Главная | Обратная связь

Обучение сотрудников компании

Обучение сотрудников можно выполнять в форме очных и заочных курсов с последующим тестированием, целесообразно организовать обучение сотрудников с помощью системы дистанционного обучения, в рамках которой могут быть представлены различные курсы (как для пользователей, так и для специалистов), игровые методики обучения, тестирование.

3.5.2 Документация СУИБ

Стандарт ISO 27001 гармонизирован со стандартами систем менеджмента качества ISO 9001:2000 и ISO 14001:2004 и базируется на их основных принципах. Более того, обязательные процедуры стандарта ISO 9001 требуются и стандартом ISO 27001. Структура документации по требованиям ISO 27001 аналогична структуре по требованиям ISO 9001. Большая часть документации, требуемая по ISO 27001, уже могла быть разработана, и могла использоваться в рамках ISO 9001. Таким образом, если организация уже имеет систему менеджмента в соответствии, например, с ISO 9001 или ISO 14001), то предпочтительно обеспечивать выполнение требования стандарта ISO 27001 в рамках уже существующих систем, что предполагает значительное снижение внутренних затрат предприятия и стоимости работ по внедрению и сертификации

Примерный перечень документов системы информационной безопасности в сравнении с документацией системы менеджмента качества:

1. Область распространения СМИБ (Существующая область системы качества зачастую совпадает с областью распространения СМИБ)

2. Политика в области информационной безопасности

3. Цели (Существующие цели могут быть дополнены/уточнены целями по ИБ)

4. Внутренние цели (Определенные цели по ИБ могут являться конфиденциальной информацией для сторонних лиц. В этом случае необходимо разработать внутренние цели по ИБ)

5. Руководство по информационной безопасности (Существующее руководство по качеству/экологии могут быть дополнены положениями по ИБ)

6. Заявление о применимости контролей, требуемых стандартом ИСО 27001 (По аналогии с исключением требований из раздела 7 стандарта 9001. Утверждается в виде отдельного документа. Ссылка на этот документ содержится в сертификате.)

7. Распределение ответственности (По аналогии с системой качества)

8. Таблица оценки рисков.

9. План обработки рисков.

10. Заявление о принятии остаточных рисков.

11. Процедуры "управление документацией", "управление записями" (существующие процедуры могут быть дополнены положениями по ИБ)

12. Процедура "внутренние проверки" (Совместное проведение внутренних проверок по ИСО 9001 и ИСО 27001 позволит сократить время внутренних проверок и достичь более глубоких результатов. Группа внутренних аудиторов может быть дополнена специалистом по ИБ)

13. Процедура "предупреждающие и корректирующие мероприятия" (существующие процедуры могут быть дополнены положениями по ИБ)

14. Процедуры ИБ (Специфические процедуры, относящиеся к вопросам информационной безопасности, прим.: Процедура резервного копирования информации, Процедура назначения прав доступа к информационным активам)

15. Должностные инструкции (Существующие ДИ могут быть дополнены положениями по ИБ)

16. Методические и рабочие инструкции (Существующие МИ и ДИ могут быть дополнены положениями по ИБ)

17. Записи (Существующие записи могут относиться к вопросам информационной безопасности)

Пункты 4, 6, 8-10, 14 как правило, не разрабатываются в рамках системы менеджмента качества.

Стандарт требует, чтобы все меры по снижению рисков были документально зафиксированы. Т.е. для эффективного управления ИБ необходимо наличие процедур, которые будут поддерживаться определенными документами (инструкциями, политиками, регламентами), выполняться определенными людьми. И каждая процедура должна быть отражена в соответствующем документе. Документированные процедуры являются обязательным элементом системы управления ИБ. Следовательно, в рамках системы управления необходимо разработать базу нормативных документов, описывающих все процедуры в области ИБ.