TOS Aneks - Proces ISO 27001.xlsx
Transkrypt
TOS Aneks - Proces ISO 27001.xlsx
Id 4.1 Tytuł Wymagania ogólne Wymagania ISO 27001 Treść 4. System zarządzania bezpieczeństwem informacji ISMS 4.1. Wymagania ogóle Organizacja powinna wdrożyć, eksploatować, monitorować, przeglądać, utrzymywać i stale doskonalić udokumentowany ISMS w kontekście prowadzonej działalności i ryzyka występującego w organizacji. Zastosowany w normie proces opiera się na modelu PDCA. 4.2. Ustanowienie i zarządzanie ISMS 4.2.1. Ustanowienie ISMS 4.2.1 Ustanowienie ISMS Organizacja powinna podjąć działania określone wymaganiach 4.2.1.a – 4.2.1.j. 4.2.1.a Definicja zakresu i granic ISMS Organizacja powinna zdefiniować zakres i granice ISMS uwzględniając charakterystykę prowadzonej działalności, organizację, jej lokalizację, aktywa, technologie. Każde wyłączenie z zakresu powinno posiadać dokładny opis i uzasadnienie. Organizacja powinna zdefiniować politykę ISMS uwzględniającą charakterystykę prowadzonej działalności, organizacji, jej lokalizacji, aktywów i technologii, która: 1) zawiera ramy ustalania celów polityki oraz wyznacza ogólny kierunek i zasady działania w odniesieniu do 4.2.1.b Definicja polityki ISMS bezpieczeństwa informacji; 2) bierze pod uwagę wymagania biznesowe oraz prawne o charakterze regulacyjnym, a także zobowiązania związane z bezpieczeństwem wynikające z umów; 3) ustanawia w organizacji kontekst strategiczny zarządzania ryzykiem dający obszar ustanowienia i utrzymania ISMS; 4) określa kryteria według których ma być określane ryzyko (por. 4.2.1.c); 5) została zaakceptowana przez kierownictwo. Organizacja powinna zdefiniować podejście do szacowania ryzyka w organizacji. W szczególności: 1) wskazać metodę szacowania ryzyka, odpowiednią dla ISMS, określić bezpieczeństwo informacji w kontekście 4.2.1.c Definicja podejścia do szacowania ryzyka prowadzonej działalności, wymagania prawne i wymagania nadzoru; 2) opracować kryteria akceptacji ryzyka i określić akceptowane poziomy ryzyk (por. 5.1.f). Określenie ryzyk 1) określić aktywa znajdujące się w zakresie ISMS oraz właścicieli tych aktywów; 2) określić zagrożenia dla tych aktywów; 3) określić podatności, które mogą być wykorzystane przez te zagrożenia; 4) określić skutki utraty poufności, integralności i dostępności w odniesieniu do aktywów. Organizacja powinna określić ryzyka. W tym celu należy: 4.2.1.d Organizacja powinna przeprowadzić analizę i ocenę ryzyka poprzez: 1) oszacowanie szkód i strat biznesowych w organizacji mogących wynikać z naruszenia bezpieczeństwa, biorąc pod uwagę potencjalne konsekwencje utraty poufności, integralności i dostępności aktywów. 2) oszacowanie realnego prawdopodobieństwa zdarzenia się takiego naruszenia bezpieczeństwa w świetle istotnych zagrożeń i podatności oraz konsekwencji związanych z tymi aktywami oraz aktualnie wdrożonymi zabezpieczeniami; 3) wyznaczenie poziomów ryzyk; 4) stwierdzenie, czy ryzyko jest akceptowalne (na bazie kryteriów określonych w 4.2.1.c.2). 