1. Распределение обязанностей по обеспечению информационной безопасности
1.1. активы и процессы (процедуры) безопасности, связанные с каждой конкретной системой, должны быть четко определены
1.2. необходимо назначить ответственных за каждый актив или процедуру безопасности, и подробно описать их обязанности в соответствующих документах
1.3. уровни полномочий должны быть четко определены и документально оформлены
2. Процесс получения разрешения на использование средств обработки информации
2.1. на новые средства должны быть получены соответствующие разрешения руководства пользователей, утверждающего их цель и использование
2.2. аппаратные средства и программное обеспечение, где необходимо, следует проверять на предмет совместимости с другими компонентами системы
2.3. использование персональных или находящихся в частной собственности средств обработки информации, например лэптопов, домашних компьютеров или карманных устройств для обработки деловой информации может являться причиной новых уязвимостей, поэтому следует определять и реализовывать необходимые меры и средства контроля и управления
3. Соглашения о конфиденциальности
3.1. определение информации, подлежащей защите
3.2. предполагаемый срок действия соглашения
3.3. необходимые действия при окончании срока действия соглашения
3.4. обязанности и действия лиц, подписавших соглашение, с целью предотвращения несанкционированного разглашения информации
3.5. владение информацией, коммерческие тайны и интеллектуальная собственность, и как это соотносится с защитой конфиденциальной информации
3.6. разрешенное использование конфиденциальной информации и права лиц, подписавших соглашение, в отношении использования информации
3.7. право подвергать аудиту и мониторингу деятельность, связанную с конфиденциальной информацией
3.8. процедуру предупреждения и сообщения о несанкционированном разглашении или нарушениях, связанных с конфиденциальной информацией
3.9. условия возврата или уничтожения информации в случае приостановления действия соглашения
3.10. предполагаемые действия, которые должны быть предприняты в случае нарушения данного соглашения
4. Контакт со специализированными профессиональными группами
4.1. для повышения знания о "передовом опыте" и достижений информационной безопасности на современном уровне
4.2. для обеспечения уверенности в том, что понимание проблем информационной безопасности является современным и полным
4.3. для получения раннего оповещения в виде предупреждений, информационных сообщений и патчей касающихся атак и уязвимостей
4.4. для возможности получения консультаций специалистов по вопросам информационной безопасности
4.5. для совместного использования и обмена информацией о новых технологиях, продуктах, угрозах или уязвимостях
4.6. для обеспечения адекватных точек контакта для обсуждения инцидентов информационной безопасности
5. Обязательства руководства по отношению к информационной безопасности
5.1. обеспечивать уверенность в том, что цели информационной безопасности определены, соответствуют требованиям организации и включены в соответствующие процессы
5.2. формулировать, анализировать и утверждать политику информационной безопасности
5.3. анализировать эффективность реализации политики информационной безопасности
5.4. обеспечивать четкое управление и очевидную поддержку менеджмента в отношении инициатив, связанных с безопасностью
5.5. обеспечивать ресурсы, необходимые для информационной безопасности
5.6. утверждать определенные роли и ответственности в отношении информационной безопасности в рамках организации
5.7. инициировать планы и программы для поддержки осведомленности об информационной безопасности
5.8. обеспечивать уверенность в том, что реализация мер и средств контроля и управления информационной безопасности скоординирована в рамках организации
6. Координация вопросов информационной безопасности
6.1. Деятельность, связанная с информационной безопасностью
6.1.1. обеспечивать уверенность в том, что обеспечение безопасности осуществляется в соответствии с политикой информационной безопасности
6.1.2. определять способ устранения несоответствия
6.1.3. утверждать методики и процессы обеспечения информационной безопасности, например оценку риска, классификацию информации
6.1.4. выявлять значительные изменения угроз и подверженность информации и средств обработки информации угрозам
6.1.5. оценивать адекватность и координировать реализацию мер и средств контроля и управления информационной безопасности
6.1.6. эффективно способствовать осведомленности, обучению и тренингу в отношении информационной безопасности в рамках организации
6.1.7. оценивать информацию, полученную в результате мониторинга и анализа инцидентов информационной безопасности, и рекомендовать соответствующие действия в ответ на выявленные инциденты информационной безопасности
6.2. сотрудничество
6.3. участие менеджеров, пользователей, администраторов, разработчиков прикладных программ, аудиторов и персонала, специалистов в области страхования, правовых аспектов, кадровых ресурсов, ИТ или менеджмента риска
7. Контакт с различными инстанциями
7.1. процедуры, определяющие, когда и с какими инстанциями необходимо вступить в контакт, и каким образом следует своевременно сообщать о выявленных инцидентах информационной безопасности
7.1.1. правоохранительными
7.1.2. пожарными
7.1.3. надзорными органами
7.1.4. привлечение внешней третьей стороны для принятия мер против источника атаки.
7.1.5. регулирующие органы
7.1.6. коммунальные службы
7.1.7. службы водоснабжения
7.1.8. провайдеры телекоммуникационных услуг
7.2. поддержка процесса менеджмента инцидентов информационной безопасности
7.3. Поддержка процесса планирования непрерывности бизнеса и действий в чрезвычайных ситуациях
8. Независимая проверка информационной безопасности
8.1. включает в себя
8.1.1. оценку возможностей улучшения
8.1.2. необходимость изменений подхода к безопасности
8.1.3. корректирующие действия
8.2. специалистами, не работающими в рассматриваемой области деятельности
8.2.1. службой внутреннего аудита
8.2.2. независимым менеджером
8.2.3. сторонней организацией
8.3. Методы проверки
8.3.1. опрос руководства
8.3.2. проверку данных регистрации
8.3.3. анализ документов, имеющих отношение к политике безопасности