Подготовка, осведомленность и компетентность
Обеспечение ресурсами
Менеджмент ресурсов
Организация должна выделять и обеспечивать ресурсы, необходимые для:
a) создания, внедрения, эксплуатации, постоянного контроля, анализа, поддержки в рабочем состоянии и улучшения СМЗИ;
b) гарантирования, что процедуры защиты информации поддерживают бизнес требования;
c) выявления и рассмотрения законодательных и нормативных требований, договорных обязательств по защите;
d) поддержания в рабочем состоянии адекватной защиты путем правильного применения всех реализованных средств управления;
e) проведения при необходимости анализа и соответствующего реагирования на результаты этого анализа; и
f) где необходимо, улучшения эффективности СМЗИ.
Организация должна гарантировать, что весь персонал, которому назначена ответственность, определенная в СМЗИ, компетентен для выполнения требуемых задач, путем следующего:
a) определять необходимую компетентность для персонала, выполняющего работу, влияющую на СМЗИ;
|
|
b) обеспечивать подготовку или предпринимая другие действия (например, нанимая на работу компетентный персонал), с целью удовлетворить эти потребности;
c) оценивать эффективность предпринятых действий; и
d) поддерживать в актуальном состоянии записи об образовании, подготовке, мастерстве, опыте и квалификации (см. п.4.3.3).
Организация должна также гарантировать, что весь имеющий отношение к бизнесу персонал отдает себе отчет в значимости и важности их деятельности в области защиты информации и в том, какой вклад они вносят в достижение целей СМЗИ.
Организация должна проводить внутренние аудиты СМЗИ через определенные интервалы времени, с целью определения:
a) соответствия требованиям этого международного стандарта, законам и нормам;
b) соответствия требованиям защиты информации;
c) эффективности реализации и поддержания в рабочем состоянии; и
d) выполнения целей управления, средств управления, процессов и процедур СМЗИ организации.
Программа аудита должна быть спланирована с учетом статуса и важности процессов и областей, которые нужно проверять, а также результатов предыдущих аудитов. Должны быть определены критерии, область приложения, частота и методы аудита. Выбор аудиторов и проведение аудитов должны гарантировать объективность и беспристрастность процесса аудита. Аудиторы не должны проверять свою собственную работу.
Ответственность за планирование, проведение аудитов, требования для планирования и проведения аудитов, а также для сообщения результатов и поддержания записей в рабочем состоянии (см. п.4.3.3), должны быть определены в документированной процедуре.
|
|
Руководство, ответственное за проверяемую область, должно гарантировать, что устранение обнаруженных несоответствий и их причин осуществляются без задержек. Последующая деятельность должна включать в себя верификацию предпринятых действий и составление отчета по результатам верификации (см. раздел 8).
ПРИМЕЧАНИЕ: Документ ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing, может предоставить полезные руководящие указания по проведению внутренних аудитов СМЗИ.