• Обеспечение информационной безопасности требует всестороннего изучения и понимания.
• Специалисты могут использовать нормативно-правовые акты, отраслевые стандарты, научную литературу и материалы сети Интернет.
• Важно взаимодействие с экспертными сообществами, государственными органами и профильными ассоциациями.
• Создание внутренней базы знаний для специалистов по информационной безопасности.
Управленческий анализ
• Руководство компании обязано регулярно проводить анализ эффективности процессов обеспечения информационной безопасности.
• Анализ проводится после значительных изменений во внешней или внутренней среде.
• Результаты анализа и принимаемые решения подлежат документированию.
• Ключевые вопросы: изменение факторов, актуальность целей, соответствие политики и стратегии, эффективность стратегии.
• Оценка эффективности включает комплексный подход, включая экономическую целесообразность и функционирование системы управления.
Корректирующие меры
• Результаты анализа используются для разработки и реализации корректирующих действий.
• Возможные меры: изменение целей, стратегии, концепции, адаптация организационной структуры, внесение изменений в бизнес-процессы и ИТ-инфраструктуру, отказ от отдельных процессов или их передача на аутсорсинг.
• При масштабных изменениях осуществляется переход к этапу планирования для продолжения развития системы информационной безопасности.
Подробнее читайте в нашей Базе знаний по ИБ