ผู้พัฒนามาตรฐานหมายเหตุว่าได้จัดทำขึ้นเพื่อเป็นต้นแบบในการพัฒนา นำไปปฏิบัติ ดำเนินการ ติดตาม วิเคราะห์ สนับสนุน และปรับปรุงระบบการจัดการ ความปลอดภัยของข้อมูล(สมิบ). ISMS (ภาษาอังกฤษ - ระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ ; ISMS) กำหนดให้เป็นส่วนหนึ่ง ระบบทั่วไปการบริหารจัดการโดยใช้วิธีการประเมินความเสี่ยงทางธุรกิจเพื่อการพัฒนา การดำเนินการ การดำเนินงาน ติดตาม วิเคราะห์ สนับสนุนและปรับปรุง ความปลอดภัยของข้อมูล ระบบการจัดการประกอบด้วย โครงสร้างองค์กรนโยบาย การวางแผนกิจกรรม การกระจายความรับผิดชอบ กิจกรรมภาคปฏิบัติขั้นตอน กระบวนการ และทรัพยากร

มาตรฐานถือว่าการใช้งาน แนวทางกระบวนการเพื่อการพัฒนา การดำเนินการ การบำรุงรักษา การติดตาม การวิเคราะห์ สนับสนุน และปรับปรุงระบบ ISMS ขององค์กร ขึ้นอยู่กับโมเดล Plan - Do - Check - Act (PDCA) ซึ่งสามารถนำไปใช้ในการจัดโครงสร้างกระบวนการ ISMS ทั้งหมด ในรูป

รูปที่ 2.3 แสดงให้เห็นว่า ISMS โดยใช้ข้อกำหนดด้านความปลอดภัยของข้อมูลและความคาดหวังของผู้มีส่วนได้ส่วนเสียเป็นข้อมูลนำเข้า จะสร้างผลลัพธ์ด้านความปลอดภัยของข้อมูลที่ตรงตามข้อกำหนดเหล่านั้นและผลลัพธ์ที่คาดหวังผ่านกิจกรรมและกระบวนการที่จำเป็นได้อย่างไร

• ในขั้นตอนของการพัฒนาระบบการจัดการความปลอดภัยของข้อมูล องค์กรจะต้องดำเนินการดังต่อไปนี้:
• กำหนดขอบเขตและขอบเขตของ ISMS
• กำหนดนโยบาย ISMS ตามลักษณะของธุรกิจ องค์กร สถานที่ตั้ง ทรัพย์สินและเทคโนโลยี
• กำหนดแนวทางการประเมินความเสี่ยงในองค์กร
• ระบุความเสี่ยง
• วิเคราะห์และประเมินความเสี่ยง ระบุและประเมินผลตัวเลือกต่างๆ
• การรักษาความเสี่ยง
• เลือกวัตถุประสงค์และการควบคุมสำหรับการรักษาความเสี่ยง ได้รับการอนุมัติจากฝ่ายบริหารของข้อเสนอ;
• ความเสี่ยงที่เหลืออยู่
• ได้รับอนุญาตจากการจัดการเพื่อดำเนินการและดำเนินการ ISMS

เตรียมคำชี้แจงการบังคับใช้

ข้าว. 2.3.

• พัฒนาแผนการรักษาความเสี่ยงที่กำหนดการดำเนินการจัดการ ทรัพยากร ความรับผิดชอบ และลำดับความสำคัญที่เหมาะสมที่เกี่ยวข้องกับการจัดการความเสี่ยงด้านความปลอดภัยของข้อมูล
• ดำเนินการตามแผนบริหารความเสี่ยงเพื่อให้บรรลุวัตถุประสงค์การจัดการที่ตั้งใจไว้ รวมถึงประเด็นทางการเงิน ตลอดจนการกระจายบทบาทและความรับผิดชอบ
• ใช้มาตรการการจัดการที่เลือก
• กำหนดวิธีการวัดประสิทธิผลของมาตรการการจัดการที่เลือก
• ใช้โปรแกรมการฝึกอบรมและการพัฒนาวิชาชีพสำหรับพนักงาน
• บริหารจัดการงานระบบ ISMS
• จัดการทรัพยากร ISMS
• ใช้ขั้นตอนและมาตรการการจัดการอื่น ๆ เพื่อรับรองการตรวจจับเหตุการณ์ความปลอดภัยของข้อมูลอย่างรวดเร็วและการตอบสนองต่อเหตุการณ์ความปลอดภัยของข้อมูล

ขั้นตอนที่สาม “การตรวจสอบและวิเคราะห์ระบบการจัดการความปลอดภัยของข้อมูล” ต้องการ:

• ดำเนินการตามขั้นตอนการติดตามและวิเคราะห์
• ดำเนินการวิเคราะห์ประสิทธิผลของ ISMS อย่างสม่ำเสมอ
• วัดประสิทธิผลของมาตรการควบคุมเพื่อตรวจสอบการปฏิบัติตามข้อกำหนดด้านความปลอดภัยของข้อมูล
• ทบทวนการประเมินความเสี่ยงตามระยะเวลาที่กำหนด ทบทวนความเสี่ยงที่เหลืออยู่ และกำหนดระดับความเสี่ยงที่ยอมรับได้ โดยคำนึงถึงการเปลี่ยนแปลง
• ดำเนินการตรวจสอบภายในของ ISMS ตามระยะเวลาที่กำหนด
• ฝ่ายบริหารขององค์กรดำเนินการวิเคราะห์ ISMS เป็นประจำเพื่อยืนยันความเพียงพอของการทำงานและระบุพื้นที่สำหรับการปรับปรุง
• อัปเดตแผนการรักษาความปลอดภัยของข้อมูลโดยคำนึงถึงผลการวิเคราะห์และการติดตาม
• บันทึกการกระทำและเหตุการณ์ที่อาจส่งผลต่อประสิทธิผลหรือการทำงานของ ISMS

สุดท้าย ขั้นตอน “การบำรุงรักษาและปรับปรุงระบบการจัดการความปลอดภัยของข้อมูล” ถือว่าองค์กรควรดำเนินกิจกรรมต่อไปนี้เป็นประจำ:

• ระบุโอกาสในการปรับปรุง ISMS
• ดำเนินการแก้ไขและป้องกันที่จำเป็น ใช้ในทางปฏิบัติประสบการณ์ความปลอดภัยของข้อมูลที่ได้รับทั้งในองค์กรของคุณเองและในองค์กรอื่น ๆ
• สื่อสารข้อมูลโดยละเอียดเกี่ยวกับการดำเนินการเพื่อปรับปรุง ISMS ให้กับผู้มีส่วนได้เสียทั้งหมด ระดับของรายละเอียดที่เหมาะสมกับสถานการณ์ และหากจำเป็น จะต้องตกลงในการดำเนินการต่อไป
• ตรวจสอบให้แน่ใจว่ามีการใช้การปรับปรุง ISMS เพื่อให้บรรลุเป้าหมายที่วางแผนไว้

นอกจากนี้ มาตรฐานยังกำหนดข้อกำหนดสำหรับการจัดทำเอกสาร ซึ่งโดยเฉพาะอย่างยิ่งควรรวมถึงข้อกำหนดของนโยบาย ISMS และคำอธิบายขอบเขตการดำเนินงาน คำอธิบายวิธีการและรายงานการประเมินความเสี่ยง แผนการรักษาความเสี่ยง และเอกสารประกอบของ ขั้นตอนที่เกี่ยวข้อง ควรกำหนดกระบวนการจัดการเอกสาร ISMS รวมถึงการอัปเดต การใช้ การจัดเก็บ และการทำลายด้วย

เพื่อให้หลักฐานการปฏิบัติตามข้อกำหนดและประสิทธิผลของการทำงานของ ISMS จำเป็นต้องรักษาและบำรุงรักษาให้อยู่ในสภาพการทำงาน บัญชีและบันทึกการดำเนินการตามกระบวนการ ตัวอย่างได้แก่ บันทึกผู้เยี่ยมชม รายงานการตรวจสอบ ฯลฯ

มาตรฐานระบุว่าฝ่ายบริหารขององค์กรมีหน้าที่รับผิดชอบในการจัดหาและจัดการทรัพยากรที่จำเป็นในการสร้าง ISMS ตลอดจนจัดการฝึกอบรมบุคลากร

ตามที่ระบุไว้ก่อนหน้านี้ องค์กรจะต้องดำเนินการตรวจสอบ ISMS ภายในเพื่อประเมินการทำงานและการปฏิบัติตามมาตรฐานตามกำหนดการที่ได้รับอนุมัติ และฝ่ายบริหารจะต้องดำเนินการวิเคราะห์ระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ

ควรดำเนินการปรับปรุงระบบการจัดการความปลอดภัยของข้อมูล: เพื่อเพิ่มประสิทธิภาพและระดับการปฏิบัติตามสถานะปัจจุบันของระบบและข้อกำหนดของระบบ

มาตรฐาน BS ISO/IEC 27001:2005 อธิบายแบบจำลองระบบการจัดการความปลอดภัยของข้อมูล (ISMS) และเสนอชุดข้อกำหนดสำหรับการจัดการความปลอดภัยของข้อมูลในองค์กร โดยไม่ต้องอ้างอิงถึงวิธีการนำไปใช้ที่ผู้ปฏิบัติงานขององค์กรเลือก

มาตรฐานดังกล่าวเสนอการประยุกต์ใช้แบบจำลอง PDCA (Plan-Do-Check-Act) กับวงจรชีวิตของ ISMS ซึ่งรวมถึงการพัฒนา การนำไปปฏิบัติ การปฏิบัติงาน การควบคุม การวิเคราะห์ การสนับสนุน และการปรับปรุง (รูปที่ 1)

แผน - ขั้นตอนของการสร้าง ISMS การสร้างรายการสินทรัพย์ การประเมินความเสี่ยงและการเลือกมาตรการ

Do (Action) - ขั้นตอนการดำเนินการและการดำเนินการตามมาตรการที่เหมาะสม

ตรวจสอบ - ขั้นตอนการประเมินประสิทธิผลและประสิทธิภาพของ ISMS โดยปกติแล้วจะดำเนินการโดยผู้ตรวจสอบภายใน

พระราชบัญญัติ - การดำเนินการป้องกันและแก้ไข

การตัดสินใจสร้าง (และรับรองในภายหลัง) ISMS นั้นกระทำโดยผู้บริหารระดับสูงขององค์กร สิ่งนี้แสดงให้เห็นถึงการสนับสนุนด้านการจัดการและการยืนยันคุณค่าของ ISMS ต่อธุรกิจ ฝ่ายบริหารขององค์กรเริ่มต้นการสร้างกลุ่มการวางแผน ISMS

กลุ่มที่รับผิดชอบในการวางแผน ISMS ควรประกอบด้วย:

· ตัวแทนของผู้บริหารระดับสูงขององค์กร

· ตัวแทนของหน่วยธุรกิจที่ครอบคลุมโดย ISMS

· ผู้เชี่ยวชาญของแผนกความปลอดภัยของข้อมูล

· ที่ปรึกษาบุคคลที่สาม (หากจำเป็น)

คณะกรรมการ IS ให้การสนับสนุนการปฏิบัติงานของ ISMS และการปรับปรุงอย่างต่อเนื่อง

คณะทำงานควรได้รับคำแนะนำจากกรอบการกำกับดูแลและระเบียบวิธีทั้งที่เกี่ยวข้องกับการสร้าง ISMS และเกี่ยวข้องกับสาขากิจกรรมขององค์กรและแน่นอนระบบทั่วไปของกฎหมายของรัฐ

กรอบการกำกับดูแลในการสร้าง ISMS:

· ISO/IEC 27000:2009 คำศัพท์และคำจำกัดความ

ISO/IEC 27001:2005 ข้อกำหนดทั่วไปถึงไอเอสเอ็มเอส

· ISO/IEC 27002:2005 คำแนะนำเชิงปฏิบัติสำหรับการจัดการความปลอดภัยของข้อมูล

· ISO/IEC 27003:2010 คำแนะนำเชิงปฏิบัติสำหรับการนำ ISMS ไปใช้

· ISO/IEC 27004:2009 ตัวชี้วัด (การวัด) ของความปลอดภัยของข้อมูล

· ISO/IEC 27005:2011 คู่มือการจัดการความเสี่ยงด้านความปลอดภัยของข้อมูล

· ISO/IEC Guide 73:2002, การจัดการความเสี่ยง - คำศัพท์ - แนวทางการใช้งานในมาตรฐาน

· ISO/IEC 13335-1:2004 เทคโนโลยีสารสนเทศ - เทคนิคความปลอดภัย - การจัดการความปลอดภัยของเทคโนโลยีสารสนเทศและการสื่อสาร - ส่วนที่ 1: แนวคิดและแบบจำลองสำหรับการจัดการความปลอดภัยของเทคโนโลยีสารสนเทศและการสื่อสาร

