ГОСТ Р ИСО/МЭК 27013-2014; Страница 18

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ Р 56137-2014 Протезирование и ортезирование. Контроль качества протезов и ортезов нижних конечностей с индивидуальными параметрами изготовления (Настоящий стандарт устанавливает виды, методы и порядок контроля качества наружных протезов и ортезов (ортопедических аппаратов и туторов) нижних конечностей с индивидуальными параметрами изготовления. Настоящий стандарт предназначен для применения федеральными государственными унитарными протезно-ортопедическими предприятиями и организациями других форм собственности, изготавливающими изделия по заказам инвалидов-пользователей. Настоящий стандарт не распространяется на контроль качества систем «человек-протез (ортез)») ГОСТ 8.259-2004 Государственная система обеспечения единства измерений. Счетчики электрические индукционные активной и реактивной энергии. Методика поверки State system for ensuring the uniformity of measurements. Electrical induction active and reactive energy meters. Methods of verification (Настоящий стандарт распространяется на электрические индукционные однофазные и трехфазные счетчики по ГОСТ 6570, применяемые для учета активной и реактивной энергии переменного тока частотой от 45 до 65 Гц, и устанавливает методику их первичной и периодической поверок. Настоящий стандарт может быть распространен на находящиеся в эксплуатации счетчики, выпущенные до введения в действие ГОСТ 6570, а также импортные счетчики) ГОСТ Р ИСО/МЭК 27033-3-2014 Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 3. Эталонные сетевые сценарии. Угрозы, методы проектирования и вопросы управления (В настоящем стандарте изложены угрозы, методы проектирования и вопросы, касающиеся мер и средств контроля и управления, связанные с типовыми сетевыми сценариями. Для каждого сценария в ней представлены подробные руководства по угрозам безопасности, методам проектирования безопасности и мерам и средствам контроля и управления, требуемым для уменьшения связанных рисков. Информация, содержащаяся в настоящем стандарте, предназначена для использования при пересмотре технической архитектуры/вариантов проектирования безопасности, а также при выборе и документировании предпочтительной технической архитектуры/проектирования безопасности и связанных с ними мер и средств контроля и управления, в соответствии с ИСО/МЭК 27033-2)

Страница 18

Страница 1

Untitled document

ГОСТ Р ИСО/МЭК 27013—2014

информационной безопасности. К нему относится менеджмент риска, связанный с поставщиком, ко

торый может непосредственно воздействовать на информационную безопасность клиентской органи

зации. Подраздел 8.1 ИСО/МЭК 20000-1:2011 также касается инцидентов и процесса запроса услуг

для менеджмента инцидентов информационной безопасности, а также оценки всех изменений с це

лью проверки влияния на меры и средства контроля и управления информационной безопасности.

При проектировании интегрированной системы менеджмента существуют два основных факто

ра. влияющих на отношения бизнеса и процессы управления поставщиками в отношении осуществ

ления менеджмента рисков третьей стороны. Эти два фактора изложены ниже:

a) договорные обязательства по обеспечению информационной безопасности должны служить

исходными данными для процесса оценки риска. Этот процесс должен способствовать выполнению

требований ИСО/МЭК 20000-1 к поставщику услуг в отношении реагирования на потребности бизне са:

) информационная безопасность должна быть учтена в процессе деловых отношений с други

ми сторонами, включая клиентов, исполняющих обязанности поставщиков. Ее следует учитывать при

проектировании новых или изменении существующих услуг и при обсуждении SLA-

Другие охваченные подразделом 7.1 ИСО/МЭК 20000-1:2011 концепции, такие как проверки ка

чества деятельности, изменения услуг, менеджмент удовлетворения потребностей клиента и рас

смотрение претензий, могут быть применены к интегрированной системе менеджмента для усиления ее

в целом.

Таким образом, интегрированная система менеджмента должна следовать подходу к управле

нию взаимоотношениями с поставщиками, согласно ИСО/МЭК 27001, а также соблюдать требования

пункта 6.6.2 «Меры и средства контроля и управления информационной безопасности»

ИСО/МЭК 20000-1:2011 в отношении риска поставщика. В тех случаях, когда активы организации на

ходятся в рамках области действия СМИБ. но некоторые или все эти активы контролируются

другой стороной, организация должна согласовывать это адекватными договорами, SLA или другими

доку ментированными соглашениями. Этот подход должен обеспечить уверенность в том. что другая

сто рона применяет соответствующие меры и средства контроля и управления.

6.3.6 Менеджмент непрерывности и доступности

В подразделе 6.3 «Менеджмент непрерывности и доступности услуг» ИСО/МЭК 20000-1:2011

подробно рассматривается только одна из проблем по обеспечению информационной безопасности.

Деятельности по обеспечению непрерывности и доступности в рамках существующей системы

ме неджмента следует проанализировать, чтобы понять, могут ли они быть соответствующим

образом расширены для охвата менеджмента целостности и конфиденциальности и. следовательно,

осуще ствления менеджмента информационной безопасности любой услуги. Подробности можно

почерп нуть из ИСО/МЭК 20000-1, а общие принципы - из А.14 ИСО/МЭК 27001:2005.

6.3.7 Менеджмент отношений с поставщиками

ИСО/МЭК 27001:2005 рассматривает менеджмент отношений с поставщиками в различных

пунктах, например, в А.6.2.1, А.6.2.3, А.10.2. А.8 для кадровых ресурсов, включая подрядчиков. Под

раздел 4.2 ИСО/МЭК 20000-1:2011 содержит требования к управлению процессами, выполняемыми

другими сторонами, а подраздел 7.2 содержит требования для менеджмента отношений с поставщи

ками. Менеджмент отношений с поставщиками, отвечающий требованиям обоих стандартов, может

быть очень эффективным.

В 6.3.5 настоящего стандарта содержится дополнительная информация по менеджменту рис

ков. связанных с поставщиками. Например, оценка риска в ИСО/МЭК 20000-1 может быть расширена

с использованием концепции ИСО/МЭК 27001 для рассмотрения того, не будет ли безопасность ор

ганизации скомпрометирована при добавлении или отказе от услуги поставщика или при конкретном

изменении услуги, предоставляемой поставщиком.

Это следует рассматривать даже в том случае, если организация решает реализовать только

один из стандартов.

6.3.8 Управление конфигурацией

Реестр активов в ИСО/МЭК 27001 представляет собой репозиторий всего, что имеет ценность

(денежную или иную) для организации и находится в области действия СМИБ. например, информа

ция, базы данных или процессы.

Понятие базы данных управления конфигурацией (configuration management database - CMBD)

стандарта ИСО/МЭК 20000-1 очень сходно с реестром активов стандарта ИСО/МЭК 27001, однако