороформ сливают в сухую перегонную колбу, не захватывая водного слоя.
При попадании водного слоя в хлороформную вытяжку ее переносят из колбы в чистую делительную воронку и промывают 15 см3 дистиллированной воды.
Хлороформный слой из делительной воронки сливают в сухую перегонную колбу и отгоняют 3/4 объема хлороформа на водяной бане при температуре 65—70 °С, остаток выпаривают досуха при температуре (55 ± 5) °С.
К сухому остатку в колбе после удаления эфира или хлороформа добавляют 30—50 см3 этилового спирта, нейтрального по фенолфталеину, 7—10 см3 дистиллированной воды, 2 капли фенолфталеина и титруют раствором гидроокиси натрия с (NaOH) = 0,05 моль/дм3.
Облачные службы Майкрософт, к которым применима оценкаMicrosoft in-scope cloud services
- Azure, Azure для государственных организаций и Azure для ГерманииAzure, Azure Government, and Azure Germany
- Azure DevOps ServicesAzure DevOps Services
- Microsoft Cloud App SecurityMicrosoft Cloud App Security
- Advanced Threat Protection в Microsoft DefenderMicrosoft Defender Advanced Threat Protection
- Dynamics 365, Dynamics 365 для государственных учреждений и Dynamics 365 ГерманияDynamics 365, Dynamics 365 Government, and Dynamics 365 Germany
- Microsoft GraphMicrosoft Graph
- Microsoft Healthcare BotMicrosoft Healthcare Bot
- IntuneIntune
- Компьютеры, управляемые МайкрософтMicrosoft Managed Desktop
- Облачная служба Power Automate (ранее Microsoft Flow) в виде автономной службы или в составе плана либо набора Office 365 или Dynamics 365Power Automate (formerly Microsoft Flow) cloud service either as a standalone service or as included in an Office 365 or Dynamics 365 branded plan or suite
- Office 365, Office 365 для государственных организаций США и Office 365 U.S. Government DefenseOffice 365, Office 365 U.S. Government, and Office 365 U.S. Government Defense
- Office 365 GermanyOffice 365 Germany
- Клиент OMS Service MapOMS Service Map
- Облачная служба PowerApps в виде автономной службы или в составе плана либо набора Office 365 или Dynamics 365PowerApps cloud service either as a standalone service or as included in an Office 365 or Dynamics 365 branded plan or suite
- Облачная служба Power BI в виде автономной службы или в составе плана либо набора Office 365Power BI cloud service either as a standalone service or as included in an Office 365 branded plan or suite
- Power BI EmbeddedPower BI Embedded
- Power Virtual AgentsPower Virtual Agents
- Профессиональные услуги МайкрософтMicrosoft Professional Services
- Microsoft StreamMicrosoft Stream
- Microsoft Threat экспертMicrosoft Threat Expert
- Microsoft TranslatorMicrosoft Translator
ОБЩАЯ ИНФОРМАЦИЯ
Вопросы обеспечения информационной безопасности (ИБ) для современной организации являются жизненно важными. Наличие системы менеджмента информационной безопасности в соответствии с требованиями международного стандарта ISO/IEC 27001 поможет организации сберечь её активы и обеспечить целостность, надежность и конфиденциальность информации.
С 2005 г. сертификационный аудит на соответствие требованиям стандарта ISO/IEC 27001 прошло более 20 тыс. компаний по всему миру (по данным IRCA). Стандарт 27001 – источник лучших практик при проектировании систем управления, применим практически к любой организации, независимо от формы собственности, вида деятельности, размера и внешних условий. Он нейтрален в технологическом плане и всегда оставляет возможность выбора технологий.
ISO/IEC 27001 — международный стандарт по информационной безопасности, разработанный совместно Международной организацией по стандартизации и Международной электротехнической комиссией. Подготовлен к выпуску подкомитетом SC27 Объединенного технического комитета JTC 1. Стандарт содержит требования в области информационной безопасности для создания, развития и поддержания Системы менеджмента информационной безопасности (СМИБ).
Назначение стандарта
В стандарте ISO/IEC 27001 собраны описания лучших мировых практик в области управления информационной безопасностью. ISO 27001 устанавливает требования к системе менеджмента информационной безопасности для демонстрации способности организации защищать свои информационные ресурсы. Настоящий стандарт подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения Системы Менеджмента Информационной Безопасности (СМИБ).
Основные задачи Стандарта:
- установление единых требований по обеспечению информационной безопасности организаций;
- обеспечение взаимодействие руководства и сотрудников;
- повышение эффективности мероприятий по обеспечению и поддержанию информационной безопасности организаций.
Цель стандарта
Цель СМИБ — выбор соответствующих мер управления безопасностью, предназначенных для защиты информационных активов и гарантирующих доверие заинтересованных сторон.
Основные понятия
- Информационная безопасность — сохранение конфиденциальности, целостности и доступности информации; кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность.
- Конфиденциальность — обеспечение доступности информации только для тех, кто имеет соответствующие полномочия (авторизированные пользователи).
- Целостность — обеспечение точности и полноты информации, а также методов её обработки.