· ISO/IEC TR 18044 เทคโนโลยีสารสนเทศ - เทคนิคความปลอดภัย - การจัดการเหตุการณ์ความปลอดภัยของข้อมูล

· ISO/IEC 19011:2002 แนวทางการตรวจสอบระบบการจัดการคุณภาพและ/หรือสิ่งแวดล้อม

· ชุดวิธีการของสถาบันมาตรฐานอังกฤษสำหรับการสร้าง ISMS (ก่อนหน้านี้: เอกสารซีรีส์ PD 3000)

กระบวนการสร้าง ISMS ประกอบด้วย 4 ขั้นตอน:

ขั้นที่ 1 การวางแผน ISMS

จัดทำนโยบาย วัตถุประสงค์ กระบวนการ และขั้นตอนที่เกี่ยวข้องกับการบริหารความเสี่ยงและความมั่นคงปลอดภัยสารสนเทศให้สอดคล้องกับนโยบายและวัตถุประสงค์โดยรวมขององค์กร

ก) การกำหนดขอบเขตและขอบเขตของ ISMS:

· คำอธิบายประเภทของกิจกรรมและเป้าหมายทางธุรกิจขององค์กร

· บ่งชี้ขอบเขตของระบบที่ครอบคลุมโดย ISMS

· คำอธิบายของสินทรัพย์ขององค์กร (ประเภทของทรัพยากรข้อมูล ซอฟต์แวร์และฮาร์ดแวร์ บุคลากรและโครงสร้างองค์กร)

· คำอธิบายของกระบวนการทางธุรกิจที่ใช้ข้อมูลที่ได้รับการคุ้มครอง

คำอธิบายของขอบเขตของระบบประกอบด้วย:

คำอธิบายโครงสร้างที่มีอยู่ขององค์กร (พร้อมการเปลี่ยนแปลงที่อาจเกิดขึ้นเนื่องจากการพัฒนาระบบสารสนเทศ)

ทรัพยากรระบบสารสนเทศที่จะได้รับการคุ้มครอง ( เทคโนโลยีคอมพิวเตอร์ข้อมูล ระบบ และซอฟต์แวร์ประยุกต์) ในการประเมินจะต้องเลือกระบบเกณฑ์และวิธีการเพื่อให้ได้ค่าประมาณตามเกณฑ์เหล่านี้ (การจัดหมวดหมู่)

เทคโนโลยีการประมวลผลข้อมูลและปัญหาที่ต้องแก้ไข สำหรับงานที่ต้องแก้ไข จะต้องสร้างแบบจำลองการประมวลผลข้อมูลในแง่ของทรัพยากร

แผนผังระบบสารสนเทศขององค์กรและโครงสร้างพื้นฐานสนับสนุน

ตามกฎแล้วในขั้นตอนนี้จะมีการร่างเอกสารเพื่อกำหนดขอบเขตของระบบข้อมูลแสดงรายการทรัพยากรข้อมูลของ บริษัท ที่ได้รับการคุ้มครองและจัดเตรียมระบบเกณฑ์และวิธีการในการประเมินมูลค่าของสินทรัพย์ข้อมูลของ บริษัท .

b) การกำหนดนโยบาย ISMS ขององค์กร (SDS ฉบับขยาย)

· เป้าหมาย ทิศทาง และหลักการของกิจกรรมที่เกี่ยวข้องกับความปลอดภัยของข้อมูล

· คำอธิบายของกลยุทธ์การบริหารความเสี่ยง (แนวทาง) ในองค์กร การจัดโครงสร้างมาตรการตอบโต้เพื่อปกป้องข้อมูลตามประเภท (กฎหมาย องค์กร ฮาร์ดแวร์และซอฟต์แวร์ วิศวกรรม)

· คำอธิบายของเกณฑ์นัยสำคัญความเสี่ยง

· ตำแหน่งผู้บริหารการกำหนดความถี่ของการประชุมหัวข้อความปลอดภัยของข้อมูลในระดับการจัดการรวมถึงการทบทวนบทบัญญัติของนโยบายความปลอดภัยของข้อมูลเป็นระยะตลอดจนขั้นตอนการฝึกอบรมผู้ใช้ระบบข้อมูลทุกประเภทเกี่ยวกับความปลอดภัยของข้อมูล ปัญหา.

ค) กำหนดแนวทางการประเมินความเสี่ยงในองค์กร

วิธีการประเมินความเสี่ยงจะถูกเลือกโดยขึ้นอยู่กับ ISMS ซึ่งเป็นข้อกำหนดทางธุรกิจที่จัดตั้งขึ้นสำหรับความปลอดภัยของข้อมูล ข้อกำหนดทางกฎหมายและข้อบังคับ

การเลือกวิธีการประเมินความเสี่ยงขึ้นอยู่กับระดับข้อกำหนดสำหรับระบบการรักษาความปลอดภัยของข้อมูลในองค์กร ลักษณะของภัยคุกคามที่นำมาพิจารณา (ขอบเขตของผลกระทบของภัยคุกคาม) และประสิทธิผลของมาตรการรับมือที่อาจเกิดขึ้นเพื่อปกป้องข้อมูล โดยเฉพาะอย่างยิ่งมีข้อกำหนดพื้นฐานรวมถึงข้อกำหนดที่เพิ่มขึ้นหรือครบถ้วนสำหรับระบบการรักษาความปลอดภัยของข้อมูล

ข้อกำหนดขั้นต่ำสำหรับโหมดความปลอดภัยของข้อมูลสอดคล้องกับระดับพื้นฐานของความปลอดภัยของข้อมูล ข้อกำหนดดังกล่าวใช้กับโซลูชันการออกแบบมาตรฐานตามกฎ มีมาตรฐานและข้อกำหนดจำนวนหนึ่งที่พิจารณาชุดขั้นต่ำ (ทั่วไป) ของภัยคุกคามที่เป็นไปได้มากที่สุด เช่น: ไวรัส ความล้มเหลวของฮาร์ดแวร์ การเข้าถึงโดยไม่ได้รับอนุญาต ฯลฯ เพื่อต่อต้านภัยคุกคามเหล่านี้ ต้องใช้มาตรการรับมือ โดยไม่คำนึงถึงแนวโน้มที่จะเกิด ทรัพยากรการใช้งานและช่องโหว่ ดังนั้นลักษณะของภัยคุกคามต่อ ระดับพื้นฐานไม่จำเป็นต้องพิจารณา มาตรฐานต่างประเทศในพื้นที่นี้ ISO 27002, BSI, NIST ฯลฯ

ในกรณีที่การละเมิดระบบการรักษาความปลอดภัยของข้อมูลนำไปสู่ผลกระทบร้ายแรง จะมีการบังคับใช้ข้อกำหนดเพิ่มเติมเพิ่มเติม

ในการกำหนดข้อกำหนดเพิ่มเติมเพิ่มเติม จำเป็นต้องมี:

กำหนดมูลค่าของทรัพยากร

เพิ่มรายการภัยคุกคามที่เกี่ยวข้องกับระบบสารสนเทศภายใต้การศึกษาลงในชุดมาตรฐาน

ประเมินความเป็นไปได้ของภัยคุกคาม

ระบุช่องโหว่ของทรัพยากร

ประเมินความเสียหายที่อาจเกิดขึ้นจากอิทธิพลของผู้บุกรุก

มีความจำเป็นต้องเลือกวิธีการประเมินความเสี่ยงที่สามารถนำมาใช้โดยมีการเปลี่ยนแปลงน้อยที่สุดอย่างต่อเนื่อง มีสองวิธี: ใช้วิธีการและเครื่องมือที่มีอยู่ในตลาดเพื่อการประเมินความเสี่ยงหรือสร้างวิธีการของคุณเอง ปรับให้เข้ากับลักษณะเฉพาะของบริษัทและขอบเขตของกิจกรรมที่ครอบคลุมโดย ISMS

ตัวเลือกสุดท้ายเป็นตัวเลือกที่เหมาะสมที่สุด เนื่องจากจนถึงขณะนี้ผลิตภัณฑ์ส่วนใหญ่ที่มีอยู่ในตลาดที่ใช้เทคนิคการวิเคราะห์ความเสี่ยงอย่างใดอย่างหนึ่งไม่ตรงตามข้อกำหนดของมาตรฐาน ข้อเสียทั่วไปของวิธีการดังกล่าวคือ:

· ชุดมาตรฐานของภัยคุกคามและช่องโหว่ ซึ่งมักไม่สามารถเปลี่ยนแปลงได้

· ยอมรับเฉพาะซอฟต์แวร์ ฮาร์ดแวร์ และทรัพยากรข้อมูลเป็นสินทรัพย์ โดยไม่คำนึงถึงทรัพยากรบุคคล บริการ และทรัพยากรที่สำคัญอื่น ๆ

· ความซับซ้อนโดยรวมของเทคนิคในแง่ของการใช้อย่างยั่งยืนและซ้ำ

· เกณฑ์การยอมรับความเสี่ยงและระดับความเสี่ยงที่ยอมรับได้ (ต้องขึ้นอยู่กับการบรรลุเป้าหมายเชิงกลยุทธ์ องค์กร และการจัดการขององค์กร)

ง) การระบุความเสี่ยง

· การระบุทรัพย์สินและเจ้าของ

ข้อมูลอินพุต;

เอาท์พุทข้อมูล;

บันทึกข้อมูล

ทรัพยากร: ผู้คน โครงสร้างพื้นฐาน อุปกรณ์ ซอฟต์แวร์ เครื่องมือ บริการ

· การระบุภัยคุกคาม (มาตรฐานการประเมินความเสี่ยงมักเสนอประเภทของภัยคุกคามที่สามารถเสริมและขยายได้)

· การระบุช่องโหว่ (ยังมีรายการช่องโหว่ที่พบบ่อยที่สุดที่คุณสามารถเชื่อถือได้เมื่อวิเคราะห์องค์กรของคุณ)

การกำหนดมูลค่าทรัพย์สิน ( ผลที่ตามมาที่เป็นไปได้จากการสูญเสียการรักษาความลับ ความสมบูรณ์ และความพร้อมของทรัพย์สิน) ข้อมูลเกี่ยวกับมูลค่าของสินทรัพย์สามารถรับได้จากเจ้าของหรือจากบุคคลที่เจ้าของได้มอบหมายอำนาจทั้งหมดเหนือสินทรัพย์ให้ รวมถึงการรับรองความปลอดภัยของสินทรัพย์ด้วย

จ) การประเมินความเสี่ยง

· การประเมินความเสียหายที่อาจเกิดขึ้นกับธุรกิจจากการสูญเสียการรักษาความลับ ความสมบูรณ์ และความพร้อมของสินทรัพย์

· การประเมินความเป็นไปได้ที่ภัยคุกคามจะเกิดขึ้นจริงผ่านจุดอ่อนที่มีอยู่ โดยคำนึงถึงการควบคุมความปลอดภัยของข้อมูลที่มีอยู่ และประเมินความเสียหายที่อาจเกิดขึ้น

· การกำหนดระดับความเสี่ยง

การใช้เกณฑ์การยอมรับความเสี่ยง (ยอมรับได้/ต้องการการรักษา)

f) การรักษาความเสี่ยง (ตามกลยุทธ์การบริหารความเสี่ยงที่เลือก)

การดำเนินการที่เป็นไปได้:

การกระทำที่ไม่โต้ตอบ:

การยอมรับความเสี่ยง (การตัดสินใจเกี่ยวกับการยอมรับระดับความเสี่ยงที่เกิดขึ้น)

การหลีกเลี่ยงความเสี่ยง (การตัดสินใจเปลี่ยนกิจกรรมที่ทำให้เกิดความเสี่ยงตามระดับที่กำหนด - การย้ายเว็บเซิร์ฟเวอร์ออกนอกขอบเขต เครือข่ายท้องถิ่น);

การกระทำที่ใช้งานอยู่:

การลดความเสี่ยง (โดยใช้มาตรการตอบโต้เชิงองค์กรและทางเทคนิค)

การโอนความเสี่ยง (การประกันภัย (ไฟไหม้ การโจรกรรม ข้อผิดพลาดของซอฟต์แวร์))

ทางเลือก การกระทำที่เป็นไปได้ขึ้นอยู่กับเกณฑ์ความเสี่ยงที่ยอมรับ (ระบุระดับความเสี่ยงที่ยอมรับได้ ระดับความเสี่ยงที่สามารถลดลงได้ด้วยการควบคุมความปลอดภัยของข้อมูล ระดับความเสี่ยงที่แนะนำให้ละทิ้งหรือเปลี่ยนแปลงประเภทของกิจกรรมที่เป็นสาเหตุ และความเสี่ยงที่เป็น พึงโอนให้บุคคลอื่นได้)

g) การเลือกวัตถุประสงค์และการควบคุมสำหรับการรักษาความเสี่ยง

เป้าหมายและการควบคุมต้องใช้กลยุทธ์การบริหารความเสี่ยง โดยคำนึงถึงเกณฑ์ในการยอมรับความเสี่ยงและข้อกำหนดด้านกฎหมาย กฎระเบียบ และข้อกำหนดอื่นๆ

