Цель
Цель — уполномочить соответствующих лиц периодически выполнять оценку рисков ИБ с целью определения уязвимостей и их последующего устранения.
Область действия
Область действия. Оценка рисков ИБ может проводиться любым уполномоченным лицом в пределах Организации или любым внешним уполномоченным лицом, которое подписало соглашение с третьими лицами Организации. Оценка рисков ИБ может проводиться для любой ИС и интранет в целом, включая приложения, серверы, подсети, а также любой процесс пли процедуру, с помощью которого эта система управляется и/или поддерживается.
Основные положения
Основные положения. За разработку, развитие и реализацию программ устранения обнаруженных уязвимостей несут совместную ответственность уполномоченные лица и отдел-владелец оцениваемой системы. Ожидается, что сотрудники будут помогать оценке рисков ИБ, проводимой для систем, за которые они ответственны. Также ожидается, что сотрудники будут работать с уполномоченной группой оценки рисков ИБ по развитию плана устранения уязвимостей.
Процесс оценки рисков ИБ. Дается описание процесса или приводится ссылка на источник информации, содержащий такое описание.
Ответственность
Ответственность. Любой сотрудник, нарушивший политику, может быть привлечен к дисциплинарному наказанию, вплоть до увольнения с работы.
Определение
Определение. Уполномоченное лицо — любой сотрудник, отдел, группа лиц или третье лицо, внутри или вне Организации, ответственное за поддержание активов Организации.