СТ РК ISO/IEC 27004-2012
Информационные технологии
Методы обеспечения безопасности
Менеджмент информационной безопасности
Измерение
(ISO/IEC 27004:2009, IDT)
Содержание
4. Структура настоящего стандарта
5. Общий обзор измерений, связанных с информационной безопасностью
7. Разработка измерений и мер измерений
9. Анализ данных и отчетность по результатам измерений
10. Оценивание и совершенствование программы измерений, связанных с информационной безопасностью
Приложение В (информационное). Примеры конструктивных элементов измерений
Настоящий стандарт содержит рекомендации по разработке и использованию измерений и мер измерения для проведения оценки эффективности реализованной системы менеджмента информационной безопасности (СМИБ), а также мер и средств контроля и управления или их групп по ISO/IEC 27001.
Процесс измерений затрагивает политику, менеджмент риска информационной безопасности, меры и средства контроля и управления и цели их применения, процессы и процедуры, а также поддерживает процесс проверки СМИБ, помогая определить, требуется ли изменять или совершенствовать какие-либо из процессов или мер и средств контроля и управления СМИБ. Следует помнить, что никакие измерения мер и средств контроля и управления не могут обеспечить полной безопасности.
Процесс измерений реализуется в виде программы измерений, связанных с информационной безопасностью. Программа измерений, связанная с информационной безопасностью, предназначена для оказания помощи руководству организации в выявлении и оценивании несоответствующих требованиям и неэффективных процессов, мер, средств контроля и управления СМИБ. а также в определении приоритетов действий, направленных на усовершенствование или изменение этих процессов и (или) мер и средств контроля и управления. Программа измерений также может помочь организации в демонстрации соответствия СМИБ требованиям ISO/IEC 27001 и создании дополнительного основания для проведения руководством организации проверки процессов менеджмента риска информационной безопасности.