ГОСТ Р ИСО/МЭК 27004—2011
Продолжение
Аналитическая
дель
мо
a) разделить (достигнутый к установленному сроку прогресс) на [численность пер
сонала. запланированного к установленному сроку, умноженную на
100
] и достигну
тый к установленному сроку прогресс в отношении подписания пользовательских
обязательств;
b
) сравнить состояние с предыдущими значениями
Спецификация критериев принятия решений
Критерии
решений
принятия a) итоговые показатели должны располагаться между 0.9 и 1.1 и между 0.99 и 1.01
для принятия решения о достижении цели применения мер и средств контроля и
управления соответственно: вмешательство руководства не требуется.
b
) тренд должен быть восходящим или стабильным
Результаты измерений
Интерпретация
зателя
покаИнтерпретация показателя по перечислению а) должна быть следующей;
- критерии организации на соответствие политике осведомленности о безопаснос ти
организации были реализованы удовлетворительно, если 0.9 s первый показатель S 1.1
и 0.99 s второй показатель £ 1.01 (набраны прямым шрифтом);
- критерии организации были реализованы неудовлетворительно, если первый по
казатель < 0.9 или первый показатель > 1.1 и 0.99 г. второй показатель £ 1.01 (набраны
курсивом);
- критерии организации не были реализованы, если второй показатель < 0.99 или
второй показатель >
1.01
(набраны полужирным шрифтом).
Интерпретация показателя по перечислению Ь) должна быть следующей:
- тренд повышения указывает на улучшенное соответствие, тренд понижения ука
зывает на ухудшенное соответствие. Порядок изменения тренда может способство
вать пониманию эффективности реализации мер и средств контроля и управления.
Резкие изменения в любом направлении показывают, что реализация мер и средств
контроля и управления требует пристального изучения, чтобы установить их причину.
Негативные тренды могут потребовать вмешательства руководства. Позитивные
тренды следует изучать с целью определения возможных наилучших практик
Форматы отчетности
Прямой шрифт — критерии были реализованы удовлетворительно.
Курсив — критерии были реализованы неудовлетворительно.
Полужирный шрифт — критерии не были реализованы
Заинтересованные стороны
Заказчик измерения
Руководители, отвечающие за СМИ
6
. Менеджмент безопасности. Менеджмент
обучения
Контролер измерения
Руководитель, отвечающий за безопасность
Владелец
ции
информа Лицо, ответственное за информационную безопасность, и руководитель, отвечаю
щий за обучение
Сборщик информацииМенеджмент обучения — отдел кадров
формации
Субъект, ответствен
Руководители, отвечающие за СМИБ
ный за передачу ин
Частота/период
Частота сбора данных
Ежемесячно, в первый рабочий день месяца
Частотапроведения
Ежеквартально
исследования данных
ЧастотасообщенияЕжеквартально
результатов измере
ний
Пересмотр измерений
Ежегодно проводить проверку
Период измерений
Ежегодно
30