V
проблемы с ИБ какого плана? управления или технические?
Size: a a a
2019 July 03
AP
плюс 27001 в приложении, которое помогает реализовать комплексный подход, а если чего то забыли - GAP анализ по итогам внутреннего аудита и план работ формируется быстро и понятно. "минус" 27001 - он про управление, поэтому его не сильно любят "спецы" :)
Спасибо!
V
и про области - в редакции 2013 года области больше нет :) будьте добры оцените риски в соответствии с исо 31000 (тоже очень хороший пакет стандартов) и вот именно где болит туда 27001 и прикладывайте :)
AP
и про области - в редакции 2013 года области больше нет :) будьте добры оцените риски в соответствии с исо 31000 (тоже очень хороший пакет стандартов) и вот именно где болит туда 27001 и прикладывайте :)
Куда ж она денется, п.4.3 Determining the scope of the information security management system
AP
Причем обязательно документирован «The scope shall be available as documented information.»
AP
Кстати, 31000 такой занудный стандарт, прям печаль и боль. ;(((
V
Andrey Prozorov
Куда ж она денется, п.4.3 Determining the scope of the information security management system
спорить не буду, стандарта под рукой нет, а прогресс бар возврата в отрасль показывает 75%
EV
Сейчас активно готовимся к сертификации. Естественно не российского аналога, а нормального 27001 ну и 9001
(без него смысла нет, кмк).
Смущает кучу моментов, на которые не обращал внимание будучи аудитором.
Касаются они в основном верхеуровневых документов в которых требуется декларировать, по сути, лозунги. Это настолько далеко от ИБ, что становится грустно при работе над этими документами.
Не должно ли это быть за рамками сертификации? Как думаешь, Andrey ?
(без него смысла нет, кмк).
Смущает кучу моментов, на которые не обращал внимание будучи аудитором.
Касаются они в основном верхеуровневых документов в которых требуется декларировать, по сути, лозунги. Это настолько далеко от ИБ, что становится грустно при работе над этими документами.
Не должно ли это быть за рамками сертификации? Как думаешь, Andrey ?
MA
Сейчас активно готовимся к сертификации. Естественно не российского аналога, а нормального 27001 ну и 9001
(без него смысла нет, кмк).
Смущает кучу моментов, на которые не обращал внимание будучи аудитором.
Касаются они в основном верхеуровневых документов в которых требуется декларировать, по сути, лозунги. Это настолько далеко от ИБ, что становится грустно при работе над этими документами.
Не должно ли это быть за рамками сертификации? Как думаешь, Andrey ?
(без него смысла нет, кмк).
Смущает кучу моментов, на которые не обращал внимание будучи аудитором.
Касаются они в основном верхеуровневых документов в которых требуется декларировать, по сути, лозунги. Это настолько далеко от ИБ, что становится грустно при работе над этими документами.
Не должно ли это быть за рамками сертификации? Как думаешь, Andrey ?
Там английским по белому написано про management commitment, так что без лозунгов никуда.
AP
Там английским по белому написано про management commitment, так что без лозунгов никуда.
Даже не просто commitment, а «Leadership and commitment»
MA
Andrey Prozorov
Даже не просто commitment, а «Leadership and commitment»
Я по памяти. Но короче прямо первый раздел, про то что все понимают, принимают и подписываются кровью
AP
Сейчас активно готовимся к сертификации. Естественно не российского аналога, а нормального 27001 ну и 9001
(без него смысла нет, кмк).
Смущает кучу моментов, на которые не обращал внимание будучи аудитором.
Касаются они в основном верхеуровневых документов в которых требуется декларировать, по сути, лозунги. Это настолько далеко от ИБ, что становится грустно при работе над этими документами.
Не должно ли это быть за рамками сертификации? Как думаешь, Andrey ?
(без него смысла нет, кмк).
Смущает кучу моментов, на которые не обращал внимание будучи аудитором.
Касаются они в основном верхеуровневых документов в которых требуется декларировать, по сути, лозунги. Это настолько далеко от ИБ, что становится грустно при работе над этими документами.
Не должно ли это быть за рамками сертификации? Как думаешь, Andrey ?
Эээ, а где там много лозунгов? Они по сути же должны быть только в верхнеуровневой политике (1 страница) и в awareness материалах...
MA
А лучше в стратегию.
AP
Сейчас активно готовимся к сертификации. Естественно не российского аналога, а нормального 27001 ну и 9001
(без него смысла нет, кмк).
Смущает кучу моментов, на которые не обращал внимание будучи аудитором.
Касаются они в основном верхеуровневых документов в которых требуется декларировать, по сути, лозунги. Это настолько далеко от ИБ, что становится грустно при работе над этими документами.
Не должно ли это быть за рамками сертификации? Как думаешь, Andrey ?
(без него смысла нет, кмк).
Смущает кучу моментов, на которые не обращал внимание будучи аудитором.
Касаются они в основном верхеуровневых документов в которых требуется декларировать, по сути, лозунги. Это настолько далеко от ИБ, что становится грустно при работе над этими документами.
Не должно ли это быть за рамками сертификации? Как думаешь, Andrey ?
Кстати, внедрение и выравнивание с 9001, по опыту усложняет работу. Вы там держитесь!
AP
А лучше в стратегию.
Как вариант, но туда лучше всеж более конкретные вещи писать: цели, вехи на пути достижения и все такое...
EV
да не только в стратегии и политике... вообще достаточно много чего носит декларативный характер и больше про бизнес, чем про иб. Просто мне кажется, что можно было бы этот стандарт сделать более практическим. Всю воду, даже нужную - за скобки и просто ссылаться, если это необходимо.
Сейчас просто сидим на совещаниях вновь созданых комитетов и выдумываем пространные формулировки.
Сейчас просто сидим на совещаниях вновь созданых комитетов и выдумываем пространные формулировки.
V
вижу я проблему разделения управления и реализации здесь
AP
вижу я проблему разделения управления и реализации здесь
И тоже я
AP
да не только в стратегии и политике... вообще достаточно много чего носит декларативный характер и больше про бизнес, чем про иб. Просто мне кажется, что можно было бы этот стандарт сделать более практическим. Всю воду, даже нужную - за скобки и просто ссылаться, если это необходимо.
Сейчас просто сидим на совещаниях вновь созданых комитетов и выдумываем пространные формулировки.
Сейчас просто сидим на совещаниях вновь созданых комитетов и выдумываем пространные формулировки.
27001 он именно менеджерский... хотите Технический - берите CIS
AP
да не только в стратегии и политике... вообще достаточно много чего носит декларативный характер и больше про бизнес, чем про иб. Просто мне кажется, что можно было бы этот стандарт сделать более практическим. Всю воду, даже нужную - за скобки и просто ссылаться, если это необходимо.
Сейчас просто сидим на совещаниях вновь созданых комитетов и выдумываем пространные формулировки.
Сейчас просто сидим на совещаниях вновь созданых комитетов и выдумываем пространные формулировки.
Ну, ещё раз, по моему опыту деклараций не так уж и много: принципы и верхнеуровневые цели ИБ. Все остальное довольно конкретное.