ЗАНЯТИЕ 1¶
Цели и преимущества СМИБ
Модель PDCA
Принципы управления информационной безопасностью
Цели занятия¶
К окончанию занятия вы поймете:
- Назначение, цели и преимущества бизнеса, применяющего СМИБ;
- Важность приверженности руководства;
- Модель PDCA (Plan-Do-Check-Act) в контексте СМИБ;
- Значимость фазы Check (проверки) модели PDCA и назначение аудитов систем менеджмента и независимой сертификации (third party certification)
Вопросы для размышления¶
Что есть информация?
- Какую форму информации мы рассматриваем в СМИБ?
Что есть система менеджмента информационной безопасности?
- В чем заключается главное отличие между СМИБ и частными мерами безопасности?
- Что означает PDCA?
Почему потребитель признает СМИБ прошедшую независимые аудиты?
Какие принципы могут способствовать успешному внедрению СМИБ?
Упражнение 1¶
Назначение, цели и ценность СМИБ
Задание:
Пояснить назначение, цели и ценность СМИБ высшему руководству в соответствии с инструкциями:
ЗаданиеЗадание
Независимый орган по сертификации, в котором вы работаете, получил запрос от местной типографии. Эта компания предоставляет своим клиентам полиграфические услуги в различных форматах, применяя разнообразные материалы и технологии и недавно получила возможность подать заявку на заключение контракта с крупным международным банком. Контракт требует, чтобы компания имела документированную систему управления информационной безопасностью и сертификат ISO/IEC 27001. В компании не представляют, что именно это означает. Поэтому компания провела поиск в Интернете информации о сертификации СМИБ и впоследствии обратилась в вашу компанию за консультацией. По этому вопросу ваша компания направила вас провести презентацию руководству этой компании.
Цель презентации заключается в том, чтобы пояснить руководству этой компании следующие вопросы:
- Цели и ценность (финансовые и нефинансовые) СМИБ и независимой сертификации (в этом объяснении также поясните, почему их потенциальный клиент требует, чтобы его поставщики были сертифицированы);
- PDCA-Цикл с примерами того, что им может потребоваться рассмотреть, если они хотят продемонстрировать соответствие;
- Схема процесса, которой им, возможно, придется следовать, чтобы подготовиться к сертификации, и ключевые элементы системы, которые должны быть корректно реализованы (например: анализ пробелов, документирование системы, внедрение системы и т.п.);
- Что является документированной информацией, разницу между документом и записью и почему каждый из них важен;
- Разница между внедрением отдельных мер безопасности и внедрением целой системы менеджмента информационной безопасности;
- Пояснение, почему для получения сертификата им потребуется продемонстрировать как соответствующую документированную информацию, так и реализацию элементов СМИБ (приведите примеры того, как аудитор будет проверять, что процессы были ВНЕДРЕНЫ) .
Помните, что вы выступаете перед руководством компании. Подробное техническое описание будет им совершенно ни к чему. Это только запутает их. Структурируйте презентацию просто и ясно, чтобы ее могли понять люди, не связанные с безопасностью, СМИБ и сертификацией.
- 1 час – подготовка презентации в малой группе;
- 10 минут – демонстрация презентации.
Когда презентации будут готовы, вы представите их друг другу, как если бы вы представляли их руководству. Важно, чтобы участвовали все участники группы, поэтому постарайтесь разделить части презентации поровну между членами группы.
Пожалуйста, передайте этот лист своему преподавателю по завершении упражнения.
Ключевые положения пройденного занятия¶
Приверженность высшего руководства имеет решающее значение:
- Предоставление ресурсов;
- Обеспечивает уверенность в том, что задуманное реализуется
Взаимодействие должно работать в любом направлении:
- Сверху-вниз, снизу-вверх, между функциональными единицами, внешние и внутренние взаимосвязь и взаимодействие.
Нам требуется
прозрачность между причиной и следствием:
- Записи являются основой системы, которую можно проверить;
- PDCA предоставляет воспроизводимые результаты;
- Риск находится в «сердце» СМИБ
Аудит добавляет ценность.
В меню Далее>>