TOS Aneks - Proces ISO 27001.xlsx

Id
4.1
Tytuł
Wymagania ogólne
Wymagania ISO 27001
Treść
4. System zarządzania bezpieczeństwem informacji ISMS
4.1. Wymagania ogóle
Organizacja powinna wdrożyć, eksploatować, monitorować, przeglądać, utrzymywać i stale doskonalić
udokumentowany ISMS w kontekście prowadzonej działalności i ryzyka występującego w organizacji. Zastosowany w
normie proces opiera się na modelu PDCA.
4.2. Ustanowienie i zarządzanie ISMS
4.2.1. Ustanowienie ISMS
4.2.1
Ustanowienie ISMS
Organizacja powinna podjąć działania określone wymaganiach 4.2.1.a – 4.2.1.j.
4.2.1.a
Definicja zakresu i granic
ISMS
Organizacja powinna zdefiniować zakres i granice ISMS uwzględniając charakterystykę prowadzonej działalności,
organizację, jej lokalizację, aktywa, technologie. Każde wyłączenie z zakresu powinno posiadać dokładny opis i
uzasadnienie.
Organizacja powinna zdefiniować politykę ISMS uwzględniającą charakterystykę prowadzonej działalności, organizacji,
jej lokalizacji, aktywów i technologii, która:
1) zawiera ramy ustalania celów polityki oraz wyznacza ogólny kierunek i zasady działania w odniesieniu do
4.2.1.b
Definicja polityki ISMS
bezpieczeństwa informacji;
2) bierze pod uwagę wymagania biznesowe oraz prawne o charakterze regulacyjnym, a także zobowiązania związane
z bezpieczeństwem wynikające z umów;
3) ustanawia w organizacji kontekst strategiczny zarządzania ryzykiem dający obszar ustanowienia i utrzymania ISMS;
4) określa kryteria według których ma być określane ryzyko (por. 4.2.1.c);
5) została zaakceptowana przez kierownictwo.
Organizacja powinna zdefiniować podejście do szacowania ryzyka w organizacji. W szczególności:
1) wskazać metodę szacowania ryzyka, odpowiednią dla ISMS, określić bezpieczeństwo informacji w kontekście
4.2.1.c
Definicja podejścia do
szacowania ryzyka
prowadzonej działalności, wymagania prawne i wymagania nadzoru;
2) opracować kryteria akceptacji ryzyka i określić akceptowane poziomy ryzyk (por. 5.1.f).
Określenie ryzyk
1) określić aktywa znajdujące się w zakresie ISMS oraz właścicieli tych aktywów;
2) określić zagrożenia dla tych aktywów;
3) określić podatności, które mogą być wykorzystane przez te zagrożenia;
4) określić skutki utraty poufności, integralności i dostępności w odniesieniu do aktywów.
Organizacja powinna określić ryzyka. W tym celu należy:
4.2.1.d
Organizacja powinna przeprowadzić analizę i ocenę ryzyka poprzez:
1) oszacowanie szkód i strat biznesowych w organizacji mogących wynikać z naruszenia bezpieczeństwa, biorąc pod
uwagę potencjalne konsekwencje utraty poufności, integralności i dostępności aktywów.
2) oszacowanie realnego prawdopodobieństwa zdarzenia się takiego naruszenia bezpieczeństwa w świetle istotnych
zagrożeń i podatności oraz konsekwencji związanych z tymi aktywami oraz aktualnie wdrożonymi zabezpieczeniami;
3) wyznaczenie poziomów ryzyk;
4) stwierdzenie, czy ryzyko jest akceptowalne (na bazie kryteriów określonych w 4.2.1.c.2).
4.2.1.e
Analiza i ocena ryzyka
4.2.1.f
1) zastosowanie odpowiednich zabezpieczeń;
2) poznanie i zaakceptowanie ryzyk, w sposób świadomy i obiektywny, przy założeniu, że jasno spełniają warunki
wyznaczone w polityce organizacji oraz kryteria akceptowanie ryzyk ( por. 4.2.1.c.2);
Definicja i ocena wariantów 3) unikanie ryzyk;
postępowania z ryzykiem
4) przeniesienie ryzyk biznesowych na innych uczestników, np.. ubezpieczycieli, dostawców.