มาตรฐาน ISO 27001-2005 จัดทำรายการวัตถุประสงค์และการควบคุมเพื่อเป็นพื้นฐานสำหรับการสร้างแผนการจัดการความเสี่ยง (ข้อกำหนด ISMS)

แผนการรักษาความเสี่ยงประกอบด้วยรายการมาตรการจัดลำดับความสำคัญเพื่อลดระดับความเสี่ยง โดยระบุ:

· บุคคลที่รับผิดชอบในการดำเนินกิจกรรมและวิธีการเหล่านี้

· ระยะเวลาของการดำเนินกิจกรรมและลำดับความสำคัญในการดำเนินการ

· ทรัพยากรสำหรับการดำเนินกิจกรรมดังกล่าว

· ระดับความเสี่ยงคงเหลือหลังการดำเนินการตามมาตรการและการควบคุม

การนำแผนการรักษาความเสี่ยงและการควบคุมการดำเนินการไปใช้นั้นดำเนินการโดยผู้บริหารระดับสูงขององค์กร การบรรลุกิจกรรมสำคัญของแผนเป็นเกณฑ์ในการตัดสินใจนำ ISMS ไปปฏิบัติ

บน ในขั้นตอนนี้มีเหตุผลสำหรับการเลือกมาตรการตอบโต้ต่างๆ สำหรับความปลอดภัยของข้อมูล ซึ่งมีโครงสร้างตามระดับความปลอดภัยของข้อมูลด้านกฎระเบียบ องค์กร การบริหารจัดการ เทคโนโลยี และฮาร์ดแวร์-ซอฟต์แวร์ (นอกจากนี้ยังมีการนำชุดมาตรการรับมือไปใช้ตามกลยุทธ์การจัดการความเสี่ยงด้านข้อมูลที่เลือก) ที่ เวอร์ชันเต็มการวิเคราะห์ความเสี่ยง ประสิทธิผลของมาตรการรับมือจะได้รับการประเมินเพิ่มเติมสำหรับแต่ละความเสี่ยง

h) การอนุมัติของฝ่ายบริหารเกี่ยวกับความเสี่ยงคงเหลือที่เสนอ

i) การได้รับการอนุมัติจากฝ่ายบริหารสำหรับการดำเนินการและการว่าจ้าง ISMS

j) คำชี้แจงการบังคับใช้ (ตามมาตรฐาน ISO 27001-2005)

วันที่นำ ISMS ไปปฏิบัติคือวันที่ได้รับการอนุมัติจากผู้บริหารระดับสูงของ บริษัท ของกฎระเบียบเกี่ยวกับการบังคับใช้การควบคุมซึ่งอธิบายเป้าหมายและวิธีการที่องค์กรเลือกเพื่อจัดการความเสี่ยง:

· เครื่องมือการจัดการและการควบคุมที่เลือกไว้ในขั้นตอนการรักษาความเสี่ยง

· เครื่องมือการจัดการและการควบคุมที่มีอยู่แล้วในองค์กร

· หมายถึงการรับรองการปฏิบัติตามข้อกำหนดทางกฎหมายและข้อกำหนดขององค์กรกำกับดูแล

· หมายถึงการประกันการปฏิบัติตามข้อกำหนดของลูกค้า

· หมายถึงการรับรองการปฏิบัติตามข้อกำหนดทั่วไปขององค์กร

· การควบคุมและการควบคุมอื่นๆ ที่เหมาะสม

ขั้นที่ 2 การนำไปใช้และการดำเนินงานของ ISMS

เพื่อนำไปใช้และดำเนินการนโยบาย การควบคุม กระบวนการ และขั้นตอนด้านความปลอดภัยของข้อมูลในด้านความปลอดภัยของข้อมูล จะต้องดำเนินการดังต่อไปนี้:

ก) การพัฒนาแผนการรักษาความเสี่ยง (คำอธิบายของการควบคุมที่วางแผนไว้ ทรัพยากร (ซอฟต์แวร์ ฮาร์ดแวร์ บุคลากร) ที่จำเป็นสำหรับการดำเนินการ การสนับสนุน การควบคุม และความรับผิดชอบในการจัดการสำหรับการบริหารความเสี่ยงด้านความปลอดภัยของข้อมูล (การพัฒนาเอกสารในขั้นตอนการวางแผน การสนับสนุน เป้าหมายด้านความปลอดภัยของข้อมูล คำจำกัดความของบทบาทและความรับผิดชอบ การสร้างความมั่นใจ ทรัพยากรที่จำเป็นเพื่อสร้าง ISMS การตรวจสอบและการวิเคราะห์)

ข) การจัดสรรเงินทุน บทบาทและความรับผิดชอบในการดำเนินการตามแผนการรักษาความเสี่ยง

c) การดำเนินการตามแผนการควบคุม

d) การกำหนดเกณฑ์มาตรฐานประสิทธิภาพ (เมตริก) สำหรับการควบคุมและวิธีการวัดที่จะให้ผลลัพธ์ที่เปรียบเทียบและทำซ้ำได้

จ) การปรับปรุงคุณสมบัติและความตระหนักของบุคลากรในด้านการรักษาความปลอดภัยข้อมูลให้สอดคล้องกับความรับผิดชอบในงานของตน

f) การจัดการการดำเนินงาน ISMS การจัดการทรัพยากรเพื่อรักษา ควบคุม และปรับปรุง ISMS

g) การดำเนินการตามขั้นตอนและการควบคุมอื่น ๆ เพื่อตรวจจับและตอบสนองต่อเหตุการณ์ความปลอดภัยของข้อมูลอย่างรวดเร็ว

ขั้นตอนที่ 3 การติดตามและวิเคราะห์การทำงานของ ISMS อย่างต่อเนื่อง

ขั้นตอนเกี่ยวข้องกับการประเมินหรือการวัดตัวบ่งชี้ประสิทธิภาพกระบวนการที่สำคัญ การวิเคราะห์ผลลัพธ์ และจัดทำรายงานให้ฝ่ายบริหารทำการวิเคราะห์ และรวมถึง:

ก) ดำเนินการติดตามและวิเคราะห์อย่างต่อเนื่อง (ช่วยให้คุณตรวจจับข้อผิดพลาดในการทำงานของ ISMS ได้อย่างรวดเร็ว ระบุและตอบสนองต่อเหตุการณ์ด้านความปลอดภัยได้อย่างรวดเร็ว แยกความแตกต่างของบทบาทของบุคลากรและระบบอัตโนมัติใน ISMS ป้องกันเหตุการณ์ด้านความปลอดภัยโดยการวิเคราะห์พฤติกรรมที่ผิดปกติ กำหนด ประสิทธิผลของการประมวลผลเหตุการณ์ด้านความปลอดภัย)

b) ดำเนินการทบทวนประสิทธิผลของ ISMS เป็นประจำ (มีการวิเคราะห์การปฏิบัติตามนโยบายและวัตถุประสงค์ของ ISMS การตรวจสอบ ตัวบ่งชี้ประสิทธิภาพหลัก ข้อเสนอ และปฏิกิริยาของผู้มีส่วนได้ส่วนเสีย)

ค) การวัดประสิทธิผลของการควบคุมเพื่อทวนสอบว่าเป็นไปตามข้อกำหนดการป้องกัน

d) การประเมินความเสี่ยงใหม่เป็นระยะ การวิเคราะห์ความเสี่ยงที่เหลืออยู่ และการกำหนดระดับความเสี่ยงที่ยอมรับได้สำหรับการเปลี่ยนแปลงใดๆ ในองค์กร (เป้าหมายและกระบวนการทางธุรกิจ ภัยคุกคามที่ระบุ ช่องโหว่ที่ระบุใหม่ ฯลฯ)

e) การดำเนินการตรวจสอบภายในของ ISMS เป็นระยะ

การตรวจสอบ ISMS – ตรวจสอบการปฏิบัติตามมาตรการตอบโต้ที่เลือกโดยมีเป้าหมายและวัตถุประสงค์ของธุรกิจที่ประกาศไว้ในนโยบายความปลอดภัยทางอุตสาหกรรมขององค์กร โดยพิจารณาจากผลลัพธ์ ความเสี่ยงที่เหลืออยู่จะได้รับการประเมิน และหากจำเป็น จะดำเนินการปรับให้เหมาะสมที่สุด

f) การทบทวนขอบเขตและแนวโน้ม ISMS เป็นประจำโดยฝ่ายบริหาร

ช) การปรับปรุงแผนบริหารความเสี่ยงให้สะท้อนผลการควบคุมและการวิเคราะห์

h) การเก็บรักษาบันทึกเหตุการณ์ที่มีผลกระทบเชิงลบต่อประสิทธิผลหรือคุณภาพของ ISMS

ด่าน 4 การสนับสนุนและการปรับปรุง ISMS

จากผลการตรวจสอบภายในของ ISMS และการวิเคราะห์โดยฝ่ายบริหาร การดำเนินการแก้ไขและป้องกันได้รับการพัฒนาและดำเนินการโดยมุ่งเป้าไปที่การปรับปรุง ISMS อย่างต่อเนื่อง:

ก) การปรับปรุงนโยบายความปลอดภัยของข้อมูล เป้าหมายการปกป้องข้อมูล การดำเนินการตรวจสอบ การวิเคราะห์เหตุการณ์ที่สังเกตได้

b) การพัฒนาและการดำเนินการแก้ไขและป้องกันเพื่อขจัดการไม่ปฏิบัติตามข้อกำหนดของ ISMS

c) การติดตามการปรับปรุง ISMS

การส่งผลงานที่ดีของคุณไปยังฐานความรู้เป็นเรื่องง่าย ใช้แบบฟอร์มด้านล่าง

นักศึกษา นักศึกษาระดับบัณฑิตศึกษา นักวิทยาศาสตร์รุ่นเยาว์ ที่ใช้ฐานความรู้ในการศึกษาและการทำงาน จะรู้สึกขอบคุณเป็นอย่างยิ่ง

โพสต์เมื่อ http://www.allbest.ru/

“ระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ”

การจัดการมาตรฐานสากล

ในการดำเนินการ

ระบบการจัดการความปลอดภัยของข้อมูลคือชุดของกระบวนการที่ทำงานภายในบริษัทเพื่อให้มั่นใจถึงการรักษาความลับ ความสมบูรณ์ และความพร้อมของสินทรัพย์ข้อมูล ส่วนแรกของบทคัดย่อจะกล่าวถึงกระบวนการนำระบบการจัดการไปใช้ในองค์กร และยังนำเสนอประเด็นหลักของประโยชน์จากการนำระบบการจัดการความปลอดภัยของข้อมูลไปใช้

รูปที่ 1. วงจรควบคุม

รายการกระบวนการและคำแนะนำเกี่ยวกับวิธีการ ในวิธีที่ดีที่สุดเท่าที่จะเป็นไปได้จัดระเบียบการทำงานให้เป็นไปตามมาตรฐานสากล ISO 27001:2005 ซึ่งยึดตามวงจรการจัดการ Plan-Do-Check-Act ตามเขา วงจรชีวิต ISMS ประกอบด้วยกิจกรรมสี่ประเภท: การสร้าง - การนำไปปฏิบัติและการปฏิบัติการ - การติดตามและการวิเคราะห์ - การบำรุงรักษาและปรับปรุง (รูปที่ 1) มาตรฐานนี้จะกล่าวถึงรายละเอียดเพิ่มเติมในส่วนที่สอง

กับระบบการจัดการข้อมูลความปลอดภัย

ระบบการจัดการความปลอดภัยของข้อมูล (ISMS) เป็นส่วนหนึ่งของระบบการจัดการโดยรวมที่อิงตามแนวทางความเสี่ยงทางธุรกิจในการสร้าง การนำไปปฏิบัติ การดำเนินงาน การติดตาม การวิเคราะห์ การสนับสนุน และปรับปรุงความปลอดภัยของข้อมูล กระบวนการ ISMS ถูกสร้างขึ้นตามข้อกำหนดของมาตรฐาน ISO/IEC 27001:2005 ซึ่งขึ้นอยู่กับวงจร

การทำงานของระบบจะขึ้นอยู่กับแนวทาง ทฤษฎีสมัยใหม่ความเสี่ยงด้านการจัดการซึ่งทำให้มั่นใจในการบูรณาการเข้ากับระบบบริหารความเสี่ยงโดยรวมขององค์กร

