Заглавная страница Избранные статьи Случайная статья Познавательные статьи Новые добавления Обратная связь КАТЕГОРИИ: АрхеологияБиология Генетика География Информатика История Логика Маркетинг Математика Менеджмент Механика Педагогика Религия Социология Технологии Физика Философия Финансы Химия Экология ТОП 10 на сайте Приготовление дезинфицирующих растворов различной концентрацииТехника нижней прямой подачи мяча. Франко-прусская война (причины и последствия) Организация работы процедурного кабинета Смысловое и механическое запоминание, их место и роль в усвоении знаний Коммуникативные барьеры и пути их преодоления Обработка изделий медицинского назначения многократного применения Образцы текста публицистического стиля Четыре типа изменения баланса Задачи с ответами для Всероссийской олимпиады по праву Мы поможем в написании ваших работ! ЗНАЕТЕ ЛИ ВЫ?
Влияние общества на человека
Приготовление дезинфицирующих растворов различной концентрации Практические работы по географии для 6 класса Организация работы процедурного кабинета Изменения в неживой природе осенью Уборка процедурного кабинета Сольфеджио. Все правила по сольфеджио Балочные системы. Определение реакций опор и моментов защемления |
Идентификация и классификация информационных активов
Поставщику услуг следует: а) поддерживать в актуальном состоянии инвентаризационные данные об информационных активах (например, о компьютерах, средствах связи, окружающем оборудовании, документации и другой информации), необходимых для предоставления услуг; б) классифицировать каждый актив в соответствии с его критичностью для предоставления услуги и в соответствии с требуемым уровнем защиты, а также назначать владельца, несущего ответственность за обеспечение этой защиты; в) ответственность за защиту информационного актива следует возложить на владельца этого актива. При необходимости владелец информационного актива может делегировать ежедневные полномочия в области управления информационной безопасностью.
Меры по оценке рисков в области безопасности
Оценка рисков в области безопасности должна: а) проводиться с согласованной периодичностью; б) регистрироваться; в) актуализироваться при изменениях (потребностей бизнеса, процессов и конфигураций); г) способствовать пониманию того, что может повлиять на услугу, находящуюся под управлением; д) предоставлять информацию для принятия решений о том, какие виды контроля необходимо использовать.
Риски, связанные с информационными активами
Риски, связанные с информационными активами, следует оценивать с учетом: а) их природы (например, сбой программного обеспечения, ошибки функционирования, отказ средств связи и др.); б) вероятности; в) потенциального влияния на бизнес потребителя услуг; г) накопленного опыта.
Безопасность и доступность информации
При оценке рисков особое внимание следует уделить следующим вопросам: а) предотвращению возможности получения конфиденциальной информации сторонами, не имеющими к ней допуска; б) неточности, неполноте или недостоверности (например, фальсификации) информации; в) недоступности информации для использования (например, из-за нарушения энергоснабжения); г) физическому повреждению или уничтожению оборудования, необходимого для предоставления услуг. Также необходимо учесть цели политики обеспечения информационной безопасности, необходимость выполнения специфицированных требований потребителя услуг к информационной безопасности (например, к уровню доступности информации) и установленные или регулирующие требования по обеспечению информационной безопасности.
Средства контроля
Дополнительно к другим средствам контроля, применение которых может быть оправдано, и к советам, содержащимся в других разделах ГОСТ Р ИСО/МЭК 20000-2 (например, в разделе о непрерывности услуг), поставщику услуг в качестве хорошей практики управления информационной безопасностью следует применять следующее: а) высшему руководству необходимо определить свою политику по обеспечению информационной безопасности, довести ее до сведения персонала и до потребителей услуг и осуществлять деятельность, гарантирующую ее эффективное выполнение; б) роли и ответственности в управлении информационной безопасностью должны быть определены и распределены между соответствующими сотрудниками поставщика услуг; в) группа ответственных представителей руководства (роль может быть закреплена за сотрудником, исполняющим роль ответственного руководителя) должна осуществлять мониторинг и поддерживать эффективность политики обеспечения информационной безопасности; г) персонал, исполняющий важные роли по обеспечению информационной безопасности, должен проходить соответствующую подготовку; д) весь персонал должен быть ознакомлен с политикой обеспечения информационной безопасности; е) для оценки рисков и внедрения средств контроля информационной безопасности должна быть предусмотрена возможность привлечения экспертов; ж) эффективность работы средств контроля информационной безопасности не должна понижаться при проведении каких-либо изменений; з) об инцидентах в сфере информационной безопасности должно быть сообщено согласно процедурам управления инцидентами, а также должен быть инициирован ответ.
Документы и записи
Записи по обеспечению информационной безопасности следует периодически анализировать для предоставления руководству следующих сведений: а) об эффективности политики по информационной безопасности; б) о выявленных тенденциях в части инцидентов в области информационной безопасности;
в) об исходной информации для актуализации плана улучшения услуг; г) о контроле доступа к информации, активам и устройствам. Система управления информационной безопасностью, должна быть корректно документирована.
Процессы отношений
Общие сведения
Процессы отношений описывают два взаимозависимых аспекта – управление отношениями с потребителями и управление подрядчиками. Настоящий стандарт адресован поставщику услуг, который логически исполняет роль связующего звена между подрядчиками, поставляющими продукцию или услуги этому поставщику услуг, и потребителем, который получает услуги. Как подрядчики, так и потребитель могут быть внешними или внутренними для организации поставщика услуг. Внешние взаимоотношения необходимо формализовать посредством заключения договоров. Внутренние взаимоотношения необходимо формализовать с помощью внутренних соглашений об услугах, более низкого уровня, чем Соглашения об уровне услуг. Такие соглашения более низкого уровня часто называют операционными соглашениями об уровне услуг. На рисунке 2 приведена упрощенная схема описанных выше взаимоотношений. Рисунок 2. Процессы отношений.
Как показано на рисунке 2, поставщик услуг исполняет роль в цепи поставок, где каждое звено цепи должно увеличивать выгоду, в которой он получает услуги или товары от подрядчика и поставляет усовершенствованные услуги потребителю. В качестве пояснения, в рамках настоящего раздела термин «поставщик услуг» всегда используется для обозначения организации, к которой применяется данный документ, независимо от её роли или положения в цепи поставок в рамках описанного выше процесса. На практике взаимоотношения редко бывают настолько простыми, и, как правило, включают в себя большое количество разнообразных участников, исполняющих роли, как подрядчиков, так и потребителей, имеющих между собой как непосредственные взаимосвязи, так и связи через поставщика услуг. Процессы отношений должны обеспечить, что все стороны: а) понимают потребности бизнеса и соответствуют им; б) понимают существующие возможности и ограничения; в) понимают обязательства и ответственность. Процессы отношений должны также обеспечить, что удовлетворенность потребителей услуг находится на должном уровне и что прогнозируемые в будущем потребности бизнеса обсуждены и понимаемы. В организации следует определить и согласовать область применения, роли и ответственность в части взаимоотношений поставщика услуг с потребителями и подрядчиками. Это должно включать определение всех заинтересованных сторон, контактную информацию и способы связи, а также частоту обмена информацией.
|
||||||
Последнее изменение этой страницы: 2016-04-07; просмотров: 570; Нарушение авторского права страницы; Мы поможем в написании вашей работы! infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 18.188.152.162 (0.007 с.) |