ГОСТ Р ИСО/МЭК 27004—2011
Продолжение
средства контроля и управ
ления / процесса
Цель применения меры иА.8.2 приложения А [ИСО/МЭК 27001:2005] Работа по трудовому договору.
Цель: обеспечить уверенность в том. что сотрудники, подрядчики и пользо
ватели сторонней организации осведомлены об угрозах и проблемах инфор
мационной безопасности, их ответственности и обязательствах, ознакомлены с
правилами и обучены процедурам для поддержания мер безопасности орга
низации при выполнении ими своих служебных обязанностей и снижения рис ка
человеческого фактора для информационной безопасности
Мера и средство контроля и
управления (
1
)/процесс (
1
)
А.8.2.2 приложения А [ИСО/МЭК 27001:2005] Осведомленность, обучение и
переподготовка в области информационной безопасности.
Все сотрудники организации и, при необходимости, подрядчики и пользова
тели сторонних организаций должны проходить соответствующее обучение и
переподготовку в целях регулярного получения информации о новых требова
ниях правил и процедур организации безопасности, необходимых для выпол
нения ими должностных функций
Объект измерения и атрибуты
Объект измерения
База данных сотрудников
Атрибуты
Записи, касающиеся обучения
Спецификация основной меры измерения (1)
Основная мера измерения
Число сотрудников, получивших ежегодное обучение, направленное на по
вышение осведомленности в отношении информационной безопасности.
Число сотрудников, которые должны получить ежегодное обучение, направ
ленное на повышение осведомленности в отношении информационной безо
пасности
Метод измерения
Подсчет в журналах регистрации/реестрах сведений, относящихся к еже
годному обучению сотрудников, направленному на повышение осведомлен
ности в отношении информационной безопасности, с пометкой «получено*
Вид метода измерения
Объективный
Шкала
Числовая
Вид шкалы
Шкала отношений
Единица измерения
Сотрудник
Спецификация производной меры измерения
Производная мера измере
ния
Выраженная в процентах численность персонала, получившего ежегодное
обучение, направленное на обеспечение осведомленности в отношении ин
формационной безопасности
Функция измерения Разделить число сотрудников, получивших ежегодное обучение, направ
ленное на повышение осведомленности в отношении информационной безо
пасности. на число сотрудников, которые должны получить ежегодное
обучение, направленное на повышение осведомленности в отношении инфор
мационной безопасности, и умножить на
100
Спецификация показателя
Показатель
Гистограмма, отображающая соответствие пороговым значениям (красный,
желтый, зеленый, с цветовыми идентификаторами), за несколько отчетных пе
риодов. определяемых аналитической моделью. Число отчетных периодов,
которые будут использоваться в диаграмме, должно определяться организа
цией
Аналитическая модель
0 %—60 % — красный цвет; 60 %—90 % — желтый цвет; 90 %—100 % — зе
леный цвет. В отношении желтого цвета, если не достигается увеличение зна
чения. по крайней мере, на
10
% за квартал, то оценка автоматически
становится красной
Спецификация критериев принятия решений
Критерии принятия решений Красный цвет — требуется вмешательство: должен быть проведен анализ
для определения причин несоответствия и плохого функционирования.
Желтый цвет — за показателем следует внимательно наблюдать на пред
мет возможного «сползания» к красному цвету.
Зеленый цвет — никаких действий не требуется
27