4.2.1.e Analiza i ocena ryzyka 4.2.1.f 1) zastosowanie odpowiednich zabezpieczeń; 2) poznanie i zaakceptowanie ryzyk, w sposób świadomy i obiektywny, przy założeniu, że jasno spełniają warunki wyznaczone w polityce organizacji oraz kryteria akceptowanie ryzyk ( por. 4.2.1.c.2); Definicja i ocena wariantów 3) unikanie ryzyk; postępowania z ryzykiem 4) przeniesienie ryzyk biznesowych na innych uczestników, np.. ubezpieczycieli, dostawców. Organizacja powinna zdefiniować i ocenić warianty postępowania z ryzykiem. Możliwe jest: 4.2.1.g 4.2.1.h 4.2.1.i Cele stosowania zabezpieczeń i zabezpieczenia Organizacja powinna wybrać cele stosowania zabezpieczeń i wdrożyć zabezpieczenia jako środki postępowania z ryzykiem w taki sposób, aby spełnione zostały wymagania zidentyfikowane w procesach szacowania ryzyka i postępowania z nim. Powinny zostać wzięte pod uwagę kryteria akceptacji ryzyka (4.2.1.c.2) oraz wymagania prawne, wymagania nadzoru i zobowiązania wynikające z umów. Wyjściowa lista celów i zabezpieczeń znajduje się w załączniku A normy. Akceptacja kierownictwa dla ryzyk szczątkowych Powinna zostać uzyskana akceptacja kierownictwa dla proponowanych ryzyk szczątkowych. Autoryzacja kierownictwa dla wdrażania i eksploatacji ISMS Powinna zostać uzyskana autoryzacja do wdrażania i akceptacji ISMS. Organizacja powinna przygotować deklarację stosowania, zawierającą: 1) cele stosowania zabezpieczeń i zabezpieczenia wybrane w 4.2.1.g wraz z uzasadnieniem wyboru; 2) cele stosowania zabezpieczeń i zabezpieczenia już wdrożone (4.2.1.e.2); 3) informację o wykluczeniu jakiegokolwiek celu stosowania zabezpieczeń i zabezpieczenia wymienionego w załączniku A wraz z uzasadnieniem wykluczenia. 4.2.1.j Deklaracja stosowania 4.2.2. Wdrożenie i eksploatacja ISMS Organizacja powinna podjąć działania określone wymaganiach 4.2.2.a – 4.2.2.h. 4.2.2.a Sformułowanie planu postępowania z ryzykiem Organizacja powinna sformułować plan postępowania z ryzykiem, w którym określone są odpowiednie działania kierownictwa, zakresy odpowiedzialności oraz priorytety dla zarządzania ryzykami związanymi z bezpieczeństwem informacji (por. 5). 4.2.2.b Wdrożenie planu postępowania z ryzykiem Organizacja powinna wdrożyć plan postępowania z ryzykiem aby osiągnąć zidentyfikowane cele zabezpieczeń, które obejmują rozważenie przydzielenia ról i zakresów odpowiedzialności. 4.2.2.c Wdrożenie zabezpieczeń Organizacja powinna wdrożyć zabezpieczenia wybrane w 4.2.1.g tak, aby osiągnąć cele stosowania zabezpieczeń. 4.2.2.d 4.2.2.e Organizacja powinna zdefiniować jak mierzyć efektywność wybranych zabezpieczeń i grup zabezpieczeń oraz określić Definicja miar efektywności jak te mierniki powinny być stosowane w ocenie efektywności zabezpieczeń aby otrzymać porównywalne i powtarzalne zabezpieczeń rezultaty (por. 4.2.3.c). Programy uświadamiania i szkolenia Organizacja powinna wdrożyć programy uświadamiania i szkolenia (por. 5.2.2). 4.2.2.f Zarządzanie eksploatacją ISMS Organizacja powinna zarządzać eksploatacją ISMS. 4.2.2.g Zarządzanie zasobami ISMS Organizacja powinna zarządzać zasobami ISMS (por. 5.2). 4.2.2.h Procedury wykrycia i reakcji Organizacja powinna wdrożyć procedury i inne zabezpieczenia zdolne do zapewnienia natychmiastowego wykrycia i na incydenty bezpieczeństwa reakcji na incydenty związane z naruszeniem bezpieczeństwa (por. 4.2.3.a). 4.2.2. Wdrożenie i eksploatacja ISMS Pokrycie Uwagi 4.2.3. Monitorowanie i przegląd ISMS 4.2.3 Monitorowanie i przegląd ISMS 4.2.3.a Organizacja powinna wykonać procedury monitorowania i przeglądu oraz inne zabezpieczenia w celu: 1) natychmiastowego wykrywania błędów w wynikach przetwarzania; 2) natychmiastowego identyfikowania naruszeń bezpieczeństwa i incydentów, zakończonych niepowodzeniem lub sukcesem; 3) umożliwienia kierownictwu stwierdzenia, czy działania związane z bezpieczeństwem delegowane są na poszczególne osoby lub wdrożone za pomocą środków informatycznych są wykonywane zgodnie z oczekiwaniami; 4) pomocy w wykrywaniu naruszeń bezpieczeństwa a tym samym niedopuszczenia do incydentów bezpieczeństwa Procedury monitorowania i przez użycie wskaźników; przeglądu 5) określenia czy działania podjęte w celu rozwiązania naruszeń bezpieczeństwa były efektywne. 