Цитата |
---|
Олег Кузьмин (Alkor) пишет: Вы совершенно справедливо заметили - стандарт не разъясняет |
Не усложняйте (и не запутывайте
chinga): там задача решаема, если tqm понимать.
Надо перестать видеть отдельные слова и посмотреть на весь 27001 сразу, в-целом.
Постарайтесь узреть в нем одно большое колесо pdca размером с весь документ. И оценивание эффективности это check руководством всей isms, которую организация планировала и внедряет. Это "по гамбургскому счету", а не в части какой-то отдельной защитной меры. И поэтому оцениваться деятельность в области иб должна не относительно денег, а относительно тех целей, которые менеджмент перед собой ставил. Причем деятельность организации в деле иб, а не деятельность отдела иб. Открывайте свое заявление руководства и смотрите, что в нем написано про то, зачем оно решило безопасностью заниматься - это и есть ваши глобальные метрики всея смиба. Например, "повышение доверия клиентов". Отлично: надо смотреть, стало ли их больше или стали ли они больше денег доверять. "Повышение конкурентоспособности наших сервисов" - стало ли меньше претензий на этой почве, переметываются ли из-за этого к Вам от конкурентов. И т.п. Если оценить не получается - пущай сначала commitment по-человечески напишут.
Это просто наводка.
Я не знаю, что конкретно у Вас провозглашено (и думал ли менеджмент, что говорит), но оцениваться должно приближение вон к тем мега-целям безопасности. Бизнесовым, а не бухгалтерским.
Поймите самое главное: review там завязан на establish. И то, что описано в качестве входов ривю, это не то, что оценивать, а то, с помощью чего оценивать. Материалы, как-то свидетельствующие о правильной динамике. Что надо оценивать - см. коммитмент.
з.ы. Ответ, конечно, более предназачается
chinga. Статью Вы и так напишете.