| Принцип ОЭСР | Соответствующий процесс СМИБ и стадия PDCA |
| Осведомленность | Данные мероприятия являются частью стадии "Осуществление" (см. 4.2.2 и 5.2) |
| Участники должны быть осведомлены о необходимости обеспечения безопасности информационных систем и сетей и о том, что они могут сделать для повышения уровня безопасности |
| Ответственность | Данные мероприятия являются частью стадии "Осуществление" (см. 4.2.2 и 5.1) |
| Все участники являются ответственными за безопасность информационных систем и сетей |
| Реагирование | Является частью стадии "Проверка" деятельности по мониторингу (см. 4.2.3, раздел 6 и 7.3) и мероприятий по реагированию стадии "Действие" (см. 4.2.4, 8.1, 8.2 и 8.3). Данные мероприятия могут быть также охвачены некоторыми элементами стадий "Планирование" и "Проверка" |
| Участники должны действовать совместно и своевременно, чтобы предотвращать, обнаруживать инциденты безопасности и реагировать на них |
| Оценка риска | Этот вид деятельности является частью стадии "Планирование" (см. 4.2.1), а повторная оценка (переоценка) риска является частью стадии "Проверка" (см. 4.2.3, раздел 6 и 7.3) |
| Участники должны проводить оценку рисков |
| Разработка и внедрение безопасности | После выполнения оценки рисков выбирают меры управления для обработки рисков как часть стадии "Планирование" (см. 4.2.1). Стадия "Осуществление" (см. 4.2.2 и 5.2) охватывает затем внедрение и обеспечение функционирования этих мер управления |
| Участники должны внедрить безопасность как важный элемент информационных систем и сетей |
| Менеджмент безопасности | Менеджмент рисков представляет собой процесс, включающий в себя предотвращение, обнаружение инцидентов и реагирование на них, сопровождение, анализ и аудит. Все эти
вопросы решают на стадиях "Планирование", "Осуществление", "Проверка" и "Действие" |
| Участники должны применять всесторонний подход к менеджменту безопасности |
| Повторная оценка | Переоценка (повторная оценка) информационной безопасности является частью стадии "Проверка" (см. 4.2.3, раздел 6 и 7.3), на которой должны быть предприняты регулярные анализы эффективности системы менеджмента информационной безопасности, а повышение уровня безопасности является частью стадии "Действие" (см. 4.2.4, 8.1, 8.2 и 8.3) |
| Участники должны анализировать и повторно оценивать состояние безопасности информационных систем и сетей, и вносить соответствующие изменения в политику, практику, меры и процедуры безопасности |