документированной информации как свидетельства о программе аудита и результатах аудита.
Анализ со стороны руководства
Высшее руководство должно анализировать СУИБ организации через запланированные интервалы времени для обеспечения ее постоянной пригодности, адекватности и результативности.
Анализ со стороны руководства должен включать следующее:
– статус действий по результатам предыдущих анализов со стороны руководства;
– изменения внешних и внутренних аспектов, которые имеют отношение к СУИБ;
– обратную связь о состоянии ИБ, включая:
• несоответствия и корректирующие действия;
• результаты мониторинга и измерений;
• результаты аудита;
• результат достижения целей ИБ;
– обратную связь от заинтересованных сторон;
– результаты оценки рисков и статус выполнения плана по обработке рисков;
– возможности для постоянного улучшения.
Выводы анализа со стороны руководства должны включать решения, связанные с реализацией возможностей постоянного улучшения, и любые необходимые изменения в СУИБ.
Организация должна сохранять документированную информацию в качестве свидетельства о результатах анализа со стороны руководства.
10. Улучшение (4-й этап «РDСА»)
Этап улучшения СУИБ обеспечивают следующие мероприятия:
– корректирующие действия;
– постоянное улучшение.
Корректирующие действия
При появлении несоответствия организация должна:
– реагировать на несоответствие и в зависимости от обстоятельств принять меры по его управлению и исправлению или проработать последствие;
– оценить необходимость принятия действий для устранения причин несоответствия с целью предотвращения его повторения или появления в другом месте, для этого:
• изучить несоответствие;
• определить причину несоответствия;
• определить, существуют ли подобные несоответствия или потенциальные возможности их возникновения;
– реализовать любые необходимые корректирующие действия;
– проанализировать результативность выполненных корректирующих действий;
– при необходимости внести изменения в СУИБ.
Корректирующие действия должны быть адекватными последствиям выявленных несоответствий. Организация должна сохранять документированную информацию как свидетельства о:
– характере несоответствий;
– любых корректирующих действиях;
– результатах корректирующих действий.
Постоянное улучшение
Организация должна постоянно улучшать пригодность, адекватность и результативность
