Алгоритм внедрения системы менеджмента информационной безопасности в соответствии с требованиями международного стандарта ISO/IEC 27001

Первый этап. Управленческий

1. Осознать цели и выгоды внедрения СМИБ

2. Получить поддержку руководства на внедрение и ввод в эксплуатацию системы менеджмента информационной безопасности (СМИБ)

3. Распределить ответственность по СМИБ

Второй этап. Организационный

1. Создать группу по внедрению и поддержке СМИБ

2. Обучить группу по внедрению и поддержке СМИБ

3. Определить область действия СМИБ

Третий этап. Первоначальный анализ СМИБ

1. Провести анализ существующей СМИБ

2. Определить перечень работ по доработке существующей СМИБ

Четвертый этап. Определение политики и целей СМИБ

1. Определить политику СМИБ

2. Определить цели СМИБ по каждому процессу СМИБ

Пятый этап. Сравнение текущей ситуации со стандартом

1. Провести обучение ответственных за СМИБ требованиям стандарта

2. Проработать требования стандарта

3. Сравнить требования стандарта с существующим положением дел

Шестой этап. Планирование внедрения СМИБ

1. Определить перечень мероприятий для достижения требований стандарта

2. Разработать руководство по информационной безопасности

Седьмой этап. Внедрение системы управления рисками

1. Разработать процедуру по идентификации рисков

2. Идентифицировать и ранжировать активы

Восьмой этап. Разработка документации СМИБ

1. Определить перечень документов (процедур, записей, инструкций) для разработки

2. Разработка процедур и других документов

§ управленческие процедуры (стандарт на разработку документов, управление документацией, записями; корректирующие и предупреждающие мероприятия; внутренний аудит; управление персоналом и др.)

§ технические процедуры (приобретение, развитие и поддержка информационных систем; управление доступом; регистрация и анализ инцидентов; резервное копирование; управление съемными носителями и др.)

§ записи управленческие (отчеты о внутренних аудитах; анализ СМИБ со стороны высшего руководства; отчет об анализе рисков; отчет о работе комитета по информационной безопасности; отчет о состоянии корректирующих и предупреждающих действий; договора; личные дела сотрудников и др.)

§ записи технические (реестр активов; план предприятия; план физического размещения активов; план компьютерной сети; журнал регистрации резервного копирования; журнал регистрации факта технического контроля после изменений в операционной системе; логи информационных систем; логи системного администратора; журнал регистрации инцидентов; журнал регистрации тестов по непрерывности бизнеса и др.)

§ инструкции, положения (правила работы с ПК, правила работы с информационной системой, правила обращения с паролями, инструкция по восстановлению данных из резервных копий, политика удаленного доступа, правила работы с переносным оборудованием и др.)

3. Разработка и введение в действие документов СМИБ

Девятый этап. Обучение персонала

1. Обучение руководителей подразделений требованиям ИБ

2. Обучение всего персонала требованиям ИБ

Десятый этап. Разработка и принятие мер по обеспечению работы СМИБ

1. Внедрение средств защиты

§ административных

§ учебных

§ технических

Одиннадцатый этап. Внутренний аудит СМИБ

1. Подбор команды внутреннего аудита СМИБ

2. Планирование внутреннего аудита СМИБ

3. Проведение внутреннего аудита СМИБ

Двенадцатый этап. Анализ СМИБ со стороны высшего руководства

1. Проведение анализа СМИБ со стороны высшего руководства

Тринадцатый этап. Официальный запуск СМИБ

1. Приказ о введении в действие СМИБ

Четырнадцатый этап.

Оповещение заинтересованных сторон/Информирование клиентов, партнеров, СМИ о запуске СМИБ

Дата добавления: 2014-01-20; Просмотров: 1996; Нарушение авторских прав?; Мы поможем в написании вашей работы!