ГОСТ Р ИСО/МЭК 20000-1-2013
довести политику информационной безопасности и важность следования этой политике
соответствующим сотрудникам поставщика услуг, заказчика и подрядчиков;
обеспечить наличие и формализацию целей информационной безопасности;
определить подход к управлению рисками информационной безопасности, а также критерии
принятия рисков;
обеспечить проведение оценки рисков информационной безопасности с запланированной
периодичностью;
обеспечить проведение внутреннего аудита информационной безопасности;
обеспечить анализ результатов аудита для определения возможностей совершенствования.
6.6.2 Средства контроля информационной безопасности
Поставщик услуг должен реализовать и использовать физические, административные и
технические средства контроля информационной безопасности в целях;
сохранения конфиденциальности, целостности идоступности информационных ресурсов;
выполнения требований политики информационной безопасности;
достижения целей управления информационной безопасностью;
управления рисками, связанными с информационной безопасностью.
Эти элементы управления информационной безопасностью должны быть задокументированы и
должны описывать связанные с ними риски, их эксплуатацию и техническое обслуживание.
Поставщикуслуг долженпроанализировать эффективность управленияинформационной
безопасностью. Поставщик услуг должен принять необходимые меры и сообщить о них. Поставщик
услуг должен определить внешние организации, у которых есть необходимость доступа,
использования или управления информацией или услугами поставщика услуг. Поставщик услуг
должен документировать, согласовывать и реализовывать средства контроля информационной
безопасности с внешними организациями.
6.6.3 Изменения и инциденты информационной безопасности
Запросы на изменения должны оцениваться, чтобы определить;
новые или измененные риски информационной безопасности;
потенциальное воздействие на существующую политику информационной безопасности и
средства контроля.
Инциденты информационной безопасности подлежат управлению с использованием процедур
управления инцидентами, с приоритетом, соответствующим рискам информационной безопасности.
Поставщикуслуг долженпроанализироватьвиды,объемыипоследствияинцидентов
информационнойбезопасности.Инциденты информационной безопасностидолжныбыть
зафиксированы в отчетах и проанализированы с целью определить возможности для
совершенствования.
Примечание - Стандарты серии ISO/IEC 27000 определяют требования и дают рекомендации
для поддержки внедрения и эксплуатации системы управления информационной безопасностью.
7. Процессы управления взаимоотношениями
7.1 Управление взаимоотношениями с бизнесом
Поставщикуслугдолжендокументальноопределитьзаказчиков,пользователейи
заинтересованные стороны услуг. Для каждого заказчика поставщик услуг должен иметь
назначенного сотрудника, который отвечает за управление взаимоотношениями с заказчиком и
удовлетворенностью заказчика.
Поставщик услуг устанавливает механизм коммуникации с заказчиком. Этот механизм должен
содействовать пониманию бизнес-среды, в которой эксплуатируются услуги, а также пониманию
требований к новым или изменяемым услуг. Указанная информация позволит поставщику услуг
соответствовать этим требованиям. Поставщик услуг совместно с заказчиком должен с
запланированной периодичностью проводить анализ эффективности предоставления услуг.
Изменения в формализованных требованиях к услугам должны находиться под контролем
процесса управления изменениями. Изменения в соглашениях об уровне услуги должны быть
согласованы с процессом управления уровнем услуг.
15