4.2.3.b Przeglądy efektywności ISMS Organizacja powinna wykonywać regularne przeglądy efektywności ISMS ( w tym zgodności z polityką i celami ISMS oraz przegląd zabezpieczeń), biorąc pod uwagę wyniki audytów bezpieczeństwa, incydentów, rezultatów pomiarów efektywności, sugestii oraz informacji zwrotnych od wszystkich zainteresowanych stron. 4.2.3.c Pomiary efektywności zabezpieczeń Organizacja powinna dokonywać pomiarów efektywności zabezpieczeń w celu weryfikacji ich zgodności z wymaganiami bezpieczeństwa. 4.2.3.d Przeglądy szacowania ryzyka Organizacja powinna dokonywać przeglądu szacowania ryzyka w zaplanowanych odstępach czasu, przeglądu ryzyka szczątkowego oraz przeglądu ryzyka akceptowalnego, biorąc pod uwagę zmiany: 1) w organizacji; 2) technologii; 3) celów biznesowych i procesów; 4) zidentyfikowanych zagrożeń; 5) efektywności wdrożonych zabezpieczeń; 6) zewnętrznych zdarzeń, takich jak zmiany prawa lub stosowanych regulacji, zmian wynikających z umów oraz zmiany o charakterze społecznym. 4.2.3.e Wewnętrzne audyty ISMS Organizacja powinna przeprowadzać wewnętrzne audyty ISMS w zaplanowanych odstępach czasu. 4.2.3.f Kierownicze przeglądy ISMS Organizacja powinna w regularnych odstępach czasu podejmować przeglądy ISMS realizowane przez kierownictwo tak, aby zapewnić że zakres jest odpowiedni oraz udoskonalenia ISMS są zidentyfikowane (por. 7.1). 4.2.3.g Uaktualnianie planów bezpieczeństwa Organizacja powinna uaktualniać plany bezpieczeństwa mając na uwadze wyniki monitorowania i przeglądu działalności. 4.2.3.h Rejestrowanie działań i zdarzeń Organizacja powinna rejestrować działania i zdarzenia, które mogą mieć wpływ na efektywność lub wydajność realizacji ISMS (por. 4.3.3). 4.2.4 Utrzymanie i doskonalenie ISMS. Organizacja powinna regularnie podejmować działania określone wymaganiach 4.2.4.a – 4.2.4.d. 4.2.4.a Wdrażanie udoskonaleń Organizacja powinna wdrażać w ISMS zidentyfikowane udoskonalenia. 4.2.4.b Działania korygujące i zabezpieczające Organizacja powinna podejmować odpowiednie działania korygujące lub zapobiegawcze zgodne z 8.2 i 8.3. Organizacja powinna wyciągać wnioski z doświadczeń w dziedzinie bezpieczeństwa zarówno innych organizacji, jak i własnych. 4.2.4.c Informowanie o działaniach Organizacja powinna informować wszystkie zainteresowane strony o działaniach i udoskonaleniach na odpowiednim do i udoskonaleniach okoliczności poziomie szczegółowości oraz, jeśli trzeba, uzgodnić sposób dalszego postępowania. 4.2.4.d Adekwatność udoskonaleń do celów Organizacja powinna zapewnić, że udoskonalenia osiągają zamierzone cele. Organizacja powinna podjąć działania określone wymaganiach 4.2.3.a – 4.2.3.h. 4.2.4. Utrzymanie i doskonalenie ISMS 4.3. Wymagania dotyczące dokumentacji 4.3.1. Postanowienia ogólne 4.3.1 Postanowienia ogólne Dokumentacja powinna zawierać zapisy decyzji kierownictwa, zapewnić że działania są zgodne z działaniami kierownictwa i politykami oraz zapewnić, że zapisy rezultatów działań są odtwarzalne. Ważnym jest aby było można wykazać powiązania pomiędzy wybranymi zabezpieczeniami i dotyczącymi ich rezultatami