Тест Цель: Узнать о требованиях стандарта ISO 27001:2013, а также о том, насколько важно понимать, что является требованием стандарта, а что НЕТ. Задание : Учитываем только требования стандарта ISO/IEC 27001:2013, отметьте, являются ли следующие утверждения правдой. Поставьте галочку в полях ‘Да’ или ‘Нет’. Укажите соотв. пункт стандарта ISO 27001:2013, где необходимо
Утверждение
1
При определении области применения СМИБ, организация должна учесть внешние и внутренние факторы, влияющие на ее возможность достичь запланированных результатов ее СМИБ.
2
Пункт 9.2 «Внутренний аудит» позволяет проводить аудиты в различных департаментах/участках с любой периодичностью
3
Результаты анализа со стороны руководства должны быть документированы
4
Цели в области информационной безопасности должны быть измеримы и согласованы с политикой по информационной безопасности
5
Согласно пункту 5.3 требуется, чтобы для руководства были разработаны должностные инструкции
6
Политика информационной безопасности должна обязательно предоставляться заинтересованным сторонам.
7
Внутренние аудиторы ответственны за выполнение действий для устранения выявленных ими несоответствий
8
Персонал должен знать о возможных последствиях несоответствия требованиям СМИБ
9
Все риски в рамках организации, присущие ИБ, должны быть устранены
10
Заявление о применимости должно включать обоснование для исключения защитных мероприятий
11 12
13
14
Организация должна установить критерии приемлемости рисков Заявление о применимости не должно включать обоснования для включения защитных мероприятий Лица, выполняющие работу под управлением организации, должны быть осведомлены о последствиях несоответствия требованиям СМИБ. Организация должна установить лица, ответственные за внутреннюю коммуникацию.
верно
н/в
15
16 17
18
19
Коррекция разрабатывается с целью устранения причины несоответствия План по обработке рисков утверждается аудитором Необходимость назначения владельцев рисков определятся менеджером по безопасности При планировании внутреннего аудита не учитываются результаты предыдущих аудитов. При проведении мониторинга результатов деятельности по информационной безопасности необходимо планировать, когда будут анализироваться результаты.
20
Выходные данные высшего руководства должны документироваться
21
Результаты аудитов должны быть представлены высшему руководству.
22
Высшее руководство назначает ответственное лицо за отчетность о результатах функционирования СМИБ.
23
Любая информация внешнего происхождения должна быть идентифицирована.
24
Правила приемлемого использования активов, связанных с информацией, должны быть задокументированы.
25
Должны быть разработаны и задокументированы процедуры в защищенных зонах