Анализ со стороны руководства

Руководство должно на регулярной основе анализировать СУИБ, чтобы гарантировать ее непрерывное соответствие, адекватность и эффективность. Для того чтобы гарантировать адекватность СУИБ, руководство должно рассматривать изменение ситуации с рисками и способность СУИБ справляться с этими изменениями. В связи с изменением целей бизнеса или другими важными изменениями может потребоваться переопределение области действия СУИБ. Организации должны настраивать СУИБ, анализируя соответствующие цели и метрики. В зависимости от природы СУИБ цели могут носить как качественный, так и количественный характер.

 

______________________________________

Анализ СУИБ со стороны руководства организации затрагивает:

  • изменение ситуации с рисками и способность СУИБ справляться с этим;

  • переопределение области действия СУИБ в связи с изменением целей бизнеса;

  • настройку СУИБ путем анализа целей и метрик;

  • определение потребностей в ресурсах.

_________________________________________

 

Анализ должен базироваться на информации, получаемой от пользователей СУИБ, результатах предыдущих анализов, аудиторских отчетах, протоколах выполнения процедур, а также на внутренних и внешних сравнительных тестах и обследованиях. Выходные данные анализа должны касаться изменений СУИБ, например, идентифицировать изменения в процедурах, влияющих на информационную безопасность, и гарантировать адекватность охвата этих изменений. Выходные данные должны также показывать, где и как можно повысить эффективность. При анализе должны быть четко определены потребности в ресурсах, необходимых как для реализации усовершенствований, так и для их последующего сопровождения.