Последнее обновление: 19.09.2024
Законодательная база Российской Федерации
8 (800) 350-23-61
Бесплатная горячая линия юридической помощи
- Главная
- "ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ТРЕБОВАНИЯ. ГОСТ Р ИСО/МЭК 27001-2006" (утв. Приказом Ростехрегулирования от 27.12.2006 N 375-ст)
8. Улучшение системы менеджмента информационной безопасности
8.1. Постоянное улучшение
Организация должна постоянно повышать результативность СМИБ посредством уточнения политики ИБ, целей ИБ, использования результатов аудитов, анализа контролируемых событий, корректирующих и предупреждающих действий, а также использования руководством результатов анализа СМИБ (см. раздел 7).
8.2. Корректирующие действия
Организация должна проводить мероприятия по устранению причин несоответствий требованиям СМИБ с целью предупредить их повторное возникновение. Документированная процедура корректирующего действия должна устанавливать требования по:
a) выявлению несоответствий;
b) определению причин несоответствий;
c) оцениванию необходимости действий во избежание повторения несоответствий;
d) определению и реализации необходимых корректирующих действий;
e) ведению записей результатов предпринятых действий (см. 4.3.3);
f) анализу предпринятого корректирующего действия.
8.3. Предупреждающие действия
Организация должна определять действия, необходимые для устранения причин потенциальных несоответствий требованиям СМИБ, с целью предотвратить их повторное появление. Предпринимаемые предупреждающие действия должны соответствовать последствиям потенциальных проблем. Документированная процедура предпринятого предупреждающего действия должна устанавливать требования по:
a) выявлению потенциальных несоответствий и их причин;
b) оцениванию необходимости действия с целью предупредить появление несоответствий;
c) определению и реализации необходимого предупреждающего действия;
d) записи результатов предпринятого действия (см. 4.3.3);
e) анализу результатов предпринятого действия.
Организация должна определить изменения в оценках рисков и установить требования к предупреждающим действиям, при этом обращая особое внимание на существенно измененные количественные показатели рисков.
Приоритеты в отношении реализации предупреждающих действий должны быть определены на основе результатов оценки риска.
Примечание - Обычно затраты на проведение мероприятий по предотвращению несоответствий более экономичны, чем на корректирующие действия.
- Главная
- "ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ТРЕБОВАНИЯ. ГОСТ Р ИСО/МЭК 27001-2006" (утв. Приказом Ростехрегулирования от 27.12.2006 N 375-ст)