Professional Documents
Culture Documents
ვერსია 1.0
1. გავრცელების სფერო
2. ნორმატიული დოკუმენტები
3. ტერმინები და განმარტებები
3.1
მონაცემები
ძირათად საზომთან, წარმოებულ საზომთან ან/და მაჩვენებლის განსაზღვისთვის საჭირო
მონაცემთა ერთობლიობა
3.2
გადაწყვეტილება კრიტერიუმები
სამომავლო მოქმედების აუცილობლობის დადგენისათვის ან მირებული შედეგების სანდოობაში
დარწმუნების მიზნით გამოყებული ნიმუშები, მოდელები
დონეს მოცემულ შედეგი
3.3
წარმოებულ საზომი
ორი ან მეტი ძირათად საზომის მნიშვნელობის ფუნაციისგან მიღებული შეფასება
3.4
მაჩვებელი
საჭირო ინფორმაცის გათვალისწინებით, ანალიტიკური მოდელიდან მიღებული სპეციფიური
ატრიბუტის მიახლოებით შეფასების ან მიახლოებითი მნიშვნელობის საზომი
3.5
საჭირო ინფორმაცია
ცოდნა რომლიც საჭიროა რათა ვმართოთ მიზნები, ამოცანები, რისკები და პრობლემები
3.6
შეფასების შედეგები
ერთი ან მეტი ინდიკატორი, რომელიც მიესადაგება ინფორმაციულ საჭიროებას, და მათი აღწერა.
3.7
ობიექტი
3.8
შკალა
ატრიბუტის შესაბამის მნიშვნელობათა დალაგებული ერთობლიობა, უწყვეტი ან დისკრეტული,
ან კატეგორიათა ჩამონათვალი.
შენიშვნა: შკალის ტიპი განისაზღვრება შკალის მნიშვნელობებს შორის დამოკიდებულების
ბუნებით. ზოგადად მიღებულია ოთხი ტიპის შკალა:
ნომინალური: შეფასების მნიშვნელობები არის კატეგორიები;
რიგითი: შეფასების მნიშვნელობები წარმოადგენს რანგირებას;
ინტერვალი: ატრიბუტის მნიშვნელობების შესაბამისად შეფასების მნიშვნელობებს აქვთ
თანაბარი მანძილები;
შეფარდება: ატრიბუტის მნიშვნელობების შესაბამისად შეფასების მნიშვნელობებს აქვთ თანაბარი
მანძილები, სადაც ნულოვანი მნიშვნელობა შეესაბამება არტიბუტის არქონას.
ეს არის მხოლოდ მაგალითები.
3.9
შეფასების ერთეული
გარკვეული მნიშვნელობა, რომელიც განისაზღვრება შეთანხმებისამებრ, და რომელთანაც ხდება
იგივე ბუნების მქონე მნიშვნელობების შედარება ამ მნიშვნელობასთან სიახლოვის მიზნით
3.10
დადასტურება
ობიექტური მტკიცებულების წარდგენით დამტკიცება იმისა რომ გარკვეული მოთხოვნები
დაკმაყოფილდა.
4.2.1 ზ) რისკების
4.2.1 ე) 2) შეფასდეს
დამუშავებსითვის კონტროლის
უსაფრთხოების ხდომილების
მიზნების და კონტროლების 4.2.4 ა)აღმოჩცეილი
რეალური ალბათობა ძირითადი
შერჩევა. რისკების შეფასების და გაუმჯობესებების დანერგვა იუმს-
საფრთხეების და სისუსტეების,
რისკების დაუშაების პროცესის ში
აქტივებზე მათი გავლენის
თანახმად ნუდა შეირჩეს და
ჭრილში, აგრეთვე მიმდინარე
დაინერგოს კონტროლის
კოტროლების ეფექტიანობა
მიზნებიდ ა კონტროლები.
