CISM. Incident Management. Chapter Review

Переведено через Яндекс-Переводчик. Не пугайтесь :)

Управление инцидентами безопасности, планирование аварийного восстановления и планирование обеспечения непрерывности бизнеса - все это поддерживает центральную цель: устойчивость и быстрое восстановление при возникновении аварийных событий.

Инцидент безопасности - это событие, при котором конфиденциальность, целостность или доступность информации или информационных систем были или находятся под угрозой нарушения. Распространение подключенных устройств делает безопасность жизнедеятельности дополнительным фактором во многих организациях.

Этапы реагирования на инциденты включают планирование, обнаружение, инициирование, анализ, локализация, ликвидация, восстановление, восстановление, закрытие и анализ после инцидента. Планирование состоит из разработки политики реагирования на инциденты, ролей и обязанностей, процедур, а также тестирования и обучения.

CISM. Information Security Program. Chapter Review

Переведено через Яндекс-Переводчик. Не пугайтесь :)

Программа информационной безопасности состоит из мероприятий, используемых для выявления и устранения рисков. На тактическом и стратегическом уровнях все мероприятия в рамках программы выполняют эту цель. Программа обеспечения безопасности также основана на результатах; когда разрабатывается стратегия, целями стратегии являются желаемые конечные состояния или результаты. Задачи и проекты, выполняемые в рамках программы, приближают организацию к этим желаемым результатам.

Уставной документ определяет основные долгосрочные цели программы обеспечения безопасности, а также определяет роли и обязанности. Устав, как правило, будет определите объем программы — отделы, бизнес-подразделения и местоположения, которые будут подпадать под действие программы. Дорожная карта - это стратегический документ, в котором описываются шаги, которые необходимо предпринять для реализации ключевых целей.

CISM. Risk Management. Chapter Review

Переведено через Яндекс-Переводчик. Не пугайтесь :)

Управление рисками является основой программы информационной безопасности организации. Благодаря своим методам выявления рисков и понимания вероятности их возникновения и воздействия на организацию, управление рисками помогает организации расставлять приоритеты в отношении ограниченных ресурсов для наиболее эффективного снижения рисков. Правильное применение управления рисками помогает организации снизить частоту и влияние инцидентов безопасности за счет повышения устойчивости и подготовки.

При реализации программы управления рисками необходимо учитывать несколько характеристик организации, включая устойчивость к рискам, нормативные и юридические обязательства, структуру управления, поддержку исполнительного руководства и культуру.

Программа управления рисками должна включать несколько способов коммуникации, чтобы бизнес-лидеры и заинтересованные стороны понимали программу и то, как она интегрирована в организацию. Программа должна быть прозрачной в отношении ее процедур и практики.

CISM. Security Governance. Chapter Review

Переведено через Яндекс-Переводчик. Не пугайтесь :)

Управление информационной безопасностью - это нисходящее управление и контроль безопасности и управления рисками в организации. Управление обычно осуществляется через руководящий комитет, состоящий из руководителей со всей организации. Руководящий комитет отвечает за определение общего стратегического направления и политики, обеспечение соответствия стратегии безопасности ИТ- и бизнес-стратегии и целям организации. Пожелания руководящего комитета реализуются с помощью проектов и задач, которые направляют организацию безопасности к стратегическому цели. Руководящий комитет может отслеживать прогресс с помощью показателей и сбалансированной системы показателей.

Чтобы программа информационной безопасности была успешной, она должна соответствовать бизнесу и его общей миссии, целям и задачам, а также стратегии. Программа обеспечения безопасности должна учитывать представление организации о стоимости активов, культуре, терпимости/склонности к риску, юридических обязательствах и рыночных условиях. Успешная и согласованная программа обеспечения безопасности не руководит организацией, а позволяет и поддерживает ее в выполнении своей миссии и достижении своих целей.