ГОСТ Р ИСО/МЭК 27004—2011
Настоящий стандарт предлагает рекомендации, касающиеся следующей деятельности, являю
щейся основой для выполнения организацией требований к измерениям, установленных в
ИСО/МЭК 27001:
a) разработка мер измерений (например, основные меры измерений, производные меры измере
ний и показатели);
b
) разработка и выполнение программы измерений;
c) сбор и анализ данных;
d) обработка результатов измерений;
e) сообщение обработанных результатов измерений заинтересованным сторонам;
0 использование результатов измерений для принятия решений, относящихся к СМИБ:
д) использование результатов измерений для выявления потребностей в совершенствовании
реализованной СМИБ. включая ее область действия, политики, цели, меры и средства контроля и
управления, процессы и процедуры;
h) содействие постоянному совершенствованию программы измерений.
Одним из факторов, влияющих на способность организации проводить измерения, является ее
размер. Вцелом, масштабы и сложностьосновнойдеятельности организации в сочетании с важностью
информационной безопасности влияют наобъем требуемых измерений как сточки зрения числа выби
раемых мер измерений, таки сточки зрения частоты сбора и анализа данных. В то время какдля малых и
средних организаций менее детализированная программа измерений будет достаточной, крупные
организации будут внедрять и использовать многочисленные программы измерений.
Единственная программа измерений может быть достаточной для малых организаций, тогда как
для крупных организаций может возникнуть потребность в многочисленных программах измерений.
Рекомендации, содержащиеся в настоящем стандарте, позволят подготовить документацию,
помогающую подтвердить, что эффективность мер исредств контроля и управления измеряется иоце
нивается.
v