კეთება შემოწმება
5.4.1 მიმოხილვა
ინფორმაციული საჭიროებები
ინფორმაციული
უსაფრთხოების მართვის
პროცესები
კონტროლების მიზნები
ეფექტიანობა შეფასების შედეგები
კონტროლები
დანერგვის პროცესები,
პროცედურები
ატრიბუტი გამოყვანილი
საზომი
ატრიბუტი
ანალიტიკური მოდელი
შეფასების ფუნქცია
შეფასება
შეფასების ობიქეტი (ო) ატრიბუტი (ა) შეფასების მეთოდი (მ) ძირითადი საზომი (ძ)
კონტროლი 1
მ.1 დღემდე დაგეგმილი
ო.1.1 ინფორმაციული ა.1.1 გეგმით დასატრენიგებელი ძ.1 დღემდე დაგეგმილი
უსაფრთხოების ცნობადობის გათვალისწინებული პერსონალის ხელმოწერა დასატრენინგებელი
ტრენინგის გეგმა პერსონალი (ა.2.1) და ტრენნის პერსონალი (ა.2.1, ა.1.1)
დასრულება (ა.1.1)
კონტროლი 2
ა.2.2 შეთანხმებების
მ.4 შეთანხმებებზე ხელის
ო.2.2 პერსონალი, რომელმაც ხელმოწერასთან ძ.4 პერსონალი, ვინც დღემდე
მომწერი პერსონალის
ხელი მოაწერა მიმართებაში პერსონალის ხელი მოაწერა (ა.2.2)
რაოდენობის დათვლა (ა.2.2)
სტატუსი
Phase
წარმოებული საზომი არის ორი ან მეტი ძირითადი საზომის კომბინაცია. მოცემული ძირითადი
საზომი შეიძლება გამოიყენებოდეს როგორც რამოდენიმე წარმოებული საზომის შემავალი
რესურსი.გაზომვის ფუნქცია არის გარკვეული გამოთვლის მეთოდი, რომელიც ძირითად
საზომებს გამოიყენებს წარმოებული საზომის მისაღებად. წარმოებული საზომის მასშტაბი და
საზომი ერთეული დამოკიდებულია ძირითადი საზომების მასშტაბზე და საზომ ერთეულზე,
რომელიც მის შემადგელობაში შედის, აგრეთვე ამ საზომების გამოყენების ხერხზე. გაზომვის
ფუნქცია შეიძლება მოიცავდეს სხვადასხვა ტექნიკას, როგორიცაა ძირითადი საზომების
გასაშუალოება, წონის გამოყენება, ან ხარისხობრივი კოეფიციენტების მინიჭება. გაზომვის
ფუნქცია შეიძლება აერთიანებდეს ძირითად საზომებს სხვადასხვა მასშტაბით, როგორიცაა
პირდაპირ
ანალიტიკურ
ძ.1 დღემდე მოდელში
დაგეგმილი (იხ.ცხრილი 3)
პერსონალი (ა.2.1, ა.1.1)
ფ.2 დღემდე
ხელმოწერის წ.2
ძ.3 პერსონალი, მქონე ხელმოწერილებ
რომელმაც დღემდე პერსონალის და ის პროგრესი
უნდა მოაწეროს ხელი ხელმოსაწერად დღემდე (ძ.4,
ა.2.1) დაგეგმილი ძ.3)
პერსონალის
შეფარდება
ანალიტიკური მოდელი
წარმოებული საზომი (წ) ინდიკატორი (ი)
(ამ)
გ.2
ხელმოწერილების ი.2 ტენდენცია (ი.1
ამ.2 ი.1-ის შედარება ი.1-ის
პროგრესი დღემდე და ი.1-ს წინა
წინა მნიშვნელობებთან.
(ძ.4, ძ.3) მნიშვნელობები)
Phase
გადაწყვეტილების მიღების
ინდიკატორი (ი) შეფასების შედეგები
კრიტერიუმები (გკ)
ი.1-ის ინტერპრეტაცია:
ორგანიზაციული უსაფრთხოების
ცნობადობის პოლიტიკასთან
გკ.1 შედაგად მიღებული შესაბამისობა მიღწეულ იქნა
შეფარდებები (ი.1-გ.1/ძ.1, გ.2) დამაკმაყოფილებელი შედეგით თუ:
ი.1 უნდა ხვდებოდეს 0.9<=გ.1/ძ.1<=1.1 და 0.99<=გ.2<=1.01
თანაფარდობებით შესაბამისად 0.9-11 და 0.99-
გამოსახული 1.01 ინტერვალებში ორგანიზაციის კრიტერიუმები არ
სტატუსი (გ.1/ კონტროლის მიზნის მიიღწევა დამაკმაყოფილებლად,
ძ.1*100, გ.2) მისაღწევად; წინააღმდეგ როცა [გ.1/ძ.1<0.9 ან გ.1/ძ.1>1.1] და
შემთხვევასი საჭიროა 0.99<=გ.2<=1.01
მენეჯმენტის ჩარევა.
