ГОСТРИСО 27799—2015
Поэтому важно, чтобы для определения сферы использовались некие критерии. Критерии, как
правило, являются «мягкими» и охватывают такие темы, как.
a) Желаемая степень видимости;
b
) Предполагаемый баланс вовлечения техники и бизнеса;
c) Желаемая степень регионального или центрального значения;
d) Степень управляемости, представляемая областью применения.
6.4.1.3 Анализ пробелов возможного обобщенного уровня при определении области применения
соответствия
Прежде чем сделать окончательное определение области применения, может быть целесообраз
ным провести анализ пробелов на выборочной основе, чтобы таким образом получить «ощущение»
того, сколько работы в различных областях может потребоватьсядо принятия окончательного решения.
Выбор «легкой» или «сложной» области остается за организацией, хотя, по логике вещей, при вы
боре «тяжелых» аспектов области применения можно получить соизмеримо большую корпоративную
выгоду.
6.4.1.4 Контролируемое вовлечение/включение третьих сторон
Другой типичной областью, в которой допускаются ошибки, является толкование области при
менения. Область применения включает в себя услуги, предоставляемые третьими сторонами, и про
ведение необходимых вспомогательных процессов, но не определение того, как эти вспомогательные
процессы проводятся.
6.4.1.5 Соглашения о качестве предоставляемых услуг (SLA) и контракты, помогающие устано
вить область применения
SLA и контракты могут также помочь при определении области применения в той мере, в которой
эти инструменты эффективно определяют границы области применения. Даже если в некоторых случа
ях они не делают этого явно, рассмотрение этих документов все равно будет полезным для выяснения
вероятных приоритетов улучшения.
6.4.1.6 Подготовка и распространение описания области применения
Необходимо подготовить официальное описание области применения, особенно если желатель
на сертификация по ИСО/МЭК27001. Описаниедолжно быть широко обнародовано в рамках организа
ции. Очень важно, чтобы в описании области применения были определены границы деятельности по
согласованию в плане людей, процессов, мест, платформ и приложений.
В случае медицинских организаций, это описание должно быть широко обнародовано, рассмо
трено и принято группами управления информацией, клиническими практиками и компаниями органи
зации. В самом деле, известно, что некоторые медицинские учреждения ищут отзывы на заявления,
сделанные профессиональными органами надзора за практикующими врачами, которые могут быть в
курсе других организаций, следующих соответствию или сертификации.
См. 7.3.2.1 для информации о минимальных требованиях по описанию области применения.
6.4.2 Анализ пробелов
После того, как была выбрана область применения, следующим этапом процесса планирования
является анализ пробелов, при котором осуществляется общая оценка соответствия. Передовая прак
тика показала, что этот анализ должен быть сфокусирован на структурной организации, внедрении,
документировании практической деятельности по обеспечению безопасности и свидетельств, исполь
зуемых в качестве опоры для анализа. Это явно согласуется с практиками здравоохранения, где важны
соответствующие навыки, записи и процедуры.
Общий сбой во время таких анализов заключается в невозможности получения сравнительных
точек зрения и подтверждения дополнительными фактами. Существует вероятность, что аналитик по
лучит отзывы, которые лишь отражают желания отдельных лиц, а не общую точку зрения, имеющуюся в
существующей практике. Для того чтобы опросить специалистов и руководителей в сфере здравоох
ранения с целью получить разностороннее представление о вопросе, нужно время.
Целью анализа пробелов является предоставление первоначальных рекомендаций для требуе
мых улучшений, до получения подробной оценки рисков (см. 6.4.5.1) и обработки рисков (см. 6.4.5.2).
Кроме того, анализ пробелов может предложить первоначальный порядок очередности для таких улуч
шений.
10