การใช้ระบบการจัดการความปลอดภัยของข้อมูลหมายถึงการพัฒนาและการดำเนินการตามขั้นตอนที่มุ่งระบุวิเคราะห์และลดความเสี่ยงด้านความปลอดภัยของข้อมูลอย่างเป็นระบบนั่นคือความเสี่ยงที่เป็นผลมาจากการที่สินทรัพย์ข้อมูล (ข้อมูลในรูปแบบใด ๆ และในลักษณะใด ๆ ) สูญเสียการรักษาความลับ ความสมบูรณ์ และความพร้อม

เพื่อให้มั่นใจถึงการลดความเสี่ยงด้านความปลอดภัยของข้อมูลอย่างเป็นระบบ ตามผลการประเมินความเสี่ยง กระบวนการต่อไปนี้จะถูกนำไปใช้ในองค์กร:

· การจัดการองค์กรรักษาความปลอดภัยข้อมูลภายใน

· รับประกันความปลอดภัยของข้อมูลเมื่อมีปฏิสัมพันธ์กับบุคคลที่สาม

· การจัดการทะเบียนสินทรัพย์ข้อมูลและกฎเกณฑ์สำหรับการจำแนกประเภท

· การจัดการความปลอดภัยของอุปกรณ์

· สร้างความมั่นใจในความปลอดภัยทางกายภาพ

· การดูแลความปลอดภัยของข้อมูลของบุคลากร

· การวางแผนและการนำระบบสารสนเทศมาใช้

· การสำรองข้อมูล

· รับประกันความปลอดภัยของเครือข่าย

กระบวนการระบบการจัดการความปลอดภัยของข้อมูลส่งผลกระทบต่อทุกด้านของการจัดการโครงสร้างพื้นฐานด้านไอทีขององค์กร เนื่องจากความปลอดภัยของข้อมูลเป็นผลมาจากการทำงานที่ยั่งยืนของกระบวนการที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ

เมื่อสร้าง ISMS ในบริษัทต่างๆ ผู้เชี่ยวชาญจะดำเนินการดังต่อไปนี้:

· จัดระเบียบการจัดการโครงการ, แบบฟอร์ม ทีมงานโครงการในส่วนของลูกค้าและผู้รับเหมา

· กำหนดขอบเขตกิจกรรม (OA) ของ ISMS

· ตรวจสอบองค์กรใน OD ISMS:

o เกี่ยวกับกระบวนการทางธุรกิจขององค์กรรวมถึงการวิเคราะห์ ผลกระทบด้านลบเหตุการณ์ความปลอดภัยของข้อมูล

ในแง่ของกระบวนการจัดการขององค์กร รวมถึงการจัดการคุณภาพที่มีอยู่และกระบวนการจัดการความปลอดภัยของข้อมูล

o เกี่ยวกับโครงสร้างพื้นฐานด้านไอที

o เกี่ยวกับโครงสร้างพื้นฐานด้านความปลอดภัยของข้อมูล

· พัฒนาและอนุมัติรายงานการวิเคราะห์ที่มีรายการกระบวนการทางธุรกิจหลักและการประเมินผลที่ตามมาของการดำเนินการคุกคามความปลอดภัยของข้อมูลที่เกี่ยวข้อง รายการกระบวนการจัดการ ระบบไอที ระบบย่อยความปลอดภัยของข้อมูล (ISS) การประเมิน ระดับที่องค์กรปฏิบัติตามข้อกำหนด ISO 27001 ทั้งหมดและการประเมินวุฒิภาวะขององค์กรกระบวนการ

· เลือกระดับเริ่มต้นและเป้าหมายของวุฒิภาวะ ISMS พัฒนาและอนุมัติโครงการปรับปรุงวุฒิภาวะ ISMS พัฒนาเอกสารระดับสูงในด้านการรักษาความปลอดภัยข้อมูล:

o แนวคิดของการสนับสนุนความปลอดภัยของข้อมูล

o นโยบาย IS และ ISMS

· เลือกและปรับใช้วิธีการประเมินความเสี่ยงที่นำไปใช้ในองค์กร

· เลือก จัดหา และปรับใช้ซอฟต์แวร์ที่ใช้เพื่อทำให้กระบวนการ ISMS เป็นอัตโนมัติ จัดการฝึกอบรมสำหรับผู้เชี่ยวชาญของบริษัท

·ดำเนินการประเมินและประมวลผลความเสี่ยงในระหว่างนั้นเพื่อลดความเสี่ยงจึงมีการเลือกมาตรการภาคผนวก "A" ของมาตรฐาน 27001 และข้อกำหนดสำหรับการนำไปใช้ในองค์กรได้รับการกำหนดวิธีการทางเทคนิคในการรับรองความปลอดภัยของข้อมูลได้รับการคัดเลือกเบื้องต้น

· พัฒนาการออกแบบเบื้องต้นของ PIB ประเมินต้นทุนของการรักษาความเสี่ยง

·จัดให้มีการอนุมัติการประเมินความเสี่ยงโดยผู้บริหารระดับสูงขององค์กรและพัฒนากฎระเบียบเกี่ยวกับการบังคับใช้ พัฒนามาตรการขององค์กรเพื่อรับรองความปลอดภัยของข้อมูล

· พัฒนาและดำเนินโครงการทางเทคนิคสำหรับการนำระบบย่อยความปลอดภัยของข้อมูลทางเทคนิคไปใช้ ซึ่งสนับสนุนการดำเนินการตามมาตรการที่เลือก รวมถึงการจัดหาอุปกรณ์ การทดสอบการทำงาน การพัฒนาเอกสารการปฏิบัติงาน และการฝึกอบรมผู้ใช้

· ให้คำปรึกษาในระหว่างการปฏิบัติงานของ ISMS ที่สร้างขึ้น

· จัดฝึกอบรมผู้ตรวจสอบภายในและดำเนินการตรวจสอบ ISMS ภายใน

ผลลัพธ์ของงานนี้คือ ISMS ที่ใช้งานได้ ประโยชน์ที่ได้รับจากการดำเนินการ ISMS ในบริษัทสามารถทำได้ผ่าน:

· การจัดการที่มีประสิทธิภาพในการปฏิบัติตามข้อกำหนดทางกฎหมายและข้อกำหนดทางธุรกิจในด้านการรักษาความปลอดภัยข้อมูล

· ป้องกันการเกิดเหตุการณ์ความปลอดภัยของข้อมูลและลดความเสียหายหากเกิดขึ้น

· การปรับปรุงวัฒนธรรมการรักษาความปลอดภัยของข้อมูลในองค์กร

· เพิ่มวุฒิภาวะในด้านการจัดการความปลอดภัยของข้อมูล

· การเพิ่มประสิทธิภาพการใช้จ่ายเงินในเรื่องความปลอดภัยของข้อมูล

ไอเอสโอ/ไออีซี27001-- ระหว่างประเทศมาตรฐานโดยข้อมูลความปลอดภัย

มาตรฐานนี้ได้รับการพัฒนาร่วมกันโดยองค์การระหว่างประเทศเพื่อการมาตรฐาน (ISO) และคณะกรรมาธิการไฟฟ้าระหว่างประเทศ (IEC) มาตรฐานประกอบด้วยข้อกำหนดในด้านความปลอดภัยของข้อมูลสำหรับการสร้าง การพัฒนา และการบำรุงรักษา ISMS ISO 27001 ระบุข้อกำหนดสำหรับ ISMS เพื่อแสดงให้เห็นถึงความสามารถขององค์กรในการปกป้องทรัพย์สินข้อมูล มาตรฐานสากลใช้แนวคิดเรื่อง "ความปลอดภัยของข้อมูล" และตีความว่าเป็นการรับประกันการรักษาความลับ ความสมบูรณ์ และความพร้อมของข้อมูล พื้นฐานของมาตรฐานคือระบบการจัดการความเสี่ยงที่เกี่ยวข้องกับข้อมูล มาตรฐานนี้ยังสามารถใช้เพื่อประเมินการปฏิบัติตามข้อกำหนดของผู้มีส่วนได้ส่วนเสียทั้งภายในและภายนอก

เพื่อสร้าง นำไปใช้ ดำเนินการ ติดตาม วิเคราะห์ บำรุงรักษา และปรับปรุงระบบการจัดการความปลอดภัยของข้อมูล (ISMS) อย่างต่อเนื่อง มาตรฐานจึงนำแนวทางกระบวนการมาใช้ ประกอบด้วยการประยุกต์ใช้ระบบกระบวนการภายในองค์กร ร่วมกับการระบุและปฏิสัมพันธ์ของกระบวนการเหล่านี้ ตลอดจนการจัดการ

มาตรฐานสากลใช้แบบจำลอง Plan-Do-Check-Act (PDCA) หรือที่เรียกว่าวงจร Shewhart-Deming วงจรนี้ใช้เพื่อจัดโครงสร้างกระบวนการ ISMS ทั้งหมด รูปที่ 2 แสดงให้เห็นว่า ISMS ใช้ข้อกำหนดด้านความปลอดภัยของข้อมูลและความคาดหวังของผู้มีส่วนได้ส่วนเสียเป็นข้อมูลนำเข้าอย่างไร และให้ผลลัพธ์ด้านความปลอดภัยของข้อมูลที่ตรงตามข้อกำหนดและความคาดหวังเหล่านั้นผ่านการดำเนินการและกระบวนการที่จำเป็น

การวางแผนเป็นขั้นตอนของการสร้าง ISMS การสร้างรายการสินทรัพย์ การประเมินความเสี่ยง และการเลือกมาตรการ

รูปที่ 2 โมเดล PDCA ที่นำไปใช้กับกระบวนการ ISMS

การดำเนินการเป็นขั้นตอนของการดำเนินการและการดำเนินการตามมาตรการที่เหมาะสม

การทวนสอบเป็นขั้นตอนของการประเมินประสิทธิผลและประสิทธิภาพของ ISMS โดยปกติแล้วจะดำเนินการโดยผู้ตรวจสอบภายใน

การดำเนินการ - การดำเนินการป้องกันและแก้ไข

ในข้อสรุป

ISO 27001 อธิบายไว้ รุ่นทั่วไปการดำเนินการและการดำเนินงานของ ISMS ตลอดจนการดำเนินการเพื่อติดตามและปรับปรุง ISMS ISO มุ่งมั่นที่จะประสานมาตรฐานระบบการจัดการต่างๆ เช่น ISO/IEC 9001:2000 ซึ่งเกี่ยวข้องกับการจัดการคุณภาพ และ ISO/IEC 14001:2004 ซึ่งเกี่ยวข้องกับระบบการจัดการสิ่งแวดล้อม วัตถุประสงค์ของ ISO คือเพื่อให้มั่นใจว่า ISMS มีความสอดคล้องและบูรณาการกับระบบการจัดการอื่นๆ ในบริษัท ความคล้ายคลึงกันของมาตรฐานทำให้สามารถใช้เครื่องมือและฟังก์ชันการทำงานที่คล้ายคลึงกันในการนำไปใช้ การจัดการ การแก้ไข การตรวจสอบ และการรับรอง ความหมายก็คือหากบริษัทนำมาตรฐานการจัดการอื่นไปใช้ก็สามารถนำไปใช้ได้ ระบบแบบครบวงจรการตรวจสอบและการจัดการ ซึ่งใช้ได้กับการจัดการคุณภาพ การจัดการสิ่งแวดล้อม การจัดการความปลอดภัย ฯลฯ ด้วยการนำ ISMS ไปใช้ ผู้บริหารระดับสูงจะมีวิธีการในการติดตามและจัดการความปลอดภัย ซึ่งช่วยลดความเสี่ยงทางธุรกิจที่หลงเหลืออยู่ เมื่อนำ ISMS ไปใช้ บริษัทสามารถรับรองความปลอดภัยของข้อมูลอย่างเป็นทางการและยังคงปฏิบัติตามข้อกำหนดของลูกค้า กฎหมาย หน่วยงานกำกับดูแล และผู้ถือหุ้น

เป็นที่น่าสังเกตว่าในกฎหมายของสหพันธรัฐรัสเซียมีเอกสาร GOST R ISO/IEC 27001-2006 ซึ่งเป็นเวอร์ชันแปลของมาตรฐานสากล ISO27001

กับรับสารภาพวรรณกรรม

1. Korneev I.R., Belyaev A.V. ความปลอดภัยของข้อมูลองค์กร - เซนต์ปีเตอร์สเบิร์ก: BHV-Petersburg, 2546 - 752 หน้า: ป่วย

2. มาตรฐานสากล ISO 27001 (http://www.specon.ru/files/ISO27001.pdf) (วันที่เข้าถึง: 05.23.12)

3.มาตรฐานแห่งชาติ สหพันธรัฐรัสเซีย GOST R ISO/IEC 27003 - "เทคโนโลยีสารสนเทศ วิธีการรักษาความปลอดภัย แนวทางการนำระบบการจัดการความปลอดภัยของข้อมูลไปใช้" (http://niisokb.ru/news/documents/IDT%20ISO%20IEC%2027003-2011-09- 14. pdf) (วันที่เข้าถึง: 23/05/55)