Organizacja powinna zdefiniować i ocenić warianty postępowania z ryzykiem. Możliwe jest:
4.2.1.g
4.2.1.h
4.2.1.i
Cele stosowania
zabezpieczeń i
zabezpieczenia
Organizacja powinna wybrać cele stosowania zabezpieczeń i wdrożyć zabezpieczenia jako środki postępowania z
ryzykiem w taki sposób, aby spełnione zostały wymagania zidentyfikowane w procesach szacowania ryzyka i
postępowania z nim. Powinny zostać wzięte pod uwagę kryteria akceptacji ryzyka (4.2.1.c.2) oraz wymagania prawne,
wymagania nadzoru i zobowiązania wynikające z umów.
Wyjściowa lista celów i zabezpieczeń znajduje się w załączniku A normy.
Akceptacja kierownictwa
dla ryzyk szczątkowych
Powinna zostać uzyskana akceptacja kierownictwa dla proponowanych ryzyk szczątkowych.
Autoryzacja kierownictwa
dla wdrażania i eksploatacji
ISMS
Powinna zostać uzyskana autoryzacja do wdrażania i akceptacji ISMS.
Organizacja powinna przygotować deklarację stosowania, zawierającą:
1) cele stosowania zabezpieczeń i zabezpieczenia wybrane w 4.2.1.g wraz z uzasadnieniem wyboru;
2) cele stosowania zabezpieczeń i zabezpieczenia już wdrożone (4.2.1.e.2);
3) informację o wykluczeniu jakiegokolwiek celu stosowania zabezpieczeń i zabezpieczenia wymienionego w
załączniku A wraz z uzasadnieniem wykluczenia.
4.2.1.j
Deklaracja stosowania
4.2.2.
Wdrożenie i eksploatacja
ISMS
Organizacja powinna podjąć działania określone wymaganiach 4.2.2.a – 4.2.2.h.
4.2.2.a
Sformułowanie planu
postępowania z ryzykiem
Organizacja powinna sformułować plan postępowania z ryzykiem, w którym określone są odpowiednie działania
kierownictwa, zakresy odpowiedzialności oraz priorytety dla zarządzania ryzykami związanymi z bezpieczeństwem
informacji (por. 5).
4.2.2.b
Wdrożenie planu
postępowania z ryzykiem
Organizacja powinna wdrożyć plan postępowania z ryzykiem aby osiągnąć zidentyfikowane cele zabezpieczeń, które
obejmują rozważenie przydzielenia ról i zakresów odpowiedzialności.
4.2.2.c
Wdrożenie zabezpieczeń
Organizacja powinna wdrożyć zabezpieczenia wybrane w 4.2.1.g tak, aby osiągnąć cele stosowania zabezpieczeń.
4.2.2.d
4.2.2.e
Organizacja powinna zdefiniować jak mierzyć efektywność wybranych zabezpieczeń i grup zabezpieczeń oraz określić
Definicja miar efektywności jak te mierniki powinny być stosowane w ocenie efektywności zabezpieczeń aby otrzymać porównywalne i powtarzalne
zabezpieczeń
rezultaty (por. 4.2.3.c).
Programy uświadamiania i
szkolenia
Organizacja powinna wdrożyć programy uświadamiania i szkolenia (por. 5.2.2).
4.2.2.f
Zarządzanie eksploatacją
ISMS
Organizacja powinna zarządzać eksploatacją ISMS.
4.2.2.g
Zarządzanie zasobami
ISMS
Organizacja powinna zarządzać zasobami ISMS (por. 5.2).
4.2.2.h
Procedury wykrycia i reakcji
Organizacja powinna wdrożyć procedury i inne zabezpieczenia zdolne do zapewnienia natychmiastowego wykrycia i
na incydenty
bezpieczeństwa
reakcji na incydenty związane z naruszeniem bezpieczeństwa (por. 4.2.3.a).
4.2.2. Wdrożenie i eksploatacja ISMS
Pokrycie
Uwagi
4.2.3. Monitorowanie i przegląd ISMS
4.2.3
Monitorowanie i przegląd
ISMS
4.2.3.a
Organizacja powinna wykonać procedury monitorowania i przeglądu oraz inne zabezpieczenia w celu:
1) natychmiastowego wykrywania błędów w wynikach przetwarzania;
2) natychmiastowego identyfikowania naruszeń bezpieczeństwa i incydentów, zakończonych niepowodzeniem lub
sukcesem;
3) umożliwienia kierownictwu stwierdzenia, czy działania związane z bezpieczeństwem delegowane są na
poszczególne osoby lub wdrożone za pomocą środków informatycznych są wykonywane zgodnie z oczekiwaniami;
4) pomocy w wykrywaniu naruszeń bezpieczeństwa a tym samym niedopuszczenia do incydentów bezpieczeństwa
Procedury monitorowania i przez użycie wskaźników;
przeglądu
5) określenia czy działania podjęte w celu rozwiązania naruszeń bezpieczeństwa były efektywne.
