Общий план работ и разрабатываемая документация

  • Предварительное определение области действия СМИБ в соответствии с требованиями ISO/IEC 27001:2013 (проведение анкетирования для локализации и выявления  наиболее критичных бизнес-процессов с точки зрения ИБ );
  • Заключение договора на разработку и внедрение СМИБ по ISO/IEC 27001:2013;
  • Ознакомление с документами по основной  деятельности ЗАКАЗЧИКА, в том числе со структурой управления, уставом, штатным расписанием, лицензиями, видами работ 
  • Определение области действия СМИБ и перечня документации, необходимой для  системы менеджмента информационной безопасности 
  • Составление программы по разработке, внедрению и сертификации системы менеджмента информационной безопасности
  • Разработка  документации СМИБ и организационно-распорядительной документации:
  • Методическая помощь в разработке организационно-распорядительной документации по внедрению и поддержанию в рабочем состоянии системы менеджмента качества:
-Приказ о создании СМИБ;
-Анализ Приложения А (Базовые цели и средства управления   ISO/IEC 27001:2013 на определение перечня необходимых документов в соответствии с фактической областью действия СМИБ);
Проекты Положений, Политик  СМИБ и консультирование по их внедрению:
- Политика информационной безопасности ( 5.2, 6.2)
- Политика управления доступом (А.9.1.1)
- Политика безопасности у поставщика (А.15.1.1)
 
  • Разработка документации СМИБ:
-СТП «Управление документацией»- Описание процессов «СМИБ процессов, функционирующих  в области действия сертификации »
-СТП «Внутренний аудит»
-Процедура по оценке и обработке рисков (СТП или SWOT-анализ)
-Отчет об оценке рисков
-План устранения рисков
-СТП  «Управление записями»
-СТП «Порядок и устранение неисправностей»
-СТП «Управление инцидентами»
-СТП «Контроль доступа»
-СТП «Персонал и СМИБ»
-СТП «Непрерывность бизнеса»
-СТП «Управление активами СМИБ»
-СТП «Соответствие законодательным  и договорным требованиям»
-СТП «Принципы инжиниринга безопасных систем»
-СТП «Безопасность информационных систем»
-СТП «Безопасность систем связи»
-СТП «Отношения с поставщиками»
-Руководство по СМИБ
риказы на введение в действие документов СМИБ
  • Оказание методической помощи в организации планирования обучения по требованиям СМК (план обучения);
  • Оказание методической помощи по унификации и упорядочению работы с должностными инструкциями персонала и Положениями о подразделениях (при необходимости) в части выполнения требований СМИБ;
  • Методическая помощь по созданию группы внутренних аудиторов Организации в соответствии с требованиями  ISO  IEC 27001:2013;
  • Совещание с высшим руководством Организации и группой аудиторов по требованиям и принципам проведения внутренних аудитов;
  • Методическая помощь в организации проведения внутренних аудитов;
  • Совместное проведение  внутреннего аудита СМИБ Организации  на соответствие требованиям МС ISO/IEC 27001:2013;
  • Методическая помощь в документальном оформлении результатов внутреннего аудита;
  • Совещание с высшим руководством Организации и группой аудиторов по результатам проведения внутреннего аудита;
  • Оказание методической помощи по составлению отчета(ов) по мониторингу и анализу информационной безопасности локализованных в области действия СМИБ процесса(ов)  ;
  • Оказание методической помощи по составлению отчета(ов) по анализу функционирования СМИБ  со стороны высшего руководства;
  • Оказание методической помощи по подаче документов на сертификацию;
  • Оказание методической помощи при проведении сертификационного аудита.

В зависимости от вида деятельности организации и локализации системы менеджмента информационной безопасности по её бизнесс-процессам перечень работ и разрабатываемых документов может быть изменён!