4. Skiba V.Yu., Kurbatov V.A. คู่มือการป้องกันภัยคุกคามจากภายในต่อความปลอดภัยของข้อมูล เซนต์ปีเตอร์สเบิร์ก: ปีเตอร์ 2551 -- 320 หน้า: ป่วย

5. บทความสารานุกรมเสรี "Wikipedia", "ระบบการจัดการ

ความปลอดภัยของข้อมูล" (http://ru.wikipedia.org/wiki/%D0%A1%D0%9C%D0%98%D0%91) (วันที่เข้าถึง: 23/05/12)

6. Sigurjon Thor Arnason และ Keith D. Willett "ทำอย่างไรจึงจะได้รับการรับรอง 27001"

โพสต์บน Allbest.ru

เอกสารที่คล้ายกัน

ภัยคุกคามต่อความปลอดภัยของข้อมูลในองค์กร การระบุข้อบกพร่องในระบบรักษาความปลอดภัยข้อมูล เป้าหมายและวัตถุประสงค์ของการจัดตั้งระบบรักษาความปลอดภัยข้อมูล มาตรการที่นำเสนอเพื่อปรับปรุงระบบรักษาความปลอดภัยข้อมูลขององค์กร

งานหลักสูตร เพิ่มเมื่อ 02/03/2011


วิเคราะห์ระบบรักษาความปลอดภัยข้อมูลในองค์กร บริการคุ้มครองข้อมูล ภัยคุกคามความปลอดภัยของข้อมูลเฉพาะสำหรับองค์กร วิธีการและวิธีการรักษาความปลอดภัยข้อมูล แบบจำลองของระบบสารสนเทศจากมุมมองด้านความปลอดภัย

งานหลักสูตร เพิ่มเมื่อ 02/03/2011


ขั้นตอนหลักของการสร้างระบบการจัดการในองค์กร อุตสาหกรรมอาหาร- HACCP เป็นพื้นฐานของระบบการจัดการความปลอดภัยของอาหาร ระบบการจัดการความปลอดภัย ผลิตภัณฑ์อาหาร- อันตรายและการดำเนินการป้องกัน

บทคัดย่อ เพิ่มเมื่อ 10/14/2014


ระบบการจัดการสมัยใหม่และการบูรณาการ ระบบการจัดการคุณภาพแบบบูรณาการ ลักษณะของ JSC "275 ARZ" และระบบการจัดการ การพัฒนาระบบบริหารจัดการการคุ้มครองแรงงาน วิธีการประเมินระบบรักษาความปลอดภัยแบบผสมผสาน

วิทยานิพนธ์เพิ่มเมื่อ 31/07/2554


การดำเนินการตามระบบการจัดการคุณภาพ การรับรองระบบการจัดการคุณภาพ (ISO 9000), การจัดการสิ่งแวดล้อม (ISO 14 000), ระบบการจัดการอาชีวอนามัยและความปลอดภัยขององค์กร (OHSAS 18 001:2007) โดยใช้ตัวอย่าง Lenta OJSC

บทคัดย่อ เพิ่มเมื่อ 10/06/2551


การพัฒนามาตรฐานสำหรับการจัดระบบการจัดการแบบบูรณาการ การสร้างขั้นตอนแบบครบวงจรสำหรับการนำกระบวนการจัดการเอกสารไปใช้ ขั้นตอนของการสร้างระบบการจัดการคุณภาพที่ JSC ZSMK การวางเอกสารเวอร์ชันอิเล็กทรอนิกส์

วิทยานิพนธ์เพิ่มเมื่อ 06/01/2014


แผนภาพลำดับชั้นของพนักงาน เครื่องมือรักษาความปลอดภัยข้อมูล คำถามเกี่ยวกับสถานะความมั่นคง โครงการ การไหลของข้อมูลรัฐวิสาหกิจ วิธีการติดตามความสมบูรณ์ของระบบสารสนเทศ การสร้างแบบจำลองการควบคุมการเข้าถึงข้อมูลบริการ

งานหลักสูตร เพิ่มเมื่อ 30/12/2554


แนวคิดของระบบสารสนเทศเพื่อการจัดการและตำแหน่งในระบบการจัดการโดยรวม ประเภทของระบบสารสนเทศและเนื้อหา แนวคิดการจัดการในฐานะระบบสารสนเทศ หน้าที่ของระบบการจัดการทางการเงิน ระบบการทำธุรกรรมและการดำเนินงาน

บทคัดย่อเพิ่มเมื่อ 01/06/2558


แนวคิดด้านสุขภาพและความปลอดภัย มาตรฐานสากล ISO เรื่องระบบการจัดการคุณภาพ ระบบการจัดการสิ่งแวดล้อม ระบบการจัดการอาชีวอนามัยและความปลอดภัย การปรับมาตรฐาน OHSAS 18001-2007

งานหลักสูตร เพิ่มเมื่อ 21/12/2014


ลักษณะของการจัดการสารสนเทศ หัวข้อข้อมูลและความสัมพันธ์ทางกฎหมาย ระบอบกฎหมายในการรับ ถ่ายโอน จัดเก็บ และใช้ข้อมูล คุณสมบัติและ ด้านกฎหมายการแลกเปลี่ยนข้อมูลและความปลอดภัยของข้อมูล

GOST R ISO/IEC 27001-2006 “เทคโนโลยีสารสนเทศ วิธีการและวิธีการรับรองความปลอดภัย ระบบการจัดการความปลอดภัยของข้อมูล ความต้องการ"

ผู้พัฒนามาตรฐานทราบว่าได้จัดทำขึ้นเพื่อเป็นต้นแบบในการพัฒนา นำไปปฏิบัติ ดำเนินการ ติดตาม วิเคราะห์ สนับสนุน และปรับปรุงระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS) ISMS (ภาษาอังกฤษ - ระบบการจัดการความปลอดภัยของข้อมูล; ISMS) ถูกกำหนดให้เป็นส่วนหนึ่งของระบบการจัดการโดยรวม โดยอิงจากการใช้วิธีการประเมินความเสี่ยงทางธุรกิจเพื่อการพัฒนา การนำไปปฏิบัติ การดำเนินงาน การติดตาม การวิเคราะห์ การสนับสนุน และปรับปรุงความปลอดภัยของข้อมูล ระบบการจัดการประกอบด้วยโครงสร้างองค์กร นโยบาย กิจกรรมการวางแผน ความรับผิดชอบ แนวปฏิบัติ ขั้นตอน กระบวนการ และทรัพยากร

มาตรฐานนี้ใช้แนวทางกระบวนการสำหรับการพัฒนา การนำไปปฏิบัติ การดำเนินงาน การติดตาม การวิเคราะห์ การสนับสนุน และปรับปรุง ISMS ขององค์กร ขึ้นอยู่กับโมเดล Plan - Do - Check - Act (PDCA) ซึ่งสามารถนำไปใช้ในการจัดโครงสร้างกระบวนการ ISMS ทั้งหมด ในรูป รูปที่ 4.4 แสดงให้เห็นว่า ISMS โดยใช้ข้อกำหนดด้านความปลอดภัยของข้อมูลและความคาดหวังของผู้มีส่วนได้ส่วนเสียเป็นข้อมูลนำเข้า จะสร้างผลลัพธ์ด้านความปลอดภัยของข้อมูลที่ตรงตามข้อกำหนดเหล่านั้นและผลลัพธ์ที่คาดหวังผ่านกิจกรรมและกระบวนการที่จำเป็นได้อย่างไร

ข้าว. 4.4.

บนเวที “การพัฒนาระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ”องค์กรจะต้องดำเนินการดังต่อไปนี้:

• - กำหนดขอบเขตและขอบเขตของ ISMS
• - กำหนดนโยบาย ISMS ตามลักษณะของธุรกิจ องค์กร ที่ตั้ง ทรัพย์สินและเทคโนโลยี
• - กำหนดแนวทางการประเมินความเสี่ยงในองค์กร
• - ระบุความเสี่ยง
• - วิเคราะห์และประเมินความเสี่ยง
• - ระบุและประเมินทางเลือกการรักษาความเสี่ยงต่างๆ
• - เลือกวัตถุประสงค์และมาตรการควบคุมสำหรับการรักษาความเสี่ยง
• - ได้รับการอนุมัติจากฝ่ายบริหารเกี่ยวกับความเสี่ยงคงเหลือโดยประมาณ
• - ได้รับอนุญาตจากการจัดการเพื่อดำเนินการและดำเนินการ ISMS
• - เตรียมคำชี้แจงการบังคับใช้

เวที " การดำเนินการและการดำเนินงานระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ"แนะนำว่าองค์กรควร:

• - พัฒนาแผนการรักษาความเสี่ยงที่กำหนดการดำเนินการจัดการ ทรัพยากร ความรับผิดชอบ และลำดับความสำคัญที่เหมาะสมที่เกี่ยวข้องกับการจัดการความเสี่ยงด้านความปลอดภัยของข้อมูล
• - ดำเนินแผนการรักษาความเสี่ยงเพื่อให้บรรลุเป้าหมายการจัดการที่ตั้งใจไว้ รวมถึงประเด็นทางการเงิน ตลอดจนการกระจายหน้าที่และความรับผิดชอบ
• - ใช้มาตรการการจัดการที่เลือก
• - กำหนดวิธีการวัดประสิทธิผลของมาตรการการจัดการที่เลือก
• - ดำเนินโครงการฝึกอบรมและการพัฒนาวิชาชีพสำหรับพนักงาน
• - จัดการงานของ ISMS
• - จัดการทรัพยากร ISMS
• - ใช้ขั้นตอนและมาตรการการจัดการอื่น ๆ เพื่อรับรองการตรวจจับเหตุการณ์ความปลอดภัยของข้อมูลอย่างรวดเร็วและการตอบสนองต่อเหตุการณ์ที่เกี่ยวข้องกับความปลอดภัยของข้อมูล

ระยะที่สาม” ดำเนินการติดตามและวิเคราะห์ระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ”กำหนดให้มี:

• - ดำเนินการตามขั้นตอนการติดตามและวิเคราะห์
• - ดำเนินการวิเคราะห์ประสิทธิผลของ ISMS อย่างสม่ำเสมอ
• - วัดประสิทธิผลของมาตรการควบคุมเพื่อตรวจสอบการปฏิบัติตามข้อกำหนดด้านความปลอดภัยของข้อมูล
• - ทบทวนการประเมินความเสี่ยงในช่วงเวลาที่กำหนด วิเคราะห์ความเสี่ยงที่เหลืออยู่ และกำหนดระดับความเสี่ยงที่ยอมรับได้ โดยคำนึงถึงการเปลี่ยนแปลง
• - ดำเนินการตรวจสอบภายในของ ISMS ตามระยะเวลาที่กำหนด
• - ดำเนินการวิเคราะห์ ISMS อย่างสม่ำเสมอโดยฝ่ายบริหารขององค์กรเพื่อยืนยันความเพียงพอของระบบการทำงานและกำหนดพื้นที่สำหรับการปรับปรุง
• - อัปเดตแผนการรักษาความปลอดภัยของข้อมูลโดยคำนึงถึงผลการวิเคราะห์และการติดตาม
• - บันทึกการกระทำและเหตุการณ์ที่อาจส่งผลต่อประสิทธิผลหรือการทำงานของ ISMS

และสุดท้ายก็ถึงเวที “การสนับสนุนและปรับปรุงระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ”เสนอแนะว่าองค์กรควรดำเนินกิจกรรมดังต่อไปนี้อย่างสม่ำเสมอ:

• - ระบุโอกาสในการปรับปรุง ISMS
• - ดำเนินการแก้ไขและป้องกันที่จำเป็น ใช้ในทางปฏิบัติประสบการณ์ความปลอดภัยของข้อมูลที่ได้รับทั้งในองค์กรของคุณเองและในองค์กรอื่น ๆ
• - สื่อสารข้อมูลโดยละเอียดเกี่ยวกับการดำเนินการเพื่อปรับปรุง ISMS ให้กับผู้มีส่วนได้เสียทั้งหมด และระดับของรายละเอียดควรเหมาะสมกับสถานการณ์ และหากจำเป็น จะต้องตกลงในการดำเนินการต่อไป
• - รับประกันการดำเนินการปรับปรุง ISMS เพื่อให้บรรลุเป้าหมายที่วางแผนไว้

นอกจากนี้ มาตรฐานยังกำหนดข้อกำหนดสำหรับการจัดทำเอกสาร ซึ่งควรรวมถึงข้อกำหนดของนโยบาย ISMS และคำอธิบายขอบเขตการดำเนินงาน คำอธิบายวิธีการและรายงานการประเมินความเสี่ยง แผนการรักษาความเสี่ยง และเอกสารประกอบของขั้นตอนที่เกี่ยวข้อง ควรกำหนดกระบวนการจัดการเอกสาร ISMS รวมถึงการอัปเดต การใช้ การจัดเก็บ และการทำลายด้วย

