Этот справочный документ предназначен для советов директоров, директоров и руководителей служб информационной безопасности (или эквивалентных лиц) и поможет им понять Кодекс практики киберуправления (Кодекс).
В документе сопоставления показаны сходства и различия между Кодексом и « Руководством директора ISA по надзору за киберрисками». Он может быть использован организациями для понимания того, какие меры Кодекса они, возможно, уже реализуют, следуя «Руководству директора ISA по надзору за киберрисками».
Если у вас есть комментарии или вопросы по карте киберуправления, обращайтесь по адресу cybergovernance@dsit.gov.uk.
Сопоставление кода киберуправления со Справочником директоров ISA
Обновлено 11 августа 2025 г.
Введение
Этот справочный документ предназначен для советов директоров, директоров и руководителей служб информационной безопасности (или эквивалентных лиц) и поможет им понять Кодекс практики киберуправления (Кодекс).
В документе сопоставления показаны сходства и различия между Кодексом и « Руководством директора ISA по надзору за киберрисками». Он может быть использован организациями для понимания того, какие меры Кодекса они, возможно, уже реализуют, следуя «Руководству директора ISA по надзору за киберрисками».
Данный документ по сопоставлению носит иллюстративный характер и должен использоваться только в качестве справочного материала. Он не претендует на авторитетность и не может рассматриваться как юридическая консультация по вопросам соблюдения упомянутых рамок.
Если у вас есть комментарии или вопросы по карте киберуправления, обращайтесь по адресу cybergovernance@dsit.gov.uk.
Принцип А: Управление рисками
Действие A1 : Получить уверенность в том, что технологические процессы, информация и услуги, имеющие решающее значение для целей организации, определены, расставлены по приоритетам и согласованы.
Соответствие ISA-2023 : Принцип первый: Кибербезопасность как стратегический риск
Действие A2 : Согласовать ответственность высшего руководства за риски кибербезопасности и получить гарантии того, что они интегрированы в более широкую систему управления корпоративными рисками и внутреннего контроля организации.
Соответствие ISA-2023 : Принцип четвертый: Корпоративная структура управления киберрисками
Действие A3 : Определить и четко донести до организации степень готовности к киберрискам и получить уверенность в том, что у организации есть план действий по удовлетворению этих ожиданий в отношении рисков.
Соответствие ISA-2023 : Принцип четвертый: Корпоративная структура управления киберрисками
Действие A4 : Получите уверенность в том, что информация о поставщиках регулярно оценивается пропорционально уровню их риска и что организация устойчива к рискам кибербезопасности со стороны своей цепочки поставок и деловых партнеров.
Соответствие ISA-2023 : Принцип первый: Кибербезопасность как стратегический риск, Принцип шестой: Поощрение системной устойчивости и сотрудничества
Действие A5 : Получите уверенность в том, что оценки рисков проводятся регулярно и что меры по снижению рисков учитывают недавние или ожидаемые изменения в организации, технологии, правилах или более широком ландшафте угроз.
Соответствие ISA-2023 : Принцип второй: Правовые последствия и раскрытие информации, Принцип третий: Структура надзора за советом директоров и доступ к экспертным знаниям
Принцип Б: Стратегия
Действие B1 : Получите уверенность в том, что организация разработала киберстратегию, которая соответствует более широкой организационной стратегии и встроена в нее.
Соответствие ISA-2023 : Принцип первый: Кибербезопасность как стратегический риск
Действие B2 : Получить уверенность в том, что киберстратегия соответствует согласованному уровню киберрисков (Действие A3), выполняет соответствующие нормативные обязательства и учитывает текущие или ожидаемые изменения (Действие A5).
Соответствие ISA-2023 : Принцип второй: Правовые последствия и раскрытие информации, Принцип третий: Структура надзора за советом директоров и доступ к экспертным знаниям
Действие B3 : Получить уверенность в том, что ресурсы распределяются эффективно для управления согласованными киберрисками (действия A3 и A5).
Соответствие ISA-2023 : Принцип второй: Правовые последствия и раскрытие информации, Принцип третий: Структура надзора за советом директоров и доступ к экспертным знаниям
Действие B4 : Получите уверенность в том, что киберстратегия реализуется эффективно и достигает запланированных результатов.
Соответствие ISA-2023 : Принцип третий: Структура надзора совета директоров и доступ к экспертным знаниям, Принцип четвертый: Корпоративная структура управления киберрисками
Принцип C: Люди
Действие C1 : Способствовать формированию культуры кибербезопасности, поощряющей позитивное поведение и ответственность на всех уровнях. Это должно соответствовать стратегии организации (действие B1).
