Проект

Общее

Профиль

Редактировать История

Wiki » ISO 27001 »

ЗАНЯТИЕ 2 » История » Версия 2

С. Антошкин, 17.05.2025 10:44

1 1 С. Антошкин 
h1. ЗАНЯТИЕ 2
2 





    3
    2
    С. Антошкин
    
_*Изучение семейства стандартов ISO/IEC 27000*_





    4
    
    
    





    5
    
    
    
h2.  Цели занятия





    6
    
    
    





    7
    
    
    
К концу занятия вы поймете





    8
    
    
    
* Процессы, связанные с созданием, внедрением, эксплуатацией,  мониторингом, анализом, обслуживанием и улучшением системы  менеджмента информационной безопасности;





    9
    
    
    
* *Терминологию и определения* семейства стандартов ISO 27000;





    10
    
    
    
* *Взаимосвязь*  между различными стандартами семейства ISO 27000;





    11
    
    
    
* Разница между *проверяемым*  стандартом и *руководящим *  документом;





    12
    
    
    
* Требования к *документированной информации* СМИБ;





    13
    
    
    
* Применение *области действия* и неприменимости (исключений);





    14
    
    
    
* *Общая структура* и требования ISO 27001.





    15
    
    
    





    16
    
    
    
h2.  Вопросы для размышления





    17
    
    
    





    18
    
    
    
В чем разница между стандартами ISO/IEC  27000, 27001, 27002?





    19
    
    
    
К каким типам организаций применим  стандарт ISO/IEC 27001:





    20
    
    
    
* Как «контекст» может повлиять на систему менеджмента и ее документацию?





    21
    
    
    





    22
    
    
    
Что означает «область действия»?





    23
    
    
    
* Почему область действия должна быть четко определена?





    24
    
    
    
* В чем значение связей и зависимостей?





    25
    
    
    





    26
    
    
    
!clipboard-202505171333-tkuxr.png!





    27
    
    
    





    28
    
    
    
h2. Упражнение 2





    29
    
    
    





    30
    
    
    
_* Термины и определения семейства стандартов ISO/IEC 27000*_





    31
    
    
    





    32
    
    
    
*Задание:*





    33
    
    
    
Сопоставить термины с определениями в соответствии с инструкциями:





    34
    
    
    





    35
    
    
    
{{collapse(Задание)





    36
    
    
    





    37
    
    
    
|1|Несоответствие 





    38
    
    
    
_Non Conformity_|





    39
    
    
    
|2|Уровень риска 





    40
    
    
    
_Level of Risk_ |





    41
    
    
    
|3|Критерий риска





    42
    
    
    
_Risk Criteria_|





    43
    
    
    
|4|Уязвимость





    44
    
    
    
_Vulnerability_|





    45
    
    
    
|5|Компетенция





    46
    
    
    
_Competence_|





    47
    
    
    
|6|Процесс





    48
    
    
    
_Process_|





    49
    
    
    
|7|Улучшение





    50
    
    
    
_Improvement_|





    51
    
    
    
|8|Документированная информация





    52
    
    
    
_Documented information_|





    53
    
    
    
|9|Измерение (Оценивание) риска





    54
    
    
    
_Risk assessment_|





    55
    
    
    
|10|Событие информационной безопасности





    56
    
    
    
_Information Security event_|





    57
    
    
    
|11|Наблюдение/Мониторинг





    58
    
    
    
_Monitoring_|





    59
    
    
    
|12|Внешние услуги





    60
    
    
    
_Outsource_|





    61
    
    
    
|13|Политика





    62
    
    
    
_Policy_|





    63
    
    
    
|14|Обработка риска





    64
    
    
    
_Risk treatment_|





    65
    
    
    
|15|Процедура





    66
    
    
    
_Procedure_|





    67
    
    
    
|16|Система





    68
    
    
    
_System_|





    69
    
    
    
|17|Оценка риска





    70
    
    
    
_Risk evaluation_|





    71
    
    
    
|18|Конфиденциальность





    72
    
    
    
_Confidentiality_|





    73
    
    
    
|19|Анализ риска





    74
    
    
    
_Risk analysis_|





    75
    
    
    
|20|Соответствие





    76
    
    
    
_Conformity_|





    77
    
    
    
|21|Владелец риска





    78
    
    
    
_Risk Owner_|





    79
    
    
    
|22|Заинтересованные стороны





    80
    
    
    
_Interested party_|





    81
    
    
    
|23|Измерение





    82
    
    
    
_Measurement_|





    83
    
    
    
|24|Событие





    84
    
    
    
_Event_|





    85
    
    
    
|25|Идентификация риска





    86
    
    
    
_Risk identification_|





    87
    
    
    
|26|Результативность





    88
    
    
    
_Effectiveness_|





    89
    
    
    
|27|Непрерывное улучшение





    90
    
    
    
_Continual improvement_|





    91
    
    
    
|28|Цель





    92
    
    
    
_Objective_|





    93
    
    
    
|29|Производительность





    94
    
    
    
_Performance_|





    95
    
    
    
|30|Корректирующее действие





    96
    
    
    
_Corrective action_|





    97
    
    
    
|31|Риск





    98
    
    
    
_Risk_|





    99
    
    
    
|32|Инцидент информационной безопасности





    100
    
    
    
_Information Security Incident_|





    101
    
    
    
|33|Высшее руководство





    102
    
    
    
_Top management_|





    103
    
    
    
|34|Доступность





    104
    
    
    
_Availability_|





    105
    
    
    
|35|Информационная безопасность





    106
    
    
    
_Information Security_|





    107
    
    
    
|36|Организация





    108
    
    
    
_Organisation_|





    109
    
    
    
|37|Принятие риска





    110
    
    
    
_Risk acceptance_|





    111
    
    
    
|38|Целостность





    112
    
    
    
_Integrity_|





    113
    
    
    
|39|Угроза





    114
    
    
    
_Threat|





    115
    
    
    





    116
    
    
    





    117
    
    
    





    118
    
    
    





    119
    
    
    
}}