เพื่อให้หลักฐานการปฏิบัติตามข้อกำหนดและประสิทธิผลของ ISMS มีความจำเป็นต้องรักษาและบำรุงรักษาบันทึกการดำเนินการตามกระบวนการ ตัวอย่างได้แก่ บันทึกผู้เยี่ยมชม รายงานการตรวจสอบ ฯลฯ

มาตรฐานระบุว่าฝ่ายบริหารขององค์กรมีหน้าที่รับผิดชอบในการจัดหาและจัดการทรัพยากรที่จำเป็นในการสร้าง ISMS ตลอดจนจัดการฝึกอบรมบุคลากร

ตามที่ระบุไว้ก่อนหน้านี้ องค์กรจะต้องดำเนินการตรวจสอบ ISMS ภายในเพื่อประเมินการทำงานและการปฏิบัติตามมาตรฐานตามกำหนดการที่ได้รับอนุมัติ และฝ่ายบริหารจะต้องดำเนินการวิเคราะห์ระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ

ควรดำเนินการปรับปรุงระบบการจัดการความปลอดภัยของข้อมูล: เพื่อเพิ่มประสิทธิภาพและระดับการปฏิบัติตามสถานะปัจจุบันของระบบและข้อกำหนดของระบบ

ชาคาลอฟ อิกอร์ ยูริเยวิช

ในประเด็นบูรณาการการจัดการคุณภาพและระบบรักษาความปลอดภัยข้อมูล

บทคัดย่อ: มีการทบทวนมาตรฐานสากล ISO 27001 และ ISO 9001 ความเหมือนและความแตกต่างระหว่างระบบการจัดการคุณภาพและระบบการจัดการความปลอดภัยของข้อมูลได้รับการวิเคราะห์ มีการแสดงความเป็นไปได้ในการบูรณาการระบบการจัดการคุณภาพและระบบการจัดการความปลอดภัยของข้อมูล มีการนำเสนอขั้นตอนหลักของการสร้างและการนำระบบการจัดการความปลอดภัยของข้อมูลแบบบูรณาการไปใช้ แสดงให้เห็นข้อดีของแนวทางบูรณาการ

คำหลัก: ระบบการจัดการ, ความปลอดภัยของข้อมูล, ระบบการจัดการแบบบูรณาการ, ISMS, QMS, ISO 27001

นาตาลียา โอเลคอฟน่า

การแนะนำ

ใน โลกสมัยใหม่ด้วยการถือกำเนิดของอุปกรณ์ทางเทคนิคที่แพร่หลายและสะดวกสบาย ปัญหาความปลอดภัยของข้อมูลจึงค่อนข้างรุนแรง นอกจากการผลิตสินค้าที่มีคุณภาพหรือการให้บริการแก่ธุรกิจและองค์กรแล้ว สิ่งสำคัญคือต้องเก็บข้อมูลที่จำเป็นไว้เป็นความลับจากคู่แข่งเพื่อให้คงอยู่ในตำแหน่งที่ได้เปรียบในตลาด ในการแข่งขัน การดำเนินการต่าง ๆ ที่มุ่งเป้าไปที่การได้รับ (การแยก การได้มา) ข้อมูลที่เป็นความลับนั้นแพร่หลาย ในรูปแบบต่างๆจนถึงการสั่งการจารกรรมทางอุตสาหกรรมโดยใช้วิธีการทางปัญญาทางเทคนิคที่ทันสมัย

ดังนั้น องค์กรที่ปฏิบัติตามแนวปฏิบัติที่ดีที่สุดของโลก ซึ่งมีข้อกำหนดและแนวทางสำหรับการนำระบบการจัดการกระบวนการทางธุรกิจขององค์กรไปใช้ จะกลายเป็นผู้นำตลาด มาตรฐานที่ดีที่สุดสำหรับการพัฒนา นำไปใช้ ติดตามและปรับปรุงระบบดังกล่าวคือเอกสารขององค์การระหว่างประเทศเพื่อการมาตรฐาน (ISO) ความสนใจเป็นพิเศษจำเป็นต้องให้ความสนใจกับมาตรฐานของซีรีส์ ISO 900x และ ISO 2700x ซึ่งประกอบด้วยแนวทางปฏิบัติที่ดีที่สุดในการนำระบบการจัดการคุณภาพ (QMS) และระบบการจัดการความปลอดภัยของข้อมูล (ISMS) ไปใช้

ระบบการจัดการคุณภาพที่ดำเนินการตามข้อกำหนดของมาตรฐาน ISO 9001 ได้รับการยอมรับมานานแล้วว่าเป็นคุณลักษณะที่สำคัญ บริษัทที่ประสบความสำเร็จผลิตสินค้าคุณภาพสูงหรือให้บริการระดับสูง ปัจจุบัน การมีใบรับรองความสอดคล้องเป็นทั้งโซลูชันทางการตลาดที่มีประสิทธิภาพและเป็นกลไกในการตรวจสอบกระบวนการผลิต การตรวจสอบ QMS เป็นธุรกิจที่พัฒนาแล้ว

ทุกวันต้องอาศัยกิจกรรมที่ประสบความสำเร็จของบริษัท ระบบองค์กรการปกป้องข้อมูล นี่เป็นเพราะปริมาณข้อมูลสำคัญที่ประมวลผลในระบบข้อมูลองค์กรเพิ่มขึ้น ระบบสารสนเทศมีความซับซ้อนมากขึ้นและจำนวนช่องโหว่ที่พบในระบบก็เพิ่มมากขึ้น การตรวจสอบ ISMS ช่วยให้คุณสามารถประเมินสถานะปัจจุบันของความปลอดภัยของการทำงานของระบบข้อมูลองค์กร

ประเมินและคาดการณ์ความเสี่ยง จัดการผลกระทบต่อกระบวนการทางธุรกิจของบริษัท

เนื่องจากมาตรฐาน ISO 9001 เป็นผู้นำในด้านจำนวนใบรับรองในโลกมายาวนาน และมาตรฐาน ISO 27001 แสดงให้เห็นถึงแนวโน้มในการเพิ่มการรับรองระบบการจัดการความปลอดภัยของข้อมูล จึงแนะนำให้พิจารณา ปฏิสัมพันธ์ที่เป็นไปได้และการบูรณาการระบบ QMS และ ISMS

การบูรณาการมาตรฐาน

เมื่อมองแวบแรก การจัดการคุณภาพและความปลอดภัยของข้อมูลเป็นพื้นที่ที่แตกต่างกันโดยสิ้นเชิง อย่างไรก็ตาม ในทางปฏิบัติ สิ่งเหล่านี้มีความสัมพันธ์กันอย่างใกล้ชิดและรวมเป็นหนึ่งเดียว (รูปที่ 1) ความพึงพอใจของลูกค้าซึ่งเป็นเป้าหมายด้านคุณภาพนั้นขึ้นอยู่กับความพร้อมใช้งานมากขึ้นทุกปี เทคโนโลยีสารสนเทศและในเรื่องความปลอดภัยของข้อมูล ซึ่งเป็นมาตรฐาน ISO 27001 ที่ใช้ในการสนับสนุน ในทางกลับกัน มาตรฐาน ISO 9001 สอดคล้องกับเป้าหมายขององค์กรอย่างใกล้ชิดโดยช่วยให้มั่นใจในการจัดการความปลอดภัยของข้อมูล ด้วยแนวทางที่ครอบคลุม ISO 27001 จึงสามารถบูรณาการเข้ากับ QMS ที่มีอยู่หรือนำไปใช้ร่วมกับ QMS ได้อย่างมีประสิทธิภาพ

STI (ISO 27001) และการจัดการบริการไอที (ISO 20000) มีโครงสร้างและแนวทางกระบวนการที่คล้ายกัน สิ่งนี้ให้การทำงานร่วมกันที่คุ้มค่า: ในทางปฏิบัติ ระบบการจัดการแบบรวมสำหรับการดำเนินงานอย่างต่อเนื่องช่วยประหยัดได้ตั้งแต่ 20 ถึง 30 เปอร์เซ็นต์ของต้นทุนทั้งหมดของการเพิ่มประสิทธิภาพระบบ การตรวจสอบ และการตรวจสอบ

มาตรฐานความปลอดภัยของข้อมูลและการจัดการคุณภาพมุ่งเน้นไปที่การปรับปรุงอย่างต่อเนื่องตามแบบจำลอง Plan-Do-Check-Act (PDCA) ที่เรียกว่า Deming Cycle (ดูรูปที่ 2) นอกจากนี้ยังมีโครงสร้างที่คล้ายคลึงกันดังที่แสดงในตารางการติดต่อในภาคผนวก C ของ ISO 27001 มาตรฐานทั้งสองจะกำหนดแนวคิดเกี่ยวกับแนวทางกระบวนการ ขอบเขต ข้อกำหนดของระบบและเอกสารประกอบ และความรับผิดชอบด้านการบริหาร ในทั้งสองกรณี กรอบการทำงานจะสิ้นสุดด้วยการตรวจสอบภายใน การทบทวนฝ่ายบริหาร และการปรับปรุงระบบ ในเรื่องนี้ทั้งสองระบบโต้ตอบกัน ตัวอย่างเช่น ISO 9001 กำหนดให้มีการจัดการผลิตภัณฑ์ที่ไม่เป็นไปตามข้อกำหนด ในทำนองเดียวกัน ISO 27001 ก็มีข้อกำหนดสำหรับการจัดการเหตุการณ์เพื่อแก้ไขความล้มเหลว

ข้าว. 1. พื้นที่ของการมีปฏิสัมพันธ์และความคล้ายคลึงระหว่าง QMS และ ISMS

ข้าว. 2. วงจรเดมิง

องค์กรมากกว่า 27,200 แห่งในอุตสาหกรรมที่หลากหลายในกว่า 100 ประเทศได้รับการรับรองมาตรฐาน ISO 9001:2008 ในด้านการจัดการคุณภาพ ขึ้นอยู่กับตลาดและข้อกำหนดทางกฎหมาย หลายองค์กรถูกบังคับให้จัดการกับความปลอดภัยของข้อมูลมากขึ้น ในเรื่องนี้ข้อเสนอบูรณาการระบบการจัดการ โอกาสที่แท้จริง- แนวทางบูรณาการยังน่าสนใจสำหรับบริษัทที่ไม่เคยใช้กระบวนการจัดการใดๆ มาก่อน มาตรฐาน ISO ด้านคุณภาพ (ISO 9001) การคุ้มครองสิ่งแวดล้อม (ISO 14000) ความปลอดภัยของข้อมูล

ความแตกต่างระหว่างมาตรฐานต่างๆ จะช่วยเสริมซึ่งกันและกันให้เกิดประโยชน์ ซึ่งมีส่วนอย่างมากต่อความสำเร็จทางธุรกิจที่เพิ่มขึ้น ตัวอย่างเช่น ISO 9001 กำหนดให้กำหนดเป้าหมายขององค์กร การมุ่งเน้นที่ลูกค้า และความสามารถในการวัดผลว่าบรรลุตามเป้าหมายและวัตถุประสงค์ในขอบเขตใด นี่คือประเด็นสามประเด็นที่ไม่ได้เป็นจุดเน้นของ ISO 27001 ในทางกลับกัน มาตรฐานนี้จัดลำดับความสำคัญของการบริหารความเสี่ยงเพื่อรักษาความต่อเนื่องทางธุรกิจ และให้ความช่วยเหลือโดยละเอียดในการนำ ISMS ไปใช้ เปรียบเทียบ

ด้วยเหตุนี้ ISO 9001 จึงเป็นมาตรฐานทางทฤษฎีมากกว่า

ISO 27001 ไม่ได้เป็นเพียงมาตรฐานสำหรับไอทีเท่านั้น

หลายๆ คนคิดว่า ISO 27001 มีไว้สำหรับกระบวนการด้านไอทีเท่านั้น แต่จริงๆ แล้วไม่เป็นเช่นนั้น ประเด็นพื้นฐานสำหรับการดำเนินการตามมาตรฐาน MS&B ISO 27001 คือคำจำกัดความของสินทรัพย์

■ "lilltpHiimiir-J. » iJillllF.lEL^OIU.IC.

g t^tsdkpinizh ts netuvk^tnslschs tEp.tna

» ■irreiiKinfundu «GcTMHiiociv

* KYADROMK:

■ JI!l"|"l"L>4_l]จิล"HIIL,k

» D|KtttcCcU H «patitU.

» jimii 14: ii |vju7JIIIM.