Соответствие ISA-2023 : Принцип первый: Кибербезопасность как стратегический риск
Действие C2 : Получите уверенность в наличии четких политик, поддерживающих позитивную культуру кибербезопасности.
Соответствие ISA-2023 : Принцип четвертый: Корпоративная структура управления киберрисками
Действие C3 : Пройдите обучение, чтобы повысить свою киберграмотность и взять на себя ответственность за безопасность данных и цифровых активов, которые вы используете.
Соответствие ISA-2023 : Инструмент H: Выстраивание отношений с директором по информационной безопасности
Действие C4 : Получите уверенность с помощью соответствующих показателей в том, что в организации имеется эффективная программа обучения, образования и повышения осведомленности в области кибербезопасности.
Соответствие ISA-2023 : Принцип четвертый: Корпоративная структура управления киберрисками
Принцип D: Планирование, реагирование и восстановление после инцидентов
Действие D1 : Получите уверенность в том, что у организации есть план реагирования и восстановления после киберинцидента, влияющего на критически важные для бизнеса технологические процессы, информацию и услуги.
Соответствие ISA-2023 : Принцип первый: Кибербезопасность как стратегический риск, Инструмент E: Реагирование на инциденты
Действие D2 : Получить уверенность в том, что по меньшей мере ежегодно проводятся учения по плану с участием соответствующих внутренних и внешних заинтересованных сторон, и что уроки, полученные в ходе учений, отражены в плане действий по инциденту (Действие D1) и оценках рисков (Действие A5).
Соответствие ISA-2023 : Принцип первый: Кибербезопасность как стратегический риск, Принцип третий: Структура надзора совета директоров и доступ к экспертным знаниям, Инструмент E: Реагирование на инциденты
Действие D3 : В случае возникновения инцидента взять на себя ответственность за выполнение индивидуальных нормативных обязательств, таких как предоставление отчетности, а также оказать поддержку организации в принятии критически важных решений и осуществлении внешних коммуникаций.
Соответствие ISA-2023 : Принцип второй: Правовые последствия и последствия раскрытия информации, Инструмент E: Реагирование на инциденты
Действие D4 : Получите уверенность в том, что процесс анализа после инцидента внедрен для включения извлеченных уроков в будущие оценки рисков (Действие A5), планы реагирования и восстановления (Действие D1) и учения (Действие D2).
Соответствие ISA-2023 : Принцип первый: Кибербезопасность как стратегический риск, Принцип второй: Правовые последствия и последствия раскрытия информации, Принцип третий: Структура надзора совета директоров и доступ к экспертным знаниям, Инструмент E: Реагирование на инциденты
Принцип E: Гарантия и надзор
Действие E1 : Создать структуру управления кибербезопасностью, интегрированную в общую структуру управления организации. Она должна включать четкое определение ролей и обязанностей, включая распределение ответственности за кибербезопасность на уровне исполнительных и неисполнительных директоров.
Соответствие ISA-2023 : Принцип четвертый: Корпоративная структура управления киберрисками
Действие E2 : Требовать предоставления официальной отчетности не реже одного раза в квартал, установить подходящие показатели для отслеживания и согласовать допустимые отклонения по каждому из них. Они должны быть согласованы со стратегией кибербезопасности (действие B1) и основаны на согласованном уровне киберрисков (действие A3).
Соответствие ISA-2023 : Принцип пятый: Измерение и отчетность по кибербезопасности
Действие E3 : Установить регулярный двусторонний диалог с соответствующими старшими руководителями, включая, помимо прочего, главного сотрудника по информационной безопасности (или эквивалентное лицо).
Соответствие ISA-2023 : Принцип третий: Структура надзора за советом директоров и доступ к экспертным знаниям, Инструмент H: Выстраивание отношений с директором по информационной безопасности
Действие E4 : Получить уверенность в том, что аспекты кибербезопасности (включая действия, описанные в настоящем кодексе) интегрированы и соответствуют существующим механизмам внутреннего и внешнего аудита и обеспечения безопасности.
Соответствие ISA-2023 : Принцип пятый: Измерение и отчетность по кибербезопасности
Действие E5 : Получить гарантии того, что руководители высшего звена осведомлены о соответствующих нормативных обязательствах, а также о передовой практике, содержащейся в других кодексах практики.
