APGINTI.🇱🇹

GV.OC-01 GV.OC-02 GV.OC-03 GV.OC-04 GV.OC-05

Organizacijos kontekstas (OC)

Suprantamos organizacijos kibernetinio saugumo rizikos valdymo sprendimus supančios aplinkybės - misija, suinteresuotųjų šalių lūkesčiai, priklausomybės, teisiniai, reguliavimo ir sutartiniai reikalavimai

GV.OC-01

Suprantama organizacijos misija ir ja grindžiamas kibernetinio saugumo rizikos valdymas

  1. Dalinkitės organizacijos misija (pvz., per vizijos ir misijos pareiškimus, rinkodaros ir paslaugų strategijas), kad būtų galima nustatyti riziką, galinčią trukdyti šiai misijai;
  2. Sukurkite organizacijos priklausomybės nuo išorinių išteklių (pvz., patalpų, debesijos paslaugų teikėjų) ir jų sąsajų su organizacijos turtu ir verslo funkcijomis aprašą;
  3. Nustatykite ir dokumentuokite išorines priklausomybes, kurios gali sukelti organizacijos svarbiausių pajėgumų ir paslaugų gedimus, ir pasidalykite šia informacija su atitinkamais darbuotojais.
Nuoroda į originalą

GV.OC-02

Suprantama ir atsižvelgiama į vidinių ir išorinių suinteresuotų šalių poreikius ir lūkesčius, susijusius su kibernetinio saugumo rizikos valdymu

  1. Nustatykite atitinkamas vidaus suinteresuotąsias šalis ir jų lūkesčius, susijusius su kibernetiniu saugumu (pvz., pareigūnų, direktorių ir patarėjų veiklos ir rizikos lūkesčius, kultūrinius darbuotojų lūkesčius);
  2. Nustatykite svarbias išorės suinteresuotąsias šalis ir jų lūkesčius, susijusius su kibernetiniu saugumu (pvz., klientų privatumo lūkesčius, verslo partnerių lūkesčius, reguliavimo institucijų atitikties lūkesčius, visuomenės etikos lūkesčius).
Nuoroda į originalą

GV.OC-03

Suprantami ir valdomi teisiniai, reguliavimo ir sutarčių reikalavimai susiję su kibernetiniu saugumu - įskaitant privatumo ir pilietinių laisvių įsipareigojimus

  1. Nustatykite teisinių ir reguliavimo reikalavimų, susijusių su asmenų informacijos apsauga stebėjimo ir valdymo procesą (pvz., HIPAA, CCPA, GDPR);
  2. Nustatykite tiekėjų, klientų ir partnerių informacijos stebėjimo ir valdymo procesą kibernetinio saugumo sutartiniams įsipareigojimams;
  3. Suderinkite organizacijos kibernetinio saugumo strategiją su teisiniais, reguliavimo ir sutartiniais reikalavimais.
Nuoroda į originalą

GV.OC-04

Suprantama ir pranešama apie kritinius tikslus, gebėjimus ir paslaugas, nuo kurių priklauso išorės suinteresuotosios šalys arba kurių tikisi iš organizacijos

  1. Nustatykite kriterijus, pagal kuriuos būtų galima nustatyti galimybių ir paslaugų svarbą vidaus ir išorės suinteresuotųjų šalių požiūriu;
  2. Nustatykite (pvz., remdamiesi poveikio veiklai analize) turtą ir verslo operacijas, kurios yra gyvybiškai svarbios siekiant misijos tikslų, ir potencialų tokių operacijų praradimo (arba dalinio praradimo) poveikį;
  3. Nustatyti ir pranešti atsparumo tikslus (pvz., atkūrimo laiko tikslus), skirtus svarbiausiems pajėgumams ir paslaugoms teikti įvairiomis veikimo būsenomis (pvz., užpuolimo, atkūrimo, įprasto veikimo metu).
Nuoroda į originalą

GV.OC-05

Suprantama ir pranešama apie rezultatus, gebėjimus ir paslaugas, nuo kurių priklauso organizacija

  1. Inventorizuokite organizacijos priklausomybės nuo išorinių išteklių (pvz., patalpų, debesijos paslaugų teikėjų) ir jų sąsajų su turtu ir verslo funkcijomis aprašą;
  2. Nustatykite ir dokumentuokite išorines priklausomybes, kurios gali sukelti organizacijos svarbiausių pajėgumų ir paslaugų sutrikimus, ir pasidalykite šia informacija su atitinkamais darbuotojais.
Nuoroda į originalą
VALDYTI

5 elementai šiame aplanke.

NIST CSF 2.0 Funkcijos

Grafiko Vaizdas