Обеспечение информационной безопасности бизнеса | страница 69

На первую страницу

Рис. 24 иллюстрирует возможную организацию реализации процессов СМИБ при двухуровневой организации деятельности компании. Каждый из уровней управления должен поддерживать отвечающие его функциям процессы СМИБ, соответствующие сферам ответственности правам и обязанностям каждого из уровней управления.

В приведенном примере для процессов планирования работ, принятия решений о целях и задачах СМИБ, владельцами будут сотрудники головной организации компании, а исполнительская и первичная контрольные виды деятельности будут реализованы на уровне подчиненного подразделения. Общий (итоговый) контроль, конечно же, ляжет на корпоративный центр. Процессы совершенствования деятельности в такой организации деятельности должны иметь критерии тактических (в рамках полномочий руководства подчиненных подразделений) и стратегических (компетенция принятия решений за головной организацией) решений.

Реализация других системы менеджмента в рамках компании будет подразумевать подобную организацию и реализацию процессов деятельность, так как будет осуществлена в той же системе внутрикорпоративных правил.

Важнейшая роль руководства (высшего руководства) организации с точки зрения эффекта внедрения и результатов внедрения любых стандартов менеджмента отмечается практически во всех стандартах.

Например, в ISO/IEC 27001 [11]:

«Руководство должно предоставлять свидетельства исполнения своих обязательств по установлению, реализации, приведению в действие, мониторингу, проверке, поддержке и совершенствованию системы менеджмента информационной безопасности путем:

а) установления политики системы менеджмента информационной безопасности;

б) обеспечения установления целей системы менеджмента информационной безопасности и планов;

в) установления ролей и обязанностей, связанных с информационной безопасностью;

г) доведения до персонала организации о важности выполнения целей информационной безопасности и соблюдения политики информационной безопасности, об обязанностях в соответствии с законом и о потребности в постоянном совершенствовании;

д) предоставления достаточных ресурсов для установления, реализации, приведения в действие, мониторинга, проверки, поддержки и совершенствования системы менеджмента информационной безопасности;

е) вынесения решения о критериях принятия риска и приемлемых уровнях риска;

ж) обеспечения проведения внутренних аудитов системы менеджмента информационной безопасности;

з) осуществления проводимых руководством проверок системы менеджмента информационной безопасности».

Книги, похожие на Обеспечение информационной безопасности бизнеса
Компьютерра, 2005 № 47-48 (619-620) - Журнал «Компьютерра»
Газеты и журналы
Обеспечение информационной безопасности бизнеса - Владимир Васильевич Андрианов, Сергей Львович Зефиров
Компьютерра PDA N102 (12.03.2011-18.03.2011) - Журнал «Компьютерра»
Газеты и журналы
Обеспечение информационной безопасности бизнеса - Владимир Васильевич Андрианов, Сергей Львович Зефиров
Компьютерра PDA N104 (26.03.2011-01.04.2011) - Журнал «Компьютерра»
Газеты и журналы
Обеспечение информационной безопасности бизнеса - Владимир Васильевич Андрианов, Сергей Львович Зефиров
Компьютерра PDA N180 (30.06.2012-06.07.2012) - Журнал «Компьютерра»
Газеты и журналы
Обеспечение информационной безопасности бизнеса - Владимир Васильевич Андрианов, Сергей Львович Зефиров