Соответствие ISA-2023 : Принцип второй: Правовые последствия и раскрытие информации
WikiVisa — ВикиВиза — VikiVisa
Сопоставление кода киберуправления с ANSSI
Обновлено 11 августа 2025 г.
Введение
Этот справочный документ предназначен для советов директоров, директоров и руководителей служб информационной безопасности (или эквивалентных лиц) и поможет им понять Кодекс практики киберуправления (Кодекс).
В документе сопоставления показаны сходства и различия между Кодексом и французской системой ANSSI «Управление цифровыми рисками – преимущество доверия» . Он может быть использован организациями для понимания того, какие действия Кодекса они, возможно, уже реализуют, следуя системе ANSSI « Управление цифровыми рисками».
Данный документ по сопоставлению носит иллюстративный характер и должен использоваться только в качестве справочного материала. Он не претендует на авторитетность и не может рассматриваться как юридическая консультация по вопросам соблюдения упомянутых рамок.
Если у вас есть комментарии или вопросы по карте киберуправления, обращайтесь по адресу cybergovernance@dsit.gov.uk.
Принцип А: Управление рисками
Действие A1 : Получить уверенность в том, что технологические процессы, информация и услуги, имеющие решающее значение для целей организации, определены, расставлены по приоритетам и согласованы.
Соответствие стандартам ANSSI по контролю цифровых рисков : Шаг второй: Понимание своей цифровой активности
Действие A2 : Согласовать ответственность высшего руководства за риски кибербезопасности и получить гарантии того, что они интегрированы в более широкую систему управления корпоративными рисками и внутреннего контроля организации.
Соответствие стандартам ANSSI по контролю цифровых рисков : Шаг первый: Определение структуры управления цифровыми рисками
Действие A3 : Определить и четко донести до организации степень готовности к киберрискам и получить уверенность в том, что у организации есть план действий по удовлетворению этих ожиданий в отношении рисков.
Соответствие стандартам ANSSI в управлении цифровыми рисками : Шаг третий: узнайте свой порог принятия риска
Действие A4 : Получите уверенность в том, что информация о поставщиках регулярно оценивается пропорционально уровню их риска и что организация устойчива к рискам кибербезопасности со стороны своей цепочки поставок и деловых партнеров.
Соответствие принципам ANSSI «Управление цифровыми рисками» : Шаг третий: Определите свой порог принятия риска, Шаг девятый: Создание собственной защиты
Действие A5 : Получите уверенность в том, что оценки рисков проводятся регулярно и что меры по снижению рисков учитывают недавние или ожидаемые изменения в организации, технологии, правилах или более широком ландшафте угроз.
Соответствие стандартам ANSSI в управлении цифровыми рисками : Шаг четырнадцатый: Гибкость: постоянное совершенствование и производительность
Принцип Б: Стратегия
Действие B1 : Получите уверенность в том, что организация разработала киберстратегию, которая соответствует более широкой организационной стратегии и встроена в нее.
Соответствие стандартам ANSSI в области контроля цифровых рисков : Шаг четвертый: построение наихудшего сценария риска, Шаг пятый: определение стратегии цифровой безопасности и продвижения
Действие B2 : Получить уверенность в том, что киберстратегия соответствует согласованному уровню киберрисков (Действие A3), выполняет соответствующие нормативные обязательства и учитывает текущие или ожидаемые изменения (Действие A5).
Соответствие стандартам ANSSI в управлении цифровыми рисками : Шаг четырнадцатый: Гибкость: постоянное совершенствование и производительность
Действие B3 : Получить уверенность в том, что ресурсы распределяются эффективно для управления согласованными киберрисками (действия A3 и A5).
Соответствие стандартам ANSSI в управлении цифровыми рисками : Шаг пятый: Определение стратегии цифровой безопасности и продвижения. Шаг тринадцатый: Приверженность: от приверженности к действию.
Действие B4 : Получите уверенность в том, что киберстратегия реализуется эффективно и достигает запланированных результатов.
Соответствие стандартам ANSSI в управлении цифровыми рисками : Шаг четырнадцатый: Гибкость: постоянное совершенствование и производительность
Принцип C: Люди
Действие C1 : Способствовать формированию культуры кибербезопасности, поощряющей позитивное поведение и ответственность на всех уровнях. Это должно соответствовать стратегии организации (действие B1).
Согласование с ANSSI по контролю цифровых рисков : Шаг седьмой: люди в центре игры
Действие C2 : Получите уверенность в наличии четких политик, поддерживающих позитивную культуру кибербезопасности.
Соответствие стандартам