- Доступность — обеспечение доступа к информации авторизированным пользователям, когда это необходимо (по требованию).
Само понятие «защиты информации» трактуется международным стандартом как обеспечение конфиденциальности, целостности и доступности информации. Основа стандарта ISO/IEC 27001 — система управления рисками, связанными с информацией. Система управления рисками позволяет получать ответы на следующие вопросы:
на каком направлении информационной безопасности требуется сосредоточить внимание;
сколько времени и средств можно потратить на данное техническое решение для защиты информации.
Система менеджмента информационной безопасности (СМИБ) – часть общей системы управления, основанной на подходе деловых рисков, с целью создать, внедрить, эксплуатировать, постоянно контролировать, анализировать, поддерживать в рабочем состоянии и улучшать защиту информации.
Основные элементы системы ИБ:
- защита от несанкционированного доступа (НСД) к системам;
- в том числе и внутренняя защита от НСД сотрудников организации;
- авторизация и аутентификация;
- защита каналов передачи данных, обеспечение целостности;
- обеспечение актуальности данных при обмене информацией с клиентами;
- управление электронным документооборотом;
- управление инцидентами ИБ;
- управление непрерывностью ведения бизнеса;
- внутренний и внешний аудит системы ИБ.
ОБЩИЙ ПЛАН РАБОТ И РАЗРАБАТЫВАЕМАЯ НАМИ ДОКУМЕНТАЦИЯ
- Предварительное определение области действия СМИБ в соответствии с требованиями ISO/IEC 27001:2013 (проведение анкетирования для локализации и выявления наиболее критичных бизнес-процессов с точки зрения ИБ );
- Заключение договора на разработку и внедрение СМИБ по ISO/IEC 27001:2013;
- Ознакомление с документами по основной деятельности ЗАКАЗЧИКА, в том числе со структурой управления, уставом, штатным расписанием, лицензиями, видами работ;
- Определение области действия СМИБ и перечня документации, необходимой для системы менеджмента информационной безопасности;
- Составление программы по разработке, внедрению и сертификации системы менеджмента информационной безопасности;
- Разработка документации СМИБ и организационно-распорядительной документации:
Методическая помощь в разработке организационно-распорядительной документации по внедрению и поддержанию в рабочем состоянии системы менеджмента качества:
-Приказ о создании СМИБ;-Анализ Приложения А (Базовые цели и средства управления ISO/IEC 27001:2013 на определение перечня необходимых документов в соответствии с фактической областью действия СМИБ);
Проекты Положений, Политик СМИБ и консультирование по их внедрению:
— Политика информационной безопасности ( 5.2, 6.2)
— Политика управления доступом (А.9.1.1)- Политика безопасности взаимодействия с поставщиками (А.15.1.1)
Разработка документации СМИБ:
-СТП «Управление документацией»- Описание процессов «СМИБ процессов, функционирующих в области действия сертификации»
-СТП «Внутренний аудит»
— Методика по оценке и управлению рисками
-Отчет об оценке рисков
-План устранения рисков
-СТП «Управление записями»
-СТП «Порядок и устранение неисправностей»
-СТП «Управление инцидентами»
-СТП «Контроль доступа»
-СТП «Персонал и СМИБ»
-СТП «Непрерывность бизнеса»
-СТП «Управление активами СМИБ»
-СТП «Соответствие законодательным и договорным требованиям»
-СТП «Принципы инжиниринга безопасных систем»
-СТП «Безопасность информационных систем»
-СТП «Безопасность систем связи»
-СТП «Отношения с поставщиками»
-Руководство по СМИБ
-Приказы на введение в действие документов СМИБ
- Оказание методической помощи в организации планирования обучения по требованиям СМИБ (план обучения);
- Оказание методической помощи по унификации и упорядочению работы с должностными инструкциями персонала и Положениями о подразделениях (при необходимости) в части выполнения требований СМИБ;
- Методическая помощь по созданию группы внутренних аудиторов Организации в соответствии с требованиями ISO/IEC 27007:2011;
- Совещание с высшим руководством Организации и группой аудиторов по требованиям и принципам проведения внутренних аудитов;
- Методическая помощь в организации проведения внутренних аудитов;
- Совместное проведение внутреннего аудита СМИБ Организации на соответствие требованиям МС ISO/IEC 27001:2013;
- Методическая помощь в документальном оформлении результатов внутреннего аудита;
- Совещание с высшим руководством Организации и группой аудиторов по результатам проведения внутреннего аудита;
- Оказание методической помощи по составлению отчета(ов) по мониторингу и анализу информационной безопасности локализованных в области действия СМИБ процесса(ов);
- Оказание методической помощи по составлению отчета(ов) по анализу функционирования СМИБ со стороны высшего руководства;
- Оказание методической помощи по подаче документов на сертификацию;
- Оказание методической помощи при проведении сертификационного аудита.
В зависимости от вида деятельности организации и локализации системы менеджмента информационной безопасности по её бизнесс-процессам перечень работ и разрабатываемых документов может быть изменён!
-
Какое признание Вашей компании мы обеспечиваем?
