- Предварительное определение области действия СМИБ в соответствии с требованиями ISO/IEC 27001:2013 (проведение анкетирования для локализации и выявления наиболее критичных бизнес-процессов с точки зрения ИБ );
- Заключение договора на разработку и внедрение СМИБ по ISO/IEC 27001:2013;
- Ознакомление с документами по основной деятельности ЗАКАЗЧИКА, в том числе со структурой управления, уставом, штатным расписанием, лицензиями, видами работ
- Определение области действия СМИБ и перечня документации, необходимой для системы менеджмента информационной безопасности
- Составление программы по разработке, внедрению и сертификации системы менеджмента информационной безопасности
- Разработка документации СМИБ и организационно-распорядительной документации:
- Методическая помощь в разработке организационно-распорядительной документации по внедрению и поддержанию в рабочем состоянии системы менеджмента качества:
-Приказ о создании СМИБ;
-Анализ Приложения А (Базовые цели и средства управления ISO/IEC 27001:2013 на определение перечня необходимых документов в соответствии с фактической областью действия СМИБ);
-Анализ Приложения А (Базовые цели и средства управления ISO/IEC 27001:2013 на определение перечня необходимых документов в соответствии с фактической областью действия СМИБ);
Проекты Положений, Политик СМИБ и консультирование по их внедрению:
- Политика информационной безопасности ( 5.2, 6.2)
- Политика управления доступом (А.9.1.1)
- Политика безопасности у поставщика (А.15.1.1)
-
Разработка документации СМИБ:
-СТП «Управление документацией»- Описание процессов «СМИБ процессов, функционирующих в области действия сертификации »
-СТП «Внутренний аудит»
-Процедура по оценке и обработке рисков (СТП или SWOT-анализ)
-Отчет об оценке рисков
-План устранения рисков
-СТП «Управление записями»
-СТП «Порядок и устранение неисправностей»
-СТП «Управление инцидентами»
-СТП «Контроль доступа»
-СТП «Персонал и СМИБ»
-СТП «Непрерывность бизнеса»
-СТП «Управление активами СМИБ»
-СТП «Соответствие законодательным и договорным требованиям»
-СТП «Принципы инжиниринга безопасных систем»
-СТП «Безопасность информационных систем»
-СТП «Безопасность систем связи»
-СТП «Отношения с поставщиками»
-Руководство по СМИБ
-Процедура по оценке и обработке рисков (СТП или SWOT-анализ)
-Отчет об оценке рисков
-План устранения рисков
-СТП «Управление записями»
-СТП «Порядок и устранение неисправностей»
-СТП «Управление инцидентами»
-СТП «Контроль доступа»
-СТП «Персонал и СМИБ»
-СТП «Непрерывность бизнеса»
-СТП «Управление активами СМИБ»
-СТП «Соответствие законодательным и договорным требованиям»
-СТП «Принципы инжиниринга безопасных систем»
-СТП «Безопасность информационных систем»
-СТП «Безопасность систем связи»
-СТП «Отношения с поставщиками»
-Руководство по СМИБ
-Приказы на введение в действие документов СМИБ
- Оказание методической помощи в организации планирования обучения по требованиям СМК (план обучения);
- Оказание методической помощи по унификации и упорядочению работы с должностными инструкциями персонала и Положениями о подразделениях (при необходимости) в части выполнения требований СМИБ;
- Методическая помощь по созданию группы внутренних аудиторов Организации в соответствии с требованиями ISO IEC 27001:2013;
- Совещание с высшим руководством Организации и группой аудиторов по требованиям и принципам проведения внутренних аудитов;
- Методическая помощь в организации проведения внутренних аудитов;
- Совместное проведение внутреннего аудита СМИБ Организации на соответствие требованиям МС ISO/IEC 27001:2013;
- Методическая помощь в документальном оформлении результатов внутреннего аудита;
- Совещание с высшим руководством Организации и группой аудиторов по результатам проведения внутреннего аудита;
- Оказание методической помощи по составлению отчета(ов) по мониторингу и анализу информационной безопасности локализованных в области действия СМИБ процесса(ов) ;
- Оказание методической помощи по составлению отчета(ов) по анализу функционирования СМИБ со стороны высшего руководства;
- Оказание методической помощи по подаче документов на сертификацию;
- Оказание методической помощи при проведении сертификационного аудита.
В зависимости от вида деятельности организации и локализации системы менеджмента информационной безопасности по её бизнесс-процессам перечень работ и разрабатываемых документов может быть изменён!