ข้าว. 3. ประเภทของสินทรัพย์

สินทรัพย์คือสิ่งใดก็ตามที่มีมูลค่าต่อบริษัท (รูปที่ 3) นั่นคือสินทรัพย์อาจเป็น: ทรัพยากรบุคคล โครงสร้างพื้นฐาน เครื่องมือ อุปกรณ์ การสื่อสาร บริการ และทรัพย์สินอื่น ๆ รวมถึงบริการสำหรับการจัดหาผลิตภัณฑ์ที่ซื้อ ตามกระบวนการ บริษัทจะพิจารณาว่ามีสินทรัพย์ใดบ้างและสินทรัพย์ใดบ้างที่เกี่ยวข้องกับกระบวนการที่สำคัญ และประเมินมูลค่าของสินทรัพย์ และหลังจากนี้เท่านั้น ความเสี่ยงจะได้รับการประเมินสำหรับสินทรัพย์ที่มีค่าทั้งหมด ดังนั้น ISMS จึงไม่ได้มีไว้สำหรับเท่านั้น ข้อมูลดิจิทัลซึ่งประมวลผลด้วยระบบอัตโนมัติ ตัวอย่างเช่น กระบวนการที่สำคัญที่สุดบางกระบวนการเกี่ยวข้องด้วย

การตระเตรียม

แผนการจัดงาน

2 ตรวจสอบการปฏิบัติตามข้อกำหนด H:i

ด้วยการจัดเก็บข้อมูลในรูปแบบเอกสาร ซึ่งถูกนำมาพิจารณาใน ISO 27001 เช่นกัน ISMS ครอบคลุมวิธีการทั้งหมดในการจัดเก็บข้อมูลสำคัญในบริษัทของคุณ ตั้งแต่วิธีการของคุณ อีเมลได้รับการคุ้มครอง โดยลงท้ายด้วยการจัดเก็บไฟล์ส่วนตัวของพนักงานไว้ในอาคาร

ดังนั้นจึงเป็นความเข้าใจผิดอย่างมากที่จะเชื่อว่าเนื่องจากมาตรฐานนี้มีวัตถุประสงค์เพื่อสร้างระบบการจัดการความปลอดภัยของข้อมูล จึงสามารถใช้ได้กับข้อมูลที่จัดเก็บไว้ในคอมพิวเตอร์เท่านั้น แม้กระทั่งในตัวเรา ยุคดิจิทัลยังมีข้อมูลจำนวนมากที่สะท้อนอยู่บนกระดาษซึ่งจะต้องได้รับการปกป้องอย่างน่าเชื่อถือด้วย

ISO 9001 ไม่สามารถตอบสนองความต้องการด้านความปลอดภัยข้อมูลของบริษัทได้ เนื่องจาก ISO 9001 มุ่งเน้นที่คุณภาพของผลิตภัณฑ์อย่างจำกัด ดังนั้นจึงเป็นเรื่องสำคัญมากที่จะต้องนำมาตรฐาน ISO 27001 ไปใช้ในบริษัท เมื่อมองแวบแรก ผู้เชี่ยวชาญอาจดูเหมือนว่ามาตรฐานทั้งสองมีความทั่วไปมากและขาดความเฉพาะเจาะจง อย่างไรก็ตาม นี่ไม่ใช่กรณี: มาตรฐาน ISO 27001 อธิบายเกือบทุกขั้นตอนในการนำไปใช้และติดตามการทำงานของ ISMS (รูปที่ 4)

ขั้นตอนหลักของการสร้างระบบการจัดการความปลอดภัยของข้อมูล

ขั้นตอนหลักของการสร้าง ISMS แสดงไว้ในรูปที่ 4 มาดูพวกเขากันดีกว่า

ขั้นที่ 1 การจัดทำแผนปฏิบัติการ ในขั้นตอนนี้ ผู้เชี่ยวชาญจะรวบรวมเอกสารด้านองค์กรและการบริหาร (ORD) และอื่นๆ วัสดุการทำงาน,

3 ประเภทปกติ ii ORD

4 การวิเคราะห์ ii การประเมินความเสี่ยง 11B

การนำไปปฏิบัติ

5 ริอาซราอูจยา และ<>RaeryaOopv ซับซ้อน & 00\*ieiitii:

แผนการฉายรังสี ■-> บรรทัดฐานของกิจกรรม -> เหตุการณ์ -> CfftpJOTHW*

กิจกรรมจันทร์>PB ORD ในวันเปิดทำการ

การก่อตัวของ 10 AiUtuin การประเมินผลลัพธ์ของ INORSNESS"IMB

ข้าว. 4. ขั้นตอนของการสร้าง ISMS

ที่เกี่ยวข้องกับการก่อสร้างและการดำเนินงานระบบข้อมูลของบริษัทที่วางแผนไว้สำหรับการใช้งานกลไกและวิธีการรักษาความปลอดภัยข้อมูล นอกจากนี้ แผนปฏิบัติการสำหรับขั้นตอนการทำงานจะได้รับการจัดทำขึ้น ตกลงและอนุมัติโดยฝ่ายบริหารของบริษัท

ขั้นตอนที่ 2: การทดสอบการปฏิบัติตามมาตรฐาน ISO/IEC 27001:2005 สัมภาษณ์และซักถามผู้จัดการและพนักงานแผนก การวิเคราะห์ ISMS ของบริษัทเพื่อให้สอดคล้องกับข้อกำหนดของมาตรฐาน ISO/IEC 27001:2005

ขั้นตอนที่ 3 การวิเคราะห์เอกสารด้านกฎระเบียบและองค์กรตามโครงสร้างองค์กรของ บริษัท จากผลลัพธ์ที่ได้ จะมีการกำหนดขอบเขตที่ได้รับการคุ้มครอง (SA) และร่างนโยบายความปลอดภัยของข้อมูลของบริษัทได้รับการพัฒนา

ขั้นตอนที่ 4 การวิเคราะห์และประเมินความเสี่ยงด้านความปลอดภัยของข้อมูล การพัฒนาระเบียบวิธีในการจัดการและวิเคราะห์ความเสี่ยงของบริษัท การวิเคราะห์ทรัพยากรข้อมูลของบริษัท โดยหลักๆ แล้วคือ LAN เพื่อระบุภัยคุกคามและช่องโหว่ของสินทรัพย์ ML ที่ได้รับการป้องกัน สินค้าคงคลังของสินทรัพย์ ดำเนินการให้คำปรึกษาสำหรับผู้เชี่ยวชาญของบริษัทและประเมินการปฏิบัติตามจริงและ ระดับที่ต้องการความปลอดภัย. การคำนวณความเสี่ยง การกำหนดระดับความเสี่ยงในปัจจุบันและที่ยอมรับได้สำหรับสินทรัพย์แต่ละรายการ การจัดอันดับความเสี่ยง การเลือกชุดมาตรการเพื่อลดความเสี่ยง และการคำนวณประสิทธิผลทางทฤษฎีของการดำเนินการ

ขั้นตอนที่ 5 การพัฒนาและการดำเนินการตามแผนปฏิบัติการด้านความปลอดภัยข้อมูล การพัฒนาข้อกำหนดเกี่ยวกับการบังคับใช้การควบคุมตามมาตรฐาน ISO/IEC 27001:2005 การพัฒนาแผนการบัญชีและการขจัดความเสี่ยง จัดทำรายงานต่างๆ ให้กับหัวหน้าบริษัท.

ขั้นตอนที่ 6 การพัฒนากฎระเบียบและการปฏิบัติงาน การพัฒนาและการอนุมัตินโยบาย IS ขั้นสุดท้ายและข้อกำหนดที่เกี่ยวข้อง (นโยบายส่วนตัว) การพัฒนามาตรฐาน ขั้นตอน และคำแนะนำเพื่อให้มั่นใจ การทำงานปกติและการดำเนินงานของระบบ ISMS ของบริษัท

ขั้นตอนที่ 7 การดำเนินการตามมาตรการที่ครอบคลุมเพื่อลดความเสี่ยงด้านความปลอดภัยของข้อมูลและการประเมินประสิทธิผลตามแผนการประมวลผลและขจัดความเสี่ยงที่ได้รับอนุมัติจากฝ่ายบริหาร

ขั้นตอนที่ 8 การฝึกอบรมพนักงาน การพัฒนาแผนปฏิบัติการและการดำเนินโครงการเพื่อฝึกอบรมและปรับปรุงความสามารถของพนักงานบริษัท เพื่อถ่ายทอดหลักการรักษาความปลอดภัยข้อมูลให้กับพนักงานทุกคนอย่างมีประสิทธิผล และ

โดยหลักแล้วคือผู้ที่ทำงานในแผนกโครงสร้างที่ให้บริการกระบวนการทางธุรกิจที่สำคัญ

ขั้นตอนที่ 9 การรายงาน การจัดระบบผลการสำรวจและการจัดทำรายงาน การนำเสนอผลงานต่อผู้จัดการบริษัท จัดทำเอกสารขอใบอนุญาตให้ปฏิบัติตามมาตรฐาน ISO/IEC 27001:2005 และโอนไปยังองค์กรที่ให้การรับรอง

ขั้นตอนที่ 10 การวิเคราะห์และประเมินผลการนำ ISMS ไปใช้ตามวิธีการที่ประเมินความน่าเชื่อถือของการดำเนินงาน ISMS ของบริษัท การพัฒนาข้อเสนอแนะเพื่อปรับปรุงระบบการจัดการความมั่นคงปลอดภัยสารสนเทศของบริษัท

การวิเคราะห์แต่ละขั้นตอนของการนำ ISMS ไปใช้ เราสามารถพูดได้ว่า ISO 27001 มีโครงสร้างและข้อกำหนดที่ชัดเจนซึ่งจะช่วยให้คุณสร้างระบบการทำงานที่จะมีการโต้ตอบในทุกระดับที่จำเป็น แต่เราต้องไม่ลืมว่าความแตกต่างที่สำคัญระหว่าง ISMS และ QMS ก็คือระบบแรกมุ่งเน้นไปที่ความปลอดภัยของข้อมูล

ความสำคัญของความปลอดภัยของข้อมูลในโลกสมัยใหม่

ธุรกิจทุกวันนี้อยู่ไม่ได้หากไม่มีเทคโนโลยีสารสนเทศ เป็นที่ทราบกันดีว่าประมาณ 70% ของผลิตภัณฑ์ระดับชาติทั้งหมดของโลกขึ้นอยู่กับข้อมูลที่เก็บไว้ในระบบสารสนเทศไม่ทางใดก็ทางหนึ่ง การเปิดตัวคอมพิวเตอร์อย่างแพร่หลายไม่เพียงแต่สร้างความสะดวกสบายที่เป็นที่รู้จักเท่านั้น แต่ยังสร้างปัญหาอีกด้วย ปัญหาที่ร้ายแรงที่สุดคือปัญหาความปลอดภัยของข้อมูล

ผู้นำบริษัทจะต้องเข้าใจถึงความสำคัญของความปลอดภัยของข้อมูลและเรียนรู้ที่จะคาดการณ์และจัดการแนวโน้มในด้านนี้ การนำ ISMS ไปใช้ซึ่งในโครงสร้างมีศักยภาพในการพัฒนา ความโปร่งใสในการจัดการ และความยืดหยุ่นต่อการเปลี่ยนแปลงใดๆ สามารถช่วยได้ในเรื่องนี้ นอกเหนือจากการควบคุมคอมพิวเตอร์และเครือข่ายคอมพิวเตอร์แล้ว มาตรฐาน ISO 27001 ยังให้ความสำคัญกับการพัฒนานโยบายความปลอดภัย การทำงานร่วมกับบุคลากร (การว่าจ้าง การฝึกอบรม การเลิกจ้าง) เพื่อให้เกิดความต่อเนื่อง กระบวนการผลิตข้อกำหนดด้านกฎระเบียบ ในเวลาเดียวกัน ปัญหาทางเทคนิคบางอย่างมีรายละเอียดอยู่ในมาตรฐานอื่นๆ ในชุดนี้

ISO27000. มีข้อดีหลายประการของการแนะนำ ISMS เข้ามาในบริษัท โดยบางข้อแสดงไว้ในรูปที่ 1 5.