ორგანიზაციის კრიტერიუმები არ
მიღწევა, როდესაც გ.2<0.99 ან
გ.2>1.01
ინფორმაცია მოგვცეს
6 მენეჯმენტის პასუხისმგებლობა
6.1 მიმოხილვა
7.1 შესავალი
უნდა შეირჩეს მხოლოდ ძირითადი საზომის შესაბამისი ატრიბუტები. მიუხედავად იმისა, რომ
ატრიბუტების შერჩევა უნდა ითვალისწინებდეს ატრიბუტების შეფასების სირთულის ხარისხს,
ეს არ უნდა ხორციელდებოდეს მხოლოდ ადვილად მოპოვებად მონაცემებზე ან ატრიბუტებზე.
7.5.1 მიმოხილვა
7.5.6 ინდიკატორები
8 შეფასება
8.1 მიმოხილვა
9.1 მიმოხილვა
10.1 მიმოხილვა
დანართები
დანართი ა წარმოადგენს ინფორმაციული უსაფრთხოების შესაფასების სტრუქტურული
მოდელის მაგალითს, რაც მოიცავს ყველა იმ კომპონენტს, რაც აღწერილია პუნქტში 5.4.
დანართი ბ
(ინფორმაციისათვის)
სარჩევი
ბ. 1. იუმს ტრენინგი
ბ. 1.1 იუმს-ში დატრენინგებული პერსონალი
შეფასების კონსტრუქციის დადგენა
შეფასების კონსტრუქციის სახელწოდება იუმს-ში დატრენინგებული თანამშრომლები
უნიკალური იდენტიფიცირება ორგანიზაციისთვის სპეციფიკური
შეფასების სტრუქტურული მოდელის დადგინდეს კონტროლის შესაბამისობა
დანიშნულება ორგანიზაციის ინფორმაციული უსაფრთხოების
პოლიტიკასთან
კონტროლის/პროცესის მიზანი/ობიექტი [27001:2005] პუნქტი 5.2.2. ტრენინგი,
შკალა ციფრული
სიხშირე/პერიოდი
ბ. 2. პაროლების პოლიტიკები
ინდიკატორის სპეციფიკაცია
ა) ორგანიზაციულ პოლიტიკასთან შესაბამისობაში
მყოფი პაროლების შეფარდება
ინდიკატორი
ბ) პაროლების პოლიტიკასთან შესაბამისობის ტენდენცია
ბ.4.1. ეფექტიანობა
შეფასების სტრუქტურული მოდელის იდენტიფიკაცია
შეფასების სტრუქტურული მოდელის ინფრომაციული უსაფრთხოების ინციდენტების
სახელწოდება მართვის ეფექტიანობა
ნომრით იდენტიფიკატორი ორგანიზაციიდან გამომდინარე
შეფასების სტრუქტურული მოდელის იფნრომაციული უსაფრთხოების ინციდენტების
დანიშნულება მართვის ეფექტიანობის შეფასება
უსაფრთხოების მოვლენების დროული აღმოჩენა და
კონტროლის/პროცესის მიზანი
უსაფრთხოების ინციდენტების მოგვარება.
კონტროლი (1)/პროცესი (1) პუნქტი 4.2.2 თ)
შეფასების ობიექტი და ატრიბუტები
შეფასების ობიექტი იუმს
ატრიბუტი ყოველი ინციდენტი
ძირითადი საზომის სპეციფიკაცია (ყოველი ძირითადი საზომისთვია [1..n])
ძირითადი საზომი წინასწარ განსაზღვრული ზღვრული რაოდენობა
დღეისთვის აღმოჩენილი ინფორმაციული
შეფასების მეთოდი
უსაფრთხოების ინციდენტების რაოდენობა
შეფასების მეთოდის ტიპი ობიექტური
შკალა რაოდენობრივი
შკალის ტიპი რიგითი
საზომი ერთეული ინციდენტი
გამოყვანილი საზომის სპეციფიკაცია
გამოყვანილი საზომი ზღვრების გარეთ მყოფი ინციდენტები
ინციდენტების სრული რაოდენობის შედარება
შეფასების ფუნქცია
ზღვრულთან
ინდიკატორის სპეციფიკაცია
გრაფიკი , რომელზეც არის მუდმივი ზღვრის
მაჩვენებელი ჰორიზონტალური ხაზი შედარებული
ინდიკატორი
რამოდენიმე პერიოდის მანძილზე ინციდენტების
რაოდენობასთან.
ბ. 4.2. კორექტირება
შეფასების სტრუქტურული მოდელის იდენტიფიკაცია
შეფასების სტრუქტურული მოდელის
მაკორექტირებელი ქმედების განხორციელება
სახელწოდება
ნომრით იდენტიფიკატორი ორგანიზაციიდან გამომდინარე
შეფასების სტრუქტურული მოდელის მაკორექტირებელი ქმედების განხორციელების
დანიშნულება წარმადობის შეფასება
პუნქტი 8.2 (27001:2005) მაკორექტირებელი ქმედება
იუმს-თან შეუსაბამობის შემთხვევაში ორგანიზაცია
კონტროლის/პროცესის მიზანი
ვალდებულია განახორციელოს გარკვეული ქმედება,
რათა თავიდან აიცილოს შეუსაბამობის განმეორება.
მაკოერქტირებელი ქმედების დოკუმენტირებული
პროცედურა უნდა აღწერდეს მოთხოვნებს შემდეგი
საკითხებისთვის:
ა) შეუსაბამობების აღმოჩენა;
ბ) შეუსაბამობების მიზეზების განსაზღვრა;
კონტროლი (1)/პროცესი (1) გ) ქმედების საჭიროების განსაზღვრა განმეორების
თავიდან აცილების მიზნით;
დ) საჭირო მაკორექტირებელი ქმედების
განხორციელება;
ე) განხორციელებული ქმედების შედეგების
დაფიქსირება;
ბ. 5. მენეჯმენტის ვალდებულება
შეფასების სტრუქტურული მოდელის იდენტიფიკაცია
შეფასების სტრუქტურული მოდელის
მენეჯმენტის განხილვის სიხშირე
სახელწოდება
ნომრით იდენტიფიკატორი ორგანიზაციიდან გამომდინარე
მენეჯერული მიმოხილვების გათვალისწინებით,
შეფასების სტრუქტურული მოდელის
მენეჯმენტის მზადყოფნის და ინფორმაციული
დანიშნულება
უსაფრთხოების განხილვის შეფასება
ა 6.1 ორგანიზაციაში ინფორმაციული უსაფრთხოების
მართვა (დაგეგმილი).
კონტროლის/პროცესის მიზანი
ორგანიზაციაში ინფორმაციული უსაფრთხოების მართვა
მენეჯერული განხილვების წარმოების დახმარებით.
ბ. 8. ლოგ-ფაილების მიმოხილვა
შეფასების სტრუქტურული მოდელის იდენტიფიკაცია
შეფასების სტრუქტურული მოდელის
ლოგირების ფაილების განხილვა
სახელწოდება
ორგანიზაციიდან გამომდინარე უნიკალური
ნომრით იდენტიფიკატორი
იდენტიფიკატორი
კრიტიკული სისტემის ლოგირების ფაილების
შეფასების სტრუქტურული მოდელის
რეგულარული განხილვის შესაბამისობის სტატუსის
დანიშნულება
შემოწმება
კონტროლის მიზანი ა.10.10 [27001:2005] ინფორმაციის
არანებადართული დამუშავების მცდელობების
აღმოჩენა.
2. [დასრულებული ღონისძიებების
ანალიტიკური მოდელი რაოდენობა]/[დაგეგმილი ღონისძიებების რაოდენობა]
ინდიკატორის სპეციფიკაცია
2. შეფარდების ტენდენცია.
1. ჯამი (ყოველი შეთანხმების([გათვალისწინებული
მოთხოვნების საერთო რაოდენობა]-[მოთხოვნების
სტანდარტული რაოდენობა]))/[მესამე მხარეებთან
ანალიტიკური მოდელი
დადებული შეთანხმებები].
2. პირველი ინდიკატორის წინა ინდიოკატორთან
შედარება
გადაწყვეტილების მიღების კრიტერიუმების სპეციფიკაცია
1. ინდიკატორი 1 უნდა იყოს 0.9-ზე მეტი
გადაწყვეტილების მიღების
2. ინდიკატორი 2 უნდა იყოს სტაბილურად უცვლელი ან
კრიტერიუმები
აღმავალი.
შეფასების შედეგები