ГОСТРИСО 27799—2015
Набор документов СМИБ
Политика информационной
защиты
Описание области
применения
Заявление о применимости
Список имеющейся
информации и системные
средства для проекта
Оценка рисков
Методика и применимые
стандарты
Контракты (соглашения
о качестве предоставляемых
услуг, договоры о допустимом
использовании и т, д.)
Обусловливается
«технологической
документацией»
Проверка
иобновлениеСМИБ
Производственная
деятельность
Документирование
и анализ
Инциденты в системе защиты
Предполагаемые слабые стороны
Неисправности
Нарушения, найденные во время
аудита
Данные испытаний
Данны© выборочных проверок
Отчет(ы)
для форума
«Доказательная»
документация
Рисунок 1— Система менеджмента информационной безопасности
6.2 Обязательство руководства по внедрению ИСО/МЭК 27002
Прежде чем предпринимать попытки добиться соответствия с ИСО/МЭК 27002, очень важно убе
диться в том. что медицинская организация имеет поддержку руководства. Очевидно, что активная при
верженность и поддержка руководства необходимы для успеха. Эта приверженность должна включать в
себя письменные и устные заявления о важности защиты медицинской информации и признания ее
преимуществ.
Оценка рисков приносит с собой возможность обнаружения серьезных рисков, что. в свою оче
редь, требует существенных изменений в существующих процессах для снижения этих рисков. Должна
быть явно показана личная готовность руководства к тому, чтобы подвергнуть себя и организацию из
менениям в процессах и стать инициаторами этих изменений.
Если эти шаги не будут предприняты, приверженность других будет до конца полной. Могут по
явиться ненужные подозрения среди заинтересованных сторон о «реальной цели» программы (напри
мер. делается ли это для того, чтобы повысить эффективность защиты информации, или же для того,
чтобы уменьшить количество необходимых сотрудников?).
Кроме того, руководство должно быть готово к вероятности того, что, возможно, в краткосрочной
перспективе увеличение расходов, возникающее из-за перехода к новому режиму, особенно в области
здравоохранения, вызовет отрицательные отзывы. Такие отзывы могут также возникнуть из ряда пред
ставлений о затрагиваемых целях и планах. Явная приверженность руководства может минимизиро
вать подобные проблемы.
6.3 Созданио, эксплуатация, обслуживание и улучшение СМИБ
6.4—67 настоящего стандарта дают рекомендации относительно создания и последующей экс
плуатации СМИБ в области здравоохранения. Для этого требуется провести цикл мероприятий, как
показано на рисунке 2.
В приложении В даны информативные примеры шагов, обычно имеющихся в каждом этапе жиз
ненного цикла, а также примеры видов документов, связанных с каждой фазой.
8