- •Курсова робота
- •Тема: «Побудова системи менеджменту інформаційної безпеки»
- •Завдання
- •Перший етап. Управлінський
- •Розподілити відповідальність за сміб
- •Другий етап. Організаційний.
- •Наказ № 12.23
- •Наказую
- •Визначити область діїСміб
- •Третій етап. Першочерговий аналіз сміб
- •Провести аналіз існуючої сміб
- •Визначити перелік робіт по допрацюванню існуючої сміб
- •Четвертий етап. Визначення політики і цілей сміб
- •Визначити політику сміб
- •ВизначитиціліСміб по кожному процесу сміб
- •П'ятий етап. Порівняння поточної ситуації зі стандартом
- •Провести навчання відповідальних за сміб за вимогам стандарту
- •5.2 Управління трудовими ресурсами
- •5.2.1 Забезпечення кадрами
- •Опрацювати вимоги стандарту
- •4.1 Загальні вимоги
- •4.2 Створення та менеджмент сміб
- •4.2.1 Створення сміб
- •Порівняти вимоги стандарту з існуючим станом справ
- •Шостий етап. Планування і впровадження сміб
- •Визначити перелік заходів для досягнення вимог стандарту
- •Розробитипосібник зінформаційноїбезпеки
- •Визначити відповідальних за активи
- •Восьмийетап.Розробка документації сміб
- •Визначити перелік документів(процедур, записів, інструкцій) для розробки
- •Розробка процедур та інших документів
- •Розробка і впровадження в дію документів сміб
- •4.3 Вимоги забезпечення документацією
- •4.3.1 Загальних положень
- •4.3.3 Контроль записів
- •Дев’ятий етап. Навчання персоналу
- •Навчання керівників підрозділів вимогам іб
- •Навчання всього персоналу вимогам іб
- •Одинадцатий етап. Внутрішній аудит сміб
- •Підбір команди внутрішнього аудиту сміб
- •Планування внутрішнього аудиту сміб
- •Проведеннявнутрішнього аудитуСміб
- •7.3 Вихідних даних перевірок
- •Тринадцятий етап. Офіційнийзапуск сміб
- •Наказ про введення в дію сміб
- •Чотирнадцятийетап.Сповіщення зацікавлених сторін
- •Інформування клієнтів, партнерів, змі про запуск сміб
- •Висновок
- •Список використаної літератури
Одинадцатий етап. Внутрішній аудит сміб
Підбір команди внутрішнього аудиту сміб
Внутрішній аудит СМІБ має проводити не тільки керівництво, а й усі працівники, задіяні в розробці і впровадженні СМІБ в компанії. В «Туристичній компанії» внутрішній аудит СМІБ будуть проводити:
Директор компанії;
Заступник директора;
Начальник відділу ІТ;
Юрист;
Працівник з інформаційної безпеки;
Менеджер по роботі з персоналом.
Планування внутрішнього аудиту сміб
Згідно із стандартом ISO 27001 Пунктом 6:
– Програма аудиту має бути спланована, враховані як стан і важливість процесів і областей, що піддаються аудиту, так і результати попередніх аудитів. Мають бути визначені критерії аудиту, масштаб, частота проведення, методики. Вибір аудиторів і проведення аудитів повинні гарантувати об'єктивність і безсторонність процесу аудиту. Аудитори не повинні ревізувати свою власну роботу.
– Порядок розподілу обов'язків і вимоги до планерування і проведення аудитів, до звітів про результати і ведення записів мають бути визначені в документально оформленій процедурі.
– Керівництво, відповідальне за ту, що піддається аудиту область, повинне гарантувати, що без великої затримки зробить дії з усунення виявлених неузгодженостей і їх причин. Подальші ревізії повинні вимагати підтвердження того, що дійсно були зроблені відповідні заходи, і звіти про отримані результати .
Проведеннявнутрішнього аудитуСміб
6 Внутрішніх аудитів СМІБ
Організація повинна проводити внутрішні аудити СМІБ для того, щоб переконатися, що завдання, засоби управління, процеси і методи СМІБ:
а) задовольняють вимогам даного Міжнародного Стандарту і важливим законам або положенням;
b) задовольняють встановленим вимогам інформаційної безпеки;
с) ефективно виконуються і підтримуються; і
d) функціонують, яксподівалося.
Дванадцятийетап. Аналіз СМІБзісторонивищого керівництва
ПроведенняанализуСМІБзі сторони вищого керівництва
7 Перевірка управління СМІБ
7.1 Загальні положення
Керівництво повинне перевіряти СМІБ в заплановані періоди (як мінімум раз на рік), щоб переконатися в тому, що вона як і раніше придатна, адекватна і ефективна. Така перевірка повинна включати оцінку можливостей вдосконалення і необхідності змін в СМІБ, в т.ч. і в політиці інформаційної безпеки і цілях інформаційної безпеки. Результати перевірки необхідно оформити документально, і зробити записи (див. 4.3.3).
7.2 Вхідні дані для перевірки
Вхідні дані для перевірки управління повинні включати:
а) результати аудитів і перевірок СМІБ;
b) рекомендації зацікавлених сторін;
з) техніку, продукти або методики, які могли б використовуватися в організації, щоб удосконалювати функціонування і ефективність СМІБ;
d) стан превентивних і коректуючих заходів;
e) уразливості або загрози, недостатньо досліджені при попередній оцінці ризиків;
f) результати оцінки ефективності;
g) контроль вживання відповідних заходів після попередніх перевірок управління;
h) будь-які зміни, які можуть вплинути на СМІБ; і
i) рекомендації по вдосконаленню.
7.3 Вихідних даних перевірок
Підсумки перевірки управління повинні включати будь-які рішення і заходи, пов'язані з наступним.
а) Вдосконалення ефективності СМІБ;
b) Оновлення планів оцінки і скорочення риски;
с) Модифікація методів і засобів управління, що впливають на інформаційну безпеку, як необхідність реагування на внутрішні і зовнішні події, які можуть принести збиток СМІБ, а також зміни в:
1) вимогах бізнесу;
2) вимогах безпеки;
3) бізнес-процесах, що впливають на існуючі вимоги бізнесу;
4) юридичних або регулятивних вимогах;
5) договірних зобов'язаннях; і
6) рівнях ризиків і критеріях допустимості ризиків.
d) Придбання необхідних ресурсів.
e) Вдосконалення системи оцінювання ефективності.