- оценку влияния изменений в технологиях. 4 Организационные вопросы безопасности 4.1 Организационная инфраструктура информационной безопасности Цель: управление информационной безопасностью в организации. Структуру управления следует создавать так, чтобы она способствовала инициации и осуществлению контроля за внедрением информационной безопасности в организации. Следует создавать соответствующие управляющие советы с участием высшего руководства для утверждения политики информационной безопасности, назначения ответственных лиц в области информационной безопасности, а также осуществления координации внедрения мероприятий по управлению информационной безопасностью в организации. При необходимости следует предусмотреть наличие специалиста по вопросам информационной безопасности внутри организации, к которому могут обращаться заинтересованные сотрудники. Следует налаживать контакты с внешними специалистами по безопасности для того, чтобы быть в курсе отраслевых тенденций, способов и методов ее оценки, а также с целью адекватного реагирования на инциденты нарушения информационной безопасности. Следует поощрять многопрофильный подход к информационной безопасности, например, путем налаживания сотрудничества между менеджерами, пользователями, администраторами, разработчиками приложений, аудиторами и сотрудниками безопасности, а также специалистами в области страхования и управления рисками. 4.1.1 Управляющий совет по вопросам информационной безопасности Обеспечение информационной безопасности - это ответственность высшего руководства организации, разделяемая всеми ее членами. Поэтому при формировании совета по вопросам информационной безопасности должны обеспечиваться четкое управление и реальная поддержка со стороны руководства инициатив в области безопасности. Такой совет должен способствовать укреплению безопасности в организации путем непосредственного участия руководства и выделения необходимых ресурсов. Он может быть частью существующего органа управления. Как правило, такой совет выполняет следующие функции: - утверждение и пересмотр политики информационной безопасности и соответствующих обязанностей по ее выполнению; - отслеживание существенных изменений в воздействиях основных угроз информационным активам; - анализ и мониторинг инцидентов нарушения информационной безопасности; - утверждение основных проектов в области информационной безопасности. Кроме этого, должен быть назначен руководитель, отвечающий за все вопросы, связанные с информационной безопасностью. 4.1.2 Координация вопросов информационной безопасности Для координации внедрения мероприятий по управлению информационной безопасностью в большой организации может потребоваться создание комитета, включающего представителей руководства заинтересованных подразделений организации. Как правило, такой комитет: - согласовывает конкретные функции и обязанности в области информационной безопасности в рамках всей организации; - согласовывает конкретные методики и процедуры информационной безопасности, например, такие как оценка рисков, классификация информации с точки зрения требований безопасности; - согласовывает и обеспечивает поддержку инициатив и проектов в области информационной безопасности в рамках всей организации, например, таких как разработка программы повышения осведомленности сотрудников в области безопасности; - обеспечивает учет включения требований безопасности во все проекты, связанные с обработкой и использованием информации; - оценивает адекватность и координирует внедрение конкретных мероприятий по управлению информационной безопасностью для новых систем или услуг; Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 все
Только авторизованные пользователи могут оставлять комментарии - авторизация, а если Вы впервые, то нужно зарегистрироваться в системе
|
Вопрос специалисту
На нашем сайте Вы можете бесплатно задать вопрос специалисту
Видео Документы для скачивания |