szacowania ryzyka i procesu postępowania z ryzykiem a następnie z odpowiednimi politykami i celami ISMS. Dokumentacja ISMS powinna zawierać elementy zdefiniowane w wymaganiach 4.3.1.a – 4.3.1.i. 4.3.1.c Udokumentowanie deklaracji polityk i celów ISMS Deklaracje polityk ISMS oraz cele ISMS powinny być udokumentowane (por. 4.2.1.b). Udokumentowanie zakresu ISMS Zakres ISMS powinien być udokumentowany (por. 4.2.1.a). Udokumentowanie procedur i zabezpieczeń wspomagających ISMS Procedury i zabezpieczenia wspomagające powinny być udokumentowane. 4.3.1.d Udokumentowanie metody szacowania ryzyka Opis metody szacowania ryzyka powinien być udokumentowany (por. 4.2.1.c). 4.3.1.e Udokumentowanie wyników szacowania ryzyka Raport z procesu szacowania ryzyka powinien być udokumentowany (por. 4.2.1.c, 4.2.1.d, 4.2.1.e, 4.2.1.f, 4.2.1.g). 4.3.1.f Udokumentowanie planu postępowania z ryzykiem Plan postępowania z ryzykiem powinien być udokumentowany (por. 4.2.2.b). 4.3.1.g Udokumentowanie procedur bezpieczeństwa informacji Procedury potrzebne organizacji do zapewnienia efektywnego planowania, eksploatacji i sterowania procesami bezpieczeństwa informacji oraz opis pomiaru efektywności zabezpieczeń powinny być udokumentowane (por. 4.2.3.c). 4.3.1.h Udokumentowanie zapisów wymaganych przez normę ISO 27001 Zapisy wymagane przez normę ISO 27001 powinny być udokumentowane (por. 4.3.3). 4.3.1.i Udokumentowanie Deklaracji Stosowania Deklaracja Stosowania powinna być udokumentowana. 4.3.2 Nadzór nad dokumentami Dokumenty wymagane przez ISMS powinny być chronione i nadzorowane. Powinna być ustanowiona procedura w celu określenia działań kierownictwa potrzebnych do wypełniania czynności zdefiniowanych w wymaganiach 4.3.2.a – 4.3.2.j. 4.3.2.a Procedura nadzoru nad dokumentami powinna zawierać opis procesu zatwierdzania odpowiednich dokumentów przed Zatwierdzanie dokumentów ich wydaniem. 4.3.2.b Przegląd i aktualizacja dokumentów Procedura nadzoru nad dokumentami powinna zawierać opis procesu przeglądu i aktualizacji dokumentów w razie potrzeby oraz ponownego ich zatwierdzenia. 4.3.2.c Kontrola zmian i statusu dokumentów Procedura nadzoru nad dokumentami powinna zawierać opis procesu zapewnienia identyfikacji zmian oraz aktualnego statusu zmian dokumentów. 4.3.1.a 4.3.1.b 4.3.2. Nadzór nad dokumentami 4.3.2.d Dostępność najnowszych wersji dokumentów Procedura nadzoru nad dokumentami powinna zawierać opis procesu zapewnienia , że najnowsze wersje odpowiednich dokumentów są dostępne w miejscach ich stosowania. 4.3.2.e Czytelność oraz łatwość identyfikacji dokumentów Procedura nadzoru nad dokumentami powinna zawierać opis procesu zapewnienia , że dokumenty pozostają czytelne i łatwe do zidentyfikowania. 4.3.2.f Zarządzanie obiegiem dokumentacji Procedura nadzoru nad dokumentami powinna zawierać opis procesu zapewnienia , że dokumenty są dostępne dla wszystkich, którzy ich potrzebują oraz że są przesyłane, przechowywane i ostatecznie niszczone zgodnie z procedurami odpowiednimi do ich klasyfikacji. 4.3.2.g Identyfikacja dokumentów zewnętrznych Procedura nadzoru nad dokumentami powinna zawierać opis procesu zapewnienia , że dokumenty zewnętrzne są identyfikowane. 4.3.2.h Kontrola rozpowszechniania dokumentów Procedura nadzoru nad dokumentami powinna zawierać opis procesu zapewnienia, że rozpowszechnianie dokumentów jest kontrolowane. 4.3.2.i Kontrola aktualności dokumentów Procedura nadzoru nad dokumentami powinna zawierać opis procesu zapobiegania niezamierzonemu stosowaniu nieaktualnych dokumentów. 4.3.2.j Identyfikacja dokumentów nieaktualnych Procedura nadzoru nad dokumentami powinna zawierać opis procesu zastosowania odpowiedniej identyfikacji nieaktualnych dokumentów, jeżeli są one zachowane z jakichkolwiek powodów. 4.3.3. Nadzór nad zapisami 4.3.3 Nadzór nad zapisami W celu dostarczenia świadectwa potwierdzającego zgodność z wymaganiami oraz skutecznej eksploatacji ISMS powinny być ustanowione i utrzymywane odpowiednie zapisy. Zapisy te powinny być chronione i nadzorowane. ISMS powinien uwzględniać wszystkie odpowiednie wymagania przepisów prawa, wymagania nadzoru i zobowiązania wynikające z umów. Zapisy powinny być czytelne, łatwe do zidentyfikowania i odtwarzalne. Należy udokumentować i wdrożyć zabezpieczenia służące identyfikowaniu, przechowywaniu, ochronie, odtwarzaniu, czasu archiwizacji oraz niszczeniu zapisów. Zapisy powinny dotyczyć realizacji procesów, zgodnie z opisem zawartym w 4.2 oraz wszystkich incydentów związanych z bezpieczeństwem związanych z ISMS. 5. Odpowiedzialność kierownictwa 5.1. Zaangażowanie kierownictwa Kierownictwo powinno zapewnić świadectwo swojego zaangażowania w ustanowienie, wdrożenie, eksploatację, monitorowanie, przegląd, utrzymanie i doskonalenie ISMS poprzez działania określone w wymaganiach 5.1.a – 5.1.h. 5.1 Zaangażowanie kierownictwa 5.1.a Ustanowienie polityki ISMS Kierownictwo powinno ustanowić politykę ISMS. 5.1.b Zapewnienie realizacji celów i planów ISMS Kierownictwo powinno zapewnić realizację celów i planów ISMS. 5.1.c Określenie ról i zakresów odpowiedzialności Kierownictwo powinno określić role oraz zakresy odpowiedzialności w odniesieniu do bezpieczeństwa informacji. 5.1.d Proces informacyjny związany z bezpieczeństwem informacji Kierownictwo powinno zapewnić informowanie organizacji o znaczeniu spełniania celów bezpieczeństwa informacji i zgodności z polityką bezpieczeństwa informacji, swojej odpowiedzialności prawnej oraz potrzeby ciągłego udoskonalania. 5.1.e Zapewnienie zasobów dla ISMS Kierownictwo powinno zapewnić wystarczające zasoby do ustanowienia, wdrażania, eksploatacji, monitorowania, przeglądów, utrzymania i udoskonalania ISMS (por. 5.2.1). Kierownictwo powinno podejmować decyzje o kryteriach akceptacji ryzyka i akceptowanym poziomie ryzyka. 5.1.g Kryteria akceptacji ryzyka Przeprowadzanie wewnętrznych audytów ISMS 5.1.h Przeglądy ISMS Kierownictwo powinno przeprowadzać przeglądy ISMS realizowane przez kierownictwo (por. 7). 5.1.f Kierownictwo powinno zapewnić przeprowadzenie wewnętrznych audytów ISMS (por. 6). 5.2. Zarządzanie zasobami 5.2.1. Zapewnienie zasobów 5.2.1 Zapewnienie zasobów Organizacja powinna określić i zapewnić zasoby potrzebne do spełnienia wymagań 5.2.1.a – 5.2.1.f. 5.2.1.a Zasoby do realizacji cyklu życia ISMS Organizacja powinna określić i zapewnić zasoby potrzebne do ustanowienia, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymania i udoskonalania ISMS. 5.2.1.b Zasoby do zapewnienie adekwatności procedur bezpieczeństwa do wymagań biznesowych Organizacja powinna określić i zapewnić zasoby potrzebne do zapewnienia, że procedury bezpieczeństwa informacji wspierają wymagania biznesowe. 5.2.1.c Zasoby do zapewnienia zgodności z normami i umowami Organizacja powinna określić i zapewnić zasoby potrzebne do zidentyfikowania i odniesienia się do wymagań przepisów prawa i wymagań nadzoru oraz zobowiązań związanych z bezpieczeństwem, a wynikających z zawartych umów. 5.2.1.d Zasoby do utrzymania bezpieczeństwa Organizacja powinna określić i zapewnić zasoby potrzebne do utrzymania odpowiedniego bezpieczeństwa przez poprawne zastosowanie wszystkich wdrażanych zabezpieczeń. 5.2.1.e Zasoby do realizacji przeglądów Organizacja powinna określić i zapewnić zasoby potrzebne do przeprowadzenia przeglądów, kiedy zachodzi taka potrzeba, oraz odpowiedniego reagowania na wyniki tych przeglądów. 5.2.1.f Zasoby do poprawy efektywności ISMS Organizacja powinna określić i zapewnić zasoby potrzebne do poprawy skuteczności ISMS tam, gdzie jest to wymagane. 5.2.2. Szkolenie, uświadamianie i kompetencje 5.2.2 Szkolenie, uświadamianie i Organizacja powinna zapewnić, że cały personel, któremu przypisano zakresy odpowiedzialności określone w ISMS, kompetencje ma kompetencje do realizacji wymaganych zadań przez spełnienie wymagań 5.2.2.a – 5.2.2.d. 5.2.2.a Kompetencje personelu 5.2.2.b 5.2.2.c Szkolenia personelu Ocena skuteczności szkolenia personelu 5.2.2.d Zapisy dot. kompetencji personelu Organizacja powinna określić konieczne kompetencje personelu wykonującego prace, które mają wpływ na ISMS. Organizacja powinna zapewnić szkolenia lub podjąć inne działania (np.. zatrudnienie kompetentnego personelu) w celu realizacji tych potrzeb. Organizacja powinna oceniać skuteczność zapewnionego szkolenia oraz podjętych działań. Organizacja powinna prowadzić zapisy dotyczące edukacji, szkoleń, umiejętności, doświadczenia i kwalifikacji (por. 4.3.3). 6. Wewnętrzne audyty ISMS 6 Wewnętrzne audyty ISMS Organizacja powinna przeprowadzać wewnętrzne audyty ISMS w zaplanowanych odstępach czasu, aby określić, czy cele stosowania zabezpieczeń, zabezpieczenia, procesy i procedury ISMS są: a) zgodne z wymaganiami normy ISO 27001 i odpowiednimi przepisami oraz ustawami; b) zgodne ze zidentyfikowanymi wymaganiami bezpieczeństwa informacji; c) efektywnie wdrożone i utrzymywane; d) zgodne z oczekiwaniami. Program audytu powinien zostać zaplanowany, biorąc pod uwagę status i ważność procesów i obszarów do audytu, jak również wyniki poprzednich audytów. Kryteria audytu, zakres, częstotliwość i metody powinny być zdefiniowane. Wybór audytorów i przeprowadzenie audytu powinny zapewnić obiektywność i bezstronność procesu audytowego. Audytorzy nie powinni audytować swojej własnej pracy. Wymagania i odpowiedzialność za planowanie i przeprowadzenie audytów oraz za raportowanie wyników i utrzymywanie zapisów (por. 4.3.3) powinny być zdefiniowane w udokumentowanej procedurze. Kierownictwo jest odpowiedzialne, aby działania w obszarze audytowanym były podejmowane bez nadmiernego opóźnienia w celu wyeliminowania wykrytych odstępstw i ich przyczyn. Działania poaudytowe powinny zawierać weryfikację podjętych działań i przygotowanie wyników weryfikacji (por. 8). 7. Przeglądy ISMS realizowane przez kierownictwo 7.1. Postanowienia ogólne 7.1 Postanowienia ogólne Kierownictwo powinno przeprowadzać przeglądy ISMS organizacji w zaplanowanych odstępach czasu (nie rzadziej niż raz w roku) w celu zapewnienia jego ciągłej poprawności, odpowiedzialności i skuteczności. Przegląd powinien zawierać ocenę możliwości doskonalenia i potrzeby zmian w ISMS, w tym polityki bezpieczeństwa informacji i celów bezpieczeństwa. Wyniki przeglądów powinny być jasno udokumentowane, a odpowiednie zapisy powinny być przechowywane (por. 4.3.3). 7.2. Dane wejściowe do przeglądu 7.2 Dane wejściowe do przeglądu Dane wejściowe do przeglądu realizowanego przez kierownictwo powinny zawierać: a) wyniki audytów i przeglądów ISMS; b) informacje zwrotne od zainteresowanych stron; c) techniki, produkty i procedury, które mogłyby być zastosowane w organizacji w celu ulepszenia realizacji i skuteczności ISMS; d) status działań korygujących i zapobiegawczych; e) podatności lub zagrożenia, do których nie było odpowiedniego odniesienia w poprzednim oszacowaniu ryzyka; f) wyniki pomiarów efektywności; g) działania podjęte na skutek poprzednich przeglądów realizowanych przez kierownictwo; h) jakiekolwiek zmiany, które mogłyby dotyczyć ISMS; i) zalecenia dotyczące doskonalenia. 7.3. Wyniki przeglądu Wyniki przeglądu realizowanego przez kierownictwo powinny zawierać informacje dotyczące: a) doskonalenia skuteczności ISMS; b) uaktualnienia planu szacowania ryzyka i postępowanie z ryzykiem; c) modyfikacji procedur i zabezpieczeń dotyczących bezpieczeństwa informacji, jeśli to konieczne, w celu reakcji na wewnętrzne lub zewnętrzne zdarzenia, które mogą mieć konsekwencje dla ISMS, w tym zmiany: 1) wymagań biznesowych, 2) wymagań bezpieczeństwa, 3) procesów biznesowych mających wpływ na istniejące wymagania biznesowe, 4) przepisów prawa i wymagań nadzoru, 5) zobowiązań wynikających z umów, 6) poziomów ryzyka i/lub kryteriów akceptacji ryzyka; d) wymaganych zasobów; e) udoskonalenia metod pomiaru efektywności zabezpieczeń. 7.3 Wyniki przeglądu 8. Doskonalenie ISMS 8.1. Ciągłe doskonalenie 8.1 Ciągłe doskonalenie Organizacja powinna w sposób ciągły poprawiać skuteczność ISMS przez stosowanie polityki bezpieczeństwa informacji, określanie celów bezpieczeństwa informacji, wyników audytu, analizę monitorowanych zdarzeń, działań korygujących i zapobiegawczych oraz przeglądów realizowanych przez kierownictwo (por. 7). Działania korygujące Organizacja powinna podjąć działanie w celu wyeliminowania przyczyn niezgodności związanych z wymaganiami ISMS, aby przeciwdziałać powtórnym ich wystąpieniom. Udokumentowana procedura działań korygujących powinna określać wymagania dotyczące: a) zidentyfikowania niezgodności; b) określenie przyczyn niezgodności; c) oceny potrzeby podjęcia działań przeciwdziałających wystąpieniu niezgodności; d) wskazania i wdrożenia potrzebnych działań korygujących; e) prowadzenia zapisów rezultatów podjętych działań (por. 4.3.3); f) przeglądu podjętych działań korygujących. Działania zapobiegawcze Organizacja powinna wskazywać działania podejmowane w celu ochrony przed potencjalnymi niezgodnościami z wymaganiami ISMS tak, aby przeciwdziałać ich wystąpieniu. Podejmowane działania zapobiegawcze powinny być odpowiednie do wagi potencjalnych problemów. Udokumentowana procedura działań zapobiegawczych powinna określać wymagania dotyczące: a) identyfikacji potencjalnych niezgodności i ich przyczyn; b) oceny potrzeby podjęcia działań przeciwdziałających wystąpieniu niezgodności; c) wskazania i wdrożenia potrzebnych działań zapobiegawczych; d) zapisu wyników podjętych działań (por. 4.3.3); e) przeglądu podjętych działań zapobiegawczych. Organizacja powinna zidentyfikować zmienione ryzyka oraz zidentyfikować wymagania dla działań zapobiegawczych, koncentrując uwagę na ryzykach znacząco zmienionych. Należy wskazać priorytety działań zapobiegawczych na podstawie wyników szacowania ryzyka. 8.2. Działania korygujące 8.2 8.3. Działania zapobiegawcze 8.3