Glbkshl Scale subdr>h;b1[ส่วนหนึ่ง

ลดลงใน¡ juvum

HiKiinimi n II11 \ 11 Ch"G 1111 111 pudnT

พริทชาล อูร์ด็อกเติล

จิ|ม|ฉันจะ p.Ki คุณ:

อัซชชท์เนีย № tsn^st

ข้าว. 5. ประโยชน์ของการนำระบบการจัดการความมั่นคงปลอดภัยสารสนเทศไปใช้

ควรชี้ให้เห็นถึงข้อดีของ ISO

การสาธิตความสามารถด้านความปลอดภัย ISO 27001 ให้คำแนะนำเชิงปฏิบัติสำหรับองค์กรเพื่อช่วยกำหนดข้อกำหนดด้านความปลอดภัยเพื่อให้บรรลุระดับความปลอดภัยที่ต้องการและบรรลุวัตถุประสงค์ด้านความปลอดภัยเฉพาะ เป็นสิ่งสำคัญอย่างยิ่งสำหรับองค์กรที่มีความสามารถในการจัดการความปลอดภัยทั้งสี่ด้าน ได้แก่ การระบุและประเมินทรัพย์สินของบริษัท การประเมินความเสี่ยงและการกำหนดเกณฑ์การยอมรับความเสี่ยง การจัดการและการยอมรับรายการเหล่านี้ และการปรับปรุงโปรแกรมความปลอดภัยโดยรวมขององค์กรอย่างต่อเนื่อง

มอบความมั่นใจให้กับลูกค้า ISO 27001 ให้หลักฐานที่เป็นอิสระว่าโครงการต่างๆ การกำกับดูแลกิจการได้รับการสนับสนุนจากแนวปฏิบัติระดับสากลที่ดีที่สุด ขั้นสูง การรับรองมาตรฐาน ISO 27001 ให้ความอุ่นใจแก่องค์กรที่ต้องการแสดงความซื่อสัตย์ต่อลูกค้า ผู้ถือหุ้น และหุ้นส่วนที่มีศักยภาพ และที่สำคัญที่สุดคือ เพื่อแสดงให้เห็นว่าบริษัทได้นำระบบการจัดการความปลอดภัยของข้อมูลที่แข็งแกร่งไปใช้อย่างประสบความสำเร็จ สำหรับอุตสาหกรรมที่มีการควบคุมอย่างเข้มงวด เช่น การเงินหรือบริการอินเทอร์เน็ต ซัพพลายเออร์สามารถเลือกได้

จำกัดเฉพาะองค์กรที่ได้รับการรับรองมาตรฐาน ISO 27001 แล้ว

การใช้ทรัพยากรอย่างมีประสิทธิภาพมากขึ้น ด้วยการใช้วิธีการแบบกระบวนการ ทำให้สามารถเพิ่มประสิทธิภาพกระบวนการที่เกิดขึ้นในบริษัทได้ ซึ่งเกี่ยวข้องกับการลดการใช้ทรัพยากร เช่น เวลา

การปรับปรุงอย่างต่อเนื่อง ISMS ใช้โมเดล PCDA ซึ่งช่วยให้คุณสามารถตรวจสอบสถานะของทั้งระบบ ดำเนินการวิเคราะห์ และปรับปรุงระบบการจัดการได้อย่างสม่ำเสมอ

1. ภาพลักษณ์แบรนด์ การรับรองการปฏิบัติตามมาตรฐาน ISO 27001 เปิดโอกาสมากมายให้กับบริษัท: การเข้าถึงระดับสากล พันธมิตรใหม่ ลูกค้ามากขึ้น สัญญาใหม่ ความสำเร็จในการประกวดราคา การมีอยู่ของ ISMS ในบริษัทเป็นตัวบ่งชี้ ระดับสูงการพัฒนา.

2. ความยืดหยุ่นของระบบ ISMS โดยไม่คำนึงถึงการเปลี่ยนแปลงกระบวนการหรือเทคโนโลยีใหม่ พื้นฐานของโครงสร้าง ISMS ยังคงมีประสิทธิภาพ ISMS สามารถปรับให้เข้ากับนวัตกรรมได้อย่างง่ายดายโดยการอัพเกรดที่มีอยู่และแนะนำมาตรการรับมือใหม่

3. ความสามารถในการปรับขนาดของการดำเนินการมาตรฐาน เนื่องจาก ISO 27001 เกี่ยวข้องกับการกำหนดขอบเขต จึงอนุญาตให้เฉพาะกระบวนการย่อยเท่านั้นที่จะได้รับการรับรอง คุณสามารถเริ่มต้นใช้งาน ISMS ใน OD ที่สำคัญที่สุดสำหรับบริษัท และขยายได้ในภายหลังเท่านั้น

4. การตรวจสอบ บริษัทรัสเซียหลายแห่งมองว่างานตรวจสอบบัญชีเป็นหายนะ ISO 27001 แสดงให้เห็นถึงแนวทางสากลในการดำเนินการตรวจสอบ ประการแรก บริษัทสนใจที่จะปฏิบัติตามมาตรฐานอย่างแท้จริง และไม่ดำเนินการรับรองใดๆ เพียงเพื่อแสดงเท่านั้น

5. การตรวจสอบภายในหรือภายนอกอย่างสม่ำเสมอทำให้สามารถแก้ไขการละเมิด ปรับปรุง ISMS และลดความเสี่ยงได้อย่างมาก ก่อนอื่น บริษัทต้องการสิ่งนี้เพื่อความอุ่นใจ เพื่อให้ทุกอย่างเป็นไปตามระเบียบและลดความเสี่ยงของการสูญเสียให้เหลือน้อยที่สุด และประการที่สอง ใบรับรองความสอดคล้องซึ่งยืนยันกับคู่ค้าหรือลูกค้าว่าบริษัทนี้สามารถเชื่อถือได้

6. ความโปร่งใสในการบริหารจัดการ การใช้มาตรฐาน ISO 27001 ให้คำแนะนำที่ค่อนข้างชัดเจนในการสร้างการควบคุม และ

รวมถึงข้อกำหนดด้านเอกสารที่บริษัทต้องมี ปัญหาของหลายบริษัทคือเอกสารที่มีอยู่สำหรับบางแผนกไม่สามารถอ่านได้ เนื่องจากการพิจารณาว่าอะไรมีไว้สำหรับใครมักจะเป็นไปไม่ได้เนื่องจากความซับซ้อนของระบบเอกสาร ลำดับชั้นของระดับเอกสาร ตั้งแต่นโยบายความปลอดภัยของข้อมูลไปจนถึงคำอธิบายของขั้นตอนบางอย่าง ทำให้การใช้กฎ ข้อบังคับ และสิ่งอื่นๆ ที่มีอยู่ง่ายขึ้นมาก นอกจากนี้ การดำเนินการจัดการความปลอดภัยของข้อมูลยังเกี่ยวข้องกับการฝึกอบรมพนักงาน: การสัมมนา การส่งจดหมาย การติดโปสเตอร์คำเตือน ซึ่งเพิ่มความตระหนักรู้ด้านความปลอดภัยของข้อมูลในหมู่พนักงานทั่วไปอย่างมีนัยสำคัญ

โดยสรุปควรสังเกตว่าในธุรกิจสมัยใหม่ระบบการจัดการคุณภาพขั้นพื้นฐานที่แยกออกจากกันไม่ได้ซึ่งสร้างขึ้นตามข้อกำหนดของมาตรฐาน ISO 9001 และตำแหน่งที่เพิ่มขึ้นของระบบการจัดการความปลอดภัยของข้อมูลนั้นชัดเจน

ปัจจุบัน ผู้นำตลาดจะเป็นบริษัทที่ไม่เพียงแต่ตรวจสอบคุณภาพของผลิตภัณฑ์และบริการเท่านั้น แต่ยังรวมถึงระดับการรักษาความลับ ความสมบูรณ์ และความพร้อมของข้อมูลเกี่ยวกับผลิตภัณฑ์และบริการเหล่านั้นด้วย ปัจจัยสำคัญต่อความสำเร็จก็คือการคาดการณ์และประเมินความเสี่ยงซึ่งต้องใช้แนวทางที่มีความสามารถและการใช้แนวทางปฏิบัติระดับสากลที่ดีที่สุด การดำเนินการร่วมกันและการรับรองระบบการจัดการคุณภาพและความปลอดภัยของข้อมูลจะช่วยแก้ปัญหาได้ หลากหลายงานสำหรับอุตสาหกรรมหรือการค้าใด ๆ ซึ่งจะนำไปสู่การเพิ่มคุณภาพในระดับการให้บริการ

วรรณกรรม

1. Dorofeev A.V., Shakhalov I.Yu. พื้นฐานการจัดการความปลอดภัยของข้อมูลขององค์กรสมัยใหม่ // สารสนเทศทางกฎหมาย 2556. ลำดับที่ 3. ป.4-14.

2. Chashkin V. N. การจัดการความปลอดภัยของข้อมูลในฐานะองค์ประกอบของระบบการจัดการสำหรับกิจกรรมเทคโนโลยีสารสนเทศขององค์กร // ความปลอดภัยของเทคโนโลยีสารสนเทศ 2552 ฉบับที่ 1 หน้า 123-124.

3. Goryachev V.V. GOST ใหม่บน QMS ความแตกต่างที่สำคัญจาก GOST RV 15.002-2003 //

วิธีการจัดการคุณภาพ 2556. ฉบับที่ 7. หน้า 18-23.

4. Dotsenko S. P. , Pshenetsky S. P. แนวทางการสร้างแบบจำลองระบบการจัดการความปลอดภัยของข้อมูล // เครือข่ายอิเล็กทรอนิกส์แบบ Polythematic วารสารวิทยาศาสตร์รัฐคูบาน มหาวิทยาลัยเกษตรศาสตร์- 2552. ฉบับที่ 53. หน้า 47-56.

5. Kamenev A.V., Zavoritko E.V. โมเดลของระบบการจัดการความปลอดภัยของข้อมูลที่องค์กร (ในองค์กร) // Intellect นวัตกรรม. การลงทุน. 2556. ฉบับที่ 1. หน้า 111-114.

6. Solovyov A. M. ฐานกฎระเบียบและระเบียบวิธีในด้านการรับรองความปลอดภัยของข้อมูล // เศรษฐศาสตร์สถิติและสารสนเทศ กระดานข่าวยูโม่ 2555 ฉบับที่ 1 หน้า 174-181.

7. Kozin I. F. , Livshits I. I. ความปลอดภัยของข้อมูล บูรณาการ มาตรฐานสากลเข้าสู่ระบบรักษาความปลอดภัยข้อมูลของรัสเซีย // สารสนเทศและการสื่อสาร พ.ศ. 2553 ฉบับที่ 1 หน้า 50-55.

8. Kolodin V. S. การรับรองระบบการจัดการแบบรวม // แถลงการณ์ของรัฐอีร์คุตสค์ มหาวิทยาลัยเทคนิค- 2553 ต. 41 ฉบับที่ 1 หน้า 44-48

9. Merkushova N. I. , Naumenko Yu. A. , Merkushova Yu. A. ระบบการจัดการแบบรวม: ข้อกำหนดเบื้องต้นสำหรับการสร้างในสถานประกอบการของรัสเซีย // นักวิทยาศาสตร์รุ่นเยาว์

2556. ลำดับที่ 12 (59). หน้า 327-331.

10. Voropaeva V. Ya., Shcherbov I. L., Khaustova E. D. การจัดการความปลอดภัยของข้อมูลของระบบสารสนเทศและโทรคมนาคมโดยใช้แบบจำลอง "P1ap-Do-Check-Act" // Sciences1 สลิงของมหาวิทยาลัยเทคนิคแห่งชาติโดเนตสค์ Ser1ya: “มีการคำนวณอุปกรณ์ทางเทคนิคและระบบอัตโนมัติ” 2556. ลำดับที่ 2 (25). หน้า 104-110.

11. Dorofeev A.V., Markov A.S. การจัดการความปลอดภัยของข้อมูล: แนวคิดพื้นฐาน // ปัญหาด้านความปลอดภัยทางไซเบอร์

2557. ครั้งที่ 1(2). หน้า 67-73.

12. Shper V.L. เกี่ยวกับมาตรฐาน 18O/1EC 27001 // วิธีการจัดการคุณภาพ 2551 ฉบับที่ 3 หน้า 60-61.

13. Markov A. S. , Tsirlov V. L. การบริหารความเสี่ยง - สุญญากาศด้านกฎระเบียบด้านความปลอดภัยของข้อมูล // ระบบเปิด ดีบีเอ็มเอส. 2550 ฉบับที่ 8 หน้า 63-67.

14. Matveev V. A. , Tsirlov V. L. รัฐและโอกาสในการพัฒนาอุตสาหกรรมความปลอดภัยของข้อมูลของสหพันธรัฐรัสเซีย

tions ในปี 2014 // ปัญหาความปลอดภัยทางไซเบอร์ 2556. ครั้งที่ 1(1). หน้า 61-64.

15. Barabanov A.V. การกำหนดมาตรฐานกระบวนการพัฒนาซอฟต์แวร์ที่ปลอดภัย // ปัญหาความปลอดภัยทางไซเบอร์ 2556. ครั้งที่ 1(1). หน้า 37-41.

16. Markov A. S., Tsirlov V. L. แนวทางด้านความปลอดภัยทางไซเบอร์ในบริบท

ISO 27032 // ปัญหาความปลอดภัยทางไซเบอร์ 2557. ครั้งที่ 1(2). หน้า 28-35. 17. Khramtsovskaya N. สิ่งที่ผู้จัดการต้องรู้เกี่ยวกับความปลอดภัยของข้อมูล // เจ้าหน้าที่ฝ่ายบุคคล 2552 ลำดับที่ 4. ป. 061-072.