ГОСТР ИСО 27799—2015
Планы по будущему внедрению должны быть отражены в плане по улучшению защиты организа
ции.
6.4.6 Планирование улучшения защиты
Полномочия по плану улучшения защиты по поручению ISMF должны получить лица, ответствен
ные за защиту информации организации, лица, ответственные за защиту данных, специалисты по
управлению рисками, или аналогичные ответственные лица организации.
Часто выполненные в формате диаграммы Гантта, планы должны быть доступны для персонала
медицинского учреждения и других сотрудников, так как они. как правило, но являются конфиденци
альным документом. На самом деле, они часто могут быть полезны для демонстрации прогресса и
улучшения процесса.
Такие планы будут наиболее эффективны при сведении к минимуму перерывов в работе, если
они объединяют внесение улучшений в обеспечение защиты информации с планируемыми измене
ниями в IT-средствах и предоставлением медицинских услуг. Они также должны отражать признанные
периоды необычной активности в здравоохранении, такие как поступление новой группы врачей-интер-
нов или студентов-практикантов.
6.4.7 Заявление о применимости
Заявление о применимости можно рассматривать как краткий обзор состояния защиты инфор
мации в организации, трактовки организацией требований защиты и ее стратегии для реализации ре
шений в области защиты. Этот документ ведется лицом, ответственным за защиту информации, или
аналогичным ответственным лицом по поручению ISMF, и он должен быть предоставлен службам по
управлению организацией и клинической практикой с целью формирования основной части пакета до
кументов по управлению. Также его формат, как правило, подходит для использования в качестве ин
струмента для оценки или подтверждения для поддержки внешнего аудита, клинического обеспечения и
других надзорных проверок.
6.4.8 Набор документов СМИБ
Модель СМИБ. указанная в 6.1, описывает требуемую документацию (см. рисунок 1). Основные
документы это:
a) политика компании в области защиты информации:
b
) описание области применения;
c) заявление о применимости;
d) перечень информационных активов и бизнес-активов, которые необходимо защищать;
e) планы и отчеты по оценке рисков:
0 принятые методики и стандарты:
д) соглашения, основанные на договорах (включая соглашение о качестве предоставляемых ус
луг и соглашение о допустимом использовании).
Кроме того, работа СМИБ и ее успехи в соответствии потребностям и приоритетам клинической
практики может значительно облегчиться, если эти приоритеты оформляются службами управления
клинической практики и компании, а затем хранятся СМИБ как часть набора документов. Затем этот
документ предоставляет вспомогательный материал для поддержки решений о принятии рисков, при
нятых СМИБ.
Приложение В содержит набор документов СМИБ и связанные с ним документы по различным
этапам создания или улучшения СМИБ.
6.4.9 Потенциальная возможность упрощения посредством использования инструментов
Процесс приведения в соответствие с ИСО/МЭК 27002 предполагает ряд этапов, в ходе которых
создается значительное количество информации и документации. Тем не менее, медицинские органи
зации существуют в изменчивой окружающей среде, в которой меняются риски и внедряются новые
элементы управления. Поэтому необходимо поддерживать общую целостность этой информации и до
кументации.
Кроме того, ступенчатый, составной, расширяющийся и цикличный характер задействованных
процессов свидетельствует о том. что информация неоднократно обрабатывается и повторно исполь
зуется в нескольких процессах, при этом результаты последнего процесса часто требуют внесения по
правок на более раннем этапе. Наконец, решения будут принимаются в свете целого ряда факторов,
которые требуют множества перекрестных ссылок.
Медицинские организации должны рассмотреть вопрос о применении инструментов для под
держки соответствия ИСО/МЭК 27002. Приложение С содержит подробное обсуждение потенциальной
пользы и необходимых атрибутов таких инструментов.
15