КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Концепция процесса менеджмента
|
|
|
|
Общие положения
Введение
Данный Международный Стандарт разработан для создания модели по созданию, внедрению, использованию, мониторингу, проверке, поддержке и совершенствованию Системы Менеджмента Информационной Безопасности (СМИБ). Утверждение СМИБ должно стать стратегическим решением для организации. Проектирование и внедрение СМИБ в организации зависит от ёё нужд и целей, требований безопасности, применяющихся процессов (технологических приёмов), а также её размера и структуры. Предполагается, что со временем такие системы, а также их поддерживающие, изменятся. Полагают, что внедрение СМИБ будет проводиться по определённой шкале в соответствии с нуждами организации, например, простая ситуация требует и простого решения СМИБ.
Данный Международный Стандарт может быть использован заинтересованными внутренней и внешней сторонами для определения соответствия системы нормам безопасности.
Данный Международный Стандарт утверждает концепцию процесса создания, внедрения, использования, мониторинга, проверки, поддержки и совершенствования СМИБ организации.
Для эффективного функционирования организации приходится идентифицировать и управлять многими процессами. Процессом может считаться любое действие, использующее ресурсы, и управляемое в целях преобразования входных данных в выходные. Зачастую результат одного процесса обращается непосредственно во входной сигнал другого.
Применение системы процессов в рамках организации наряду с идентификацией и взаимодействием этих процессов, их менеджментом, можно рассматривать как “концепцию процесса”.
Представленная в данном Международном Стандарте концепция процесса менеджмента информационной безопасности заставляет тех, кто её использует, задуматься о важности таких моментов, как:
|
|
|
а) понимание требований информационной безопасности организации и необходимости проводить политику и устанавливать цели информационной безопасности;
б) введение директив по внедрению и эксплуатации для управления рисками информационной безопасности организации в контексте суммарных бизнес-рисков организации;
в) мониторинг и проверка качества функционирования и эффективности СМИБ; а также
г) постоянное совершенствование, основанное на реальных оценках.
Данный Международный Стандарт утверждает модель “Планируй-Делай-Проверяй-Действуй” (PDCA), которая призвана структурировать все процессы СМИБ. Рисунок 1 иллюстрирует как в СМИБ поступающие на вход требования и ожидания безопасности заинтересованных сторон, проходя все необходимые операции и процессы, превращаются на выходе в информационную безопасность, отвечающую этим требованиям и ожиданиям. Также на Рисунке 1 изображены связи процессов, представленных в параграфах 4,5,6,7и 8.
Утверждение модели PDCA также может отразить принципы, изложенные в директивах ОЭСР (2002) по управлению безопасностью информационных систем и сетей. Данный Международный Стандарт предоставляет прочную модель внедрения правил в инструкции по управлению оценкой рисков, моделированием и обеспечением безопасности, менеджментом и переоценкой безопасности.
ПРИМЕР 1
Требование может быть таким: нарушения в информационной безопасности, которые не приведут к серьёзному финансовому ущербу организации и/или только доставят организации некоторые трудности.
ПРИМЕР 2
Ожидание может быть такое: на случай происшествия серьёзного инцидента – возможно атака на веб-сайт, через который организация осуществляет Интернет-бизнес, – должны быть сотрудники, достаточно квалифицированные для проведения соответствующих мероприятий в целях минимизации воздействия атаки.
|
|
|
| Планирование (создание СМИБ) | Введение политики, установление целей, процессов и процедур, относящихся к управлению риском и совершенствованию информационной безопасности для достижения результатов в соответствии с политиками и целями организации. |
| Осуществление (внедрение и использование СМИБ) | Внедрение и использование политик, директив, процессов и мероприятий СМИБ. |
| Испытание (мониторинг и проверка СМИБ) | Оценка, а где возможно, и измерение эксплуатационных характеристик процессов в соответствии с политикой, целями СМИБ и практическим опытом, отчёт по полученным результатам для проверки. |
| Выполнение (поддержка и совершенствование СМИБ) | Проведение корректирующих и превентивных мероприятий, основанных на результатах внутреннего аудита СМИБ и проверки или другой значимой информации, в целях достижения постоянного совершенствования СМИБ. |
|
|
|
|
|
Дата добавления: 2015-04-29; Просмотров: 353; Нарушение авторских прав?; Мы поможем в написании вашей работы!