4.2.3.b
Przeglądy efektywności
ISMS
Organizacja powinna wykonywać regularne przeglądy efektywności ISMS ( w tym zgodności z polityką i celami ISMS
oraz przegląd zabezpieczeń), biorąc pod uwagę wyniki audytów bezpieczeństwa, incydentów, rezultatów pomiarów
efektywności, sugestii oraz informacji zwrotnych od wszystkich zainteresowanych stron.
4.2.3.c
Pomiary efektywności
zabezpieczeń
Organizacja powinna dokonywać pomiarów efektywności zabezpieczeń w celu weryfikacji ich zgodności z
wymaganiami bezpieczeństwa.
4.2.3.d
Przeglądy szacowania
ryzyka
Organizacja powinna dokonywać przeglądu szacowania ryzyka w zaplanowanych odstępach czasu, przeglądu ryzyka
szczątkowego oraz przeglądu ryzyka akceptowalnego, biorąc pod uwagę zmiany:
1) w organizacji;
2) technologii;
3) celów biznesowych i procesów;
4) zidentyfikowanych zagrożeń;
5) efektywności wdrożonych zabezpieczeń;
6) zewnętrznych zdarzeń, takich jak zmiany prawa lub stosowanych regulacji, zmian wynikających z umów oraz zmiany
o charakterze społecznym.
4.2.3.e
Wewnętrzne audyty ISMS
Organizacja powinna przeprowadzać wewnętrzne audyty ISMS w zaplanowanych odstępach czasu.
4.2.3.f
Kierownicze przeglądy
ISMS
Organizacja powinna w regularnych odstępach czasu podejmować przeglądy ISMS realizowane przez kierownictwo
tak, aby zapewnić że zakres jest odpowiedni oraz udoskonalenia ISMS są zidentyfikowane (por. 7.1).
4.2.3.g
Uaktualnianie planów
bezpieczeństwa
Organizacja powinna uaktualniać plany bezpieczeństwa mając na uwadze wyniki monitorowania i przeglądu
działalności.
4.2.3.h
Rejestrowanie działań i
zdarzeń
Organizacja powinna rejestrować działania i zdarzenia, które mogą mieć wpływ na efektywność lub wydajność realizacji
ISMS (por. 4.3.3).
4.2.4
Utrzymanie i doskonalenie
ISMS.
Organizacja powinna regularnie podejmować działania określone wymaganiach 4.2.4.a – 4.2.4.d.
4.2.4.a
Wdrażanie udoskonaleń
Organizacja powinna wdrażać w ISMS zidentyfikowane udoskonalenia.
4.2.4.b
Działania korygujące i
zabezpieczające
Organizacja powinna podejmować odpowiednie działania korygujące lub zapobiegawcze zgodne z 8.2 i 8.3.
Organizacja powinna wyciągać wnioski z doświadczeń w dziedzinie bezpieczeństwa zarówno innych organizacji, jak i
własnych.
4.2.4.c
Informowanie o działaniach Organizacja powinna informować wszystkie zainteresowane strony o działaniach i udoskonaleniach na odpowiednim do
i udoskonaleniach
okoliczności poziomie szczegółowości oraz, jeśli trzeba, uzgodnić sposób dalszego postępowania.
4.2.4.d
Adekwatność udoskonaleń
do celów
Organizacja powinna zapewnić, że udoskonalenia osiągają zamierzone cele.
Organizacja powinna podjąć działania określone wymaganiach 4.2.3.a – 4.2.3.h.
4.2.4. Utrzymanie i doskonalenie ISMS
4.3. Wymagania dotyczące dokumentacji
4.3.1. Postanowienia ogólne
4.3.1
Postanowienia ogólne
Dokumentacja powinna zawierać zapisy decyzji kierownictwa, zapewnić że działania są zgodne z działaniami
kierownictwa i politykami oraz zapewnić, że zapisy rezultatów działań są odtwarzalne.
Ważnym jest aby było można wykazać powiązania pomiędzy wybranymi zabezpieczeniami i dotyczącymi ich
rezultatami szacowania ryzyka i procesu postępowania z ryzykiem a następnie z odpowiednimi politykami i celami
ISMS.
Dokumentacja ISMS powinna zawierać elementy zdefiniowane w wymaganiach 4.3.1.a – 4.3.1.i.
4.3.1.c
Udokumentowanie
deklaracji polityk i celów
ISMS
Deklaracje polityk ISMS oraz cele ISMS powinny być udokumentowane (por. 4.2.1.b).
Udokumentowanie zakresu
ISMS
Zakres ISMS powinien być udokumentowany (por. 4.2.1.a).
Udokumentowanie
procedur i zabezpieczeń
wspomagających ISMS
Procedury i zabezpieczenia wspomagające powinny być udokumentowane.
4.3.1.d
Udokumentowanie metody
szacowania ryzyka
Opis metody szacowania ryzyka powinien być udokumentowany (por. 4.2.1.c).
4.3.1.e
Udokumentowanie wyników
szacowania ryzyka
Raport z procesu szacowania ryzyka powinien być udokumentowany (por. 4.2.1.c, 4.2.1.d, 4.2.1.e, 4.2.1.f, 4.2.1.g).
4.3.1.f
Udokumentowanie planu
postępowania z ryzykiem
Plan postępowania z ryzykiem powinien być udokumentowany (por. 4.2.2.b).
4.3.1.g
Udokumentowanie
procedur bezpieczeństwa
informacji
Procedury potrzebne organizacji do zapewnienia efektywnego planowania, eksploatacji i sterowania procesami
bezpieczeństwa informacji oraz opis pomiaru efektywności zabezpieczeń powinny być udokumentowane (por. 4.2.3.c).
4.3.1.h
Udokumentowanie zapisów
wymaganych przez normę
ISO 27001
Zapisy wymagane przez normę ISO 27001 powinny być udokumentowane (por. 4.3.3).
4.3.1.i
Udokumentowanie
Deklaracji Stosowania
Deklaracja Stosowania powinna być udokumentowana.
4.3.2
Nadzór nad dokumentami
Dokumenty wymagane przez ISMS powinny być chronione i nadzorowane. Powinna być ustanowiona procedura w celu
określenia działań kierownictwa potrzebnych do wypełniania czynności zdefiniowanych w wymaganiach 4.3.2.a –
4.3.2.j.
4.3.2.a
Procedura nadzoru nad dokumentami powinna zawierać opis procesu zatwierdzania odpowiednich dokumentów przed
Zatwierdzanie dokumentów ich wydaniem.
4.3.2.b
Przegląd i aktualizacja
dokumentów
Procedura nadzoru nad dokumentami powinna zawierać opis procesu przeglądu i aktualizacji dokumentów w razie
potrzeby oraz ponownego ich zatwierdzenia.
4.3.2.c
Kontrola zmian i statusu
dokumentów
Procedura nadzoru nad dokumentami powinna zawierać opis procesu zapewnienia identyfikacji zmian oraz aktualnego
statusu zmian dokumentów.
4.3.1.a
4.3.1.b
4.3.2. Nadzór nad dokumentami
4.3.2.d
Dostępność najnowszych
wersji dokumentów
Procedura nadzoru nad dokumentami powinna zawierać opis procesu zapewnienia , że najnowsze wersje
odpowiednich dokumentów są dostępne w miejscach ich stosowania.
4.3.2.e
Czytelność oraz łatwość
identyfikacji dokumentów
Procedura nadzoru nad dokumentami powinna zawierać opis procesu zapewnienia , że dokumenty pozostają czytelne i
łatwe do zidentyfikowania.
4.3.2.f
Zarządzanie obiegiem
dokumentacji
Procedura nadzoru nad dokumentami powinna zawierać opis procesu zapewnienia , że dokumenty są dostępne dla
wszystkich, którzy ich potrzebują oraz że są przesyłane, przechowywane i ostatecznie niszczone zgodnie z
procedurami odpowiednimi do ich klasyfikacji.
4.3.2.g
Identyfikacja dokumentów
zewnętrznych
Procedura nadzoru nad dokumentami powinna zawierać opis procesu zapewnienia , że dokumenty zewnętrzne są
identyfikowane.
4.3.2.h
Kontrola
rozpowszechniania
dokumentów
Procedura nadzoru nad dokumentami powinna zawierać opis procesu zapewnienia, że rozpowszechnianie
dokumentów jest kontrolowane.
4.3.2.i
Kontrola aktualności
dokumentów
Procedura nadzoru nad dokumentami powinna zawierać opis procesu zapobiegania niezamierzonemu stosowaniu
nieaktualnych dokumentów.
4.3.2.j
Identyfikacja dokumentów
nieaktualnych
Procedura nadzoru nad dokumentami powinna zawierać opis procesu zastosowania odpowiedniej identyfikacji
nieaktualnych dokumentów, jeżeli są one zachowane z jakichkolwiek powodów.
4.3.3. Nadzór nad zapisami
4.3.3
Nadzór nad zapisami
W celu dostarczenia świadectwa potwierdzającego zgodność z wymaganiami oraz skutecznej eksploatacji ISMS
powinny być ustanowione i utrzymywane odpowiednie zapisy. Zapisy te powinny być chronione i nadzorowane. ISMS
powinien uwzględniać wszystkie odpowiednie wymagania przepisów prawa, wymagania nadzoru i zobowiązania
wynikające z umów. Zapisy powinny być czytelne, łatwe do zidentyfikowania i odtwarzalne. Należy udokumentować i
wdrożyć zabezpieczenia służące identyfikowaniu, przechowywaniu, ochronie, odtwarzaniu, czasu archiwizacji oraz
niszczeniu zapisów.
Zapisy powinny dotyczyć realizacji procesów, zgodnie z opisem zawartym w 4.2 oraz wszystkich incydentów
związanych z bezpieczeństwem związanych z ISMS.
5. Odpowiedzialność kierownictwa
5.1. Zaangażowanie kierownictwa
Kierownictwo powinno zapewnić świadectwo swojego zaangażowania w ustanowienie, wdrożenie, eksploatację,
monitorowanie, przegląd, utrzymanie i doskonalenie ISMS poprzez działania określone w wymaganiach 5.1.a – 5.1.h.
5.1
Zaangażowanie
kierownictwa
5.1.a
Ustanowienie polityki ISMS Kierownictwo powinno ustanowić politykę ISMS.
5.1.b
Zapewnienie realizacji
celów i planów ISMS
Kierownictwo powinno zapewnić realizację celów i planów ISMS.
5.1.c
Określenie ról i zakresów
odpowiedzialności
Kierownictwo powinno określić role oraz zakresy odpowiedzialności w odniesieniu do bezpieczeństwa informacji.
5.1.d
Proces informacyjny
związany z
bezpieczeństwem
informacji
Kierownictwo powinno zapewnić informowanie organizacji o znaczeniu spełniania celów bezpieczeństwa informacji i
zgodności z polityką bezpieczeństwa informacji, swojej odpowiedzialności prawnej oraz potrzeby ciągłego
udoskonalania.
5.1.e
Zapewnienie zasobów dla
ISMS
Kierownictwo powinno zapewnić wystarczające zasoby do ustanowienia, wdrażania, eksploatacji, monitorowania,
przeglądów, utrzymania i udoskonalania ISMS (por. 5.2.1).
Kierownictwo powinno podejmować decyzje o kryteriach akceptacji ryzyka i akceptowanym poziomie ryzyka.
5.1.g
Kryteria akceptacji ryzyka
Przeprowadzanie
wewnętrznych audytów
ISMS
5.1.h
Przeglądy ISMS
Kierownictwo powinno przeprowadzać przeglądy ISMS realizowane przez kierownictwo (por. 7).
5.1.f
Kierownictwo powinno zapewnić przeprowadzenie wewnętrznych audytów ISMS (por. 6).
5.2. Zarządzanie zasobami
5.2.1. Zapewnienie zasobów
5.2.1
Zapewnienie zasobów
Organizacja powinna określić i zapewnić zasoby potrzebne do spełnienia wymagań 5.2.1.a – 5.2.1.f.
5.2.1.a
Zasoby do realizacji cyklu
życia ISMS
Organizacja powinna określić i zapewnić zasoby potrzebne do ustanowienia, wdrożenia, eksploatacji, monitorowania,
przeglądu, utrzymania i udoskonalania ISMS.
5.2.1.b
Zasoby do zapewnienie
adekwatności procedur
bezpieczeństwa do
wymagań biznesowych
Organizacja powinna określić i zapewnić zasoby potrzebne do zapewnienia, że procedury bezpieczeństwa informacji
wspierają wymagania biznesowe.
5.2.1.c
Zasoby do zapewnienia
zgodności z normami i
umowami
Organizacja powinna określić i zapewnić zasoby potrzebne do zidentyfikowania i odniesienia się do wymagań
przepisów prawa i wymagań nadzoru oraz zobowiązań związanych z bezpieczeństwem, a wynikających z zawartych
umów.
5.2.1.d
Zasoby do utrzymania
bezpieczeństwa
Organizacja powinna określić i zapewnić zasoby potrzebne do utrzymania odpowiedniego bezpieczeństwa przez
poprawne zastosowanie wszystkich wdrażanych zabezpieczeń.
5.2.1.e
Zasoby do realizacji
przeglądów
Organizacja powinna określić i zapewnić zasoby potrzebne do przeprowadzenia przeglądów, kiedy zachodzi taka
potrzeba, oraz odpowiedniego reagowania na wyniki tych przeglądów.
5.2.1.f
Zasoby do poprawy
efektywności ISMS
Organizacja powinna określić i zapewnić zasoby potrzebne do poprawy skuteczności ISMS tam, gdzie jest to
wymagane.
5.2.2. Szkolenie, uświadamianie i kompetencje
5.2.2
Szkolenie, uświadamianie i Organizacja powinna zapewnić, że cały personel, któremu przypisano zakresy odpowiedzialności określone w ISMS,
kompetencje
ma kompetencje do realizacji wymaganych zadań przez spełnienie wymagań 5.2.2.a – 5.2.2.d.
5.2.2.a
Kompetencje personelu
5.2.2.b
5.2.2.c
Szkolenia personelu
Ocena skuteczności
szkolenia personelu
5.2.2.d
Zapisy dot. kompetencji
personelu
Organizacja powinna określić konieczne kompetencje personelu wykonującego prace, które mają wpływ na ISMS.
Organizacja powinna zapewnić szkolenia lub podjąć inne działania (np.. zatrudnienie kompetentnego personelu) w celu
realizacji tych potrzeb.
Organizacja powinna oceniać skuteczność zapewnionego szkolenia oraz podjętych działań.
Organizacja powinna prowadzić zapisy dotyczące edukacji, szkoleń, umiejętności, doświadczenia i kwalifikacji (por.
4.3.3).
6. Wewnętrzne audyty ISMS
6
Wewnętrzne audyty ISMS
Organizacja powinna przeprowadzać wewnętrzne audyty ISMS w zaplanowanych odstępach czasu, aby określić, czy
cele stosowania zabezpieczeń, zabezpieczenia, procesy i procedury ISMS są:
a) zgodne z wymaganiami normy ISO 27001 i odpowiednimi przepisami oraz ustawami;
b) zgodne ze zidentyfikowanymi wymaganiami bezpieczeństwa informacji;
c) efektywnie wdrożone i utrzymywane;
d) zgodne z oczekiwaniami.
Program audytu powinien zostać zaplanowany, biorąc pod uwagę status i ważność procesów i obszarów do audytu, jak
również wyniki poprzednich audytów. Kryteria audytu, zakres, częstotliwość i metody powinny być zdefiniowane. Wybór
audytorów i przeprowadzenie audytu powinny zapewnić obiektywność i bezstronność procesu audytowego. Audytorzy
nie powinni audytować swojej własnej pracy.
Wymagania i odpowiedzialność za planowanie i przeprowadzenie audytów oraz za raportowanie wyników i
utrzymywanie zapisów (por. 4.3.3) powinny być zdefiniowane w udokumentowanej procedurze.
Kierownictwo jest odpowiedzialne, aby działania w obszarze audytowanym były podejmowane bez nadmiernego
opóźnienia w celu wyeliminowania wykrytych odstępstw i ich przyczyn. Działania poaudytowe powinny zawierać
weryfikację podjętych działań i przygotowanie wyników weryfikacji (por. 8).
7. Przeglądy ISMS realizowane przez kierownictwo
7.1. Postanowienia ogólne
7.1
Postanowienia ogólne
Kierownictwo powinno przeprowadzać przeglądy ISMS organizacji w zaplanowanych odstępach czasu (nie rzadziej niż
raz w roku) w celu zapewnienia jego ciągłej poprawności, odpowiedzialności i skuteczności. Przegląd powinien
zawierać ocenę możliwości doskonalenia i potrzeby zmian w ISMS, w tym polityki bezpieczeństwa informacji i celów
bezpieczeństwa. Wyniki przeglądów powinny być jasno udokumentowane, a odpowiednie zapisy powinny być
przechowywane (por. 4.3.3).
7.2. Dane wejściowe do przeglądu
7.2
Dane wejściowe do
przeglądu
Dane wejściowe do przeglądu realizowanego przez kierownictwo powinny zawierać:
a) wyniki audytów i przeglądów ISMS;
b) informacje zwrotne od zainteresowanych stron;
c) techniki, produkty i procedury, które mogłyby być zastosowane w organizacji w celu ulepszenia realizacji i
skuteczności ISMS;
d) status działań korygujących i zapobiegawczych;
e) podatności lub zagrożenia, do których nie było odpowiedniego odniesienia w poprzednim oszacowaniu ryzyka;
f) wyniki pomiarów efektywności;
g) działania podjęte na skutek poprzednich przeglądów realizowanych przez kierownictwo;
h) jakiekolwiek zmiany, które mogłyby dotyczyć ISMS;
i) zalecenia dotyczące doskonalenia.
7.3. Wyniki przeglądu
Wyniki przeglądu realizowanego przez kierownictwo powinny zawierać informacje dotyczące:
a) doskonalenia skuteczności ISMS;
b) uaktualnienia planu szacowania ryzyka i postępowanie z ryzykiem;
c) modyfikacji procedur i zabezpieczeń dotyczących bezpieczeństwa informacji, jeśli to konieczne, w celu reakcji na
wewnętrzne lub zewnętrzne zdarzenia, które mogą mieć konsekwencje dla ISMS, w tym zmiany:
1) wymagań biznesowych,
2) wymagań bezpieczeństwa,
3) procesów biznesowych mających wpływ na istniejące wymagania biznesowe,
4) przepisów prawa i wymagań nadzoru,
5) zobowiązań wynikających z umów,
6) poziomów ryzyka i/lub kryteriów akceptacji ryzyka;
d) wymaganych zasobów;
e) udoskonalenia metod pomiaru efektywności zabezpieczeń.
7.3
Wyniki przeglądu
8. Doskonalenie ISMS
8.1. Ciągłe doskonalenie
8.1
Ciągłe doskonalenie
Organizacja powinna w sposób ciągły poprawiać skuteczność ISMS przez stosowanie polityki bezpieczeństwa
informacji, określanie celów bezpieczeństwa informacji, wyników audytu, analizę monitorowanych zdarzeń, działań
korygujących i zapobiegawczych oraz przeglądów realizowanych przez kierownictwo (por. 7).
Działania korygujące
Organizacja powinna podjąć działanie w celu wyeliminowania przyczyn niezgodności związanych z wymaganiami
ISMS, aby przeciwdziałać powtórnym ich wystąpieniom. Udokumentowana procedura działań korygujących powinna
określać wymagania dotyczące:
a) zidentyfikowania niezgodności;
b) określenie przyczyn niezgodności;
c) oceny potrzeby podjęcia działań przeciwdziałających wystąpieniu niezgodności;
d) wskazania i wdrożenia potrzebnych działań korygujących;
e) prowadzenia zapisów rezultatów podjętych działań (por. 4.3.3);
f) przeglądu podjętych działań korygujących.
Działania zapobiegawcze
Organizacja powinna wskazywać działania podejmowane w celu ochrony przed potencjalnymi niezgodnościami z
wymaganiami ISMS tak, aby przeciwdziałać ich wystąpieniu. Podejmowane działania zapobiegawcze powinny być
odpowiednie do wagi potencjalnych problemów. Udokumentowana procedura działań zapobiegawczych powinna
określać wymagania dotyczące:
a) identyfikacji potencjalnych niezgodności i ich przyczyn;
b) oceny potrzeby podjęcia działań przeciwdziałających wystąpieniu niezgodności;
c) wskazania i wdrożenia potrzebnych działań zapobiegawczych;
d) zapisu wyników podjętych działań (por. 4.3.3);
e) przeglądu podjętych działań zapobiegawczych.
Organizacja powinna zidentyfikować zmienione ryzyka oraz zidentyfikować wymagania dla działań zapobiegawczych,
koncentrując uwagę na ryzykach znacząco zmienionych.
Należy wskazać priorytety działań zapobiegawczych na podstawie wyników szacowania ryzyka.
8.2. Działania korygujące
8.2
8.3. Działania zapobiegawcze
8.3