Вопрос 21: Рекомендация ITU-T X.1051. Анализ, осуществляемый руководством. Внутренний аудит. Усовершенствование СМИБ

Руководство через запланированные периоды времени должно анализировать СМИБ организации, чтобы постоянно гарантировать её соответствие, достаточность и эффективность.

Подробнее эти требования изложены в ГОСТ Р ИСО/МЭУ 27001. Входные данные для анализа руководством должны содержать информацию о:

• результатах аудиторских проверок и анализа СМИБ;
• ответных реакциях заинтересованных сторон;
• методах, изделиях или процедурах, предназначенных для улучшения рабочих характеристик и эффективности СМИБ;
• статусе профилактических и исправляющих действий;
• уязвимости и угрозах недостаточно учтённых при предыдущем определении риска;
• мероприятиях, проведённых по результатам предыдущих анализов;
• любых изменениях, которые могли бы повлиять на СМИБ;
• рекомендациях по усовершенствованию.

Выходные данные анализа руководством должны содержать любые решения и действия, относящиеся к:

• повышению эффективности СМИБ;
• изменению процедур, влияющих на ИБ, что необходимо в ответ на внутренние и внешние события, которые могут повлиять на СМИБ;
• потребностям в ресурсах.

Организация должна через запланированные интервалы проводить внутренний аудит СМИБ, чтобы определить цели контроля, средства контроля, процессы и процедуры для её СМИБ.

Организация должна непрерывно повышать эффективность СМИБ.

Организация должна определить действия по защите от будущих несоответсвий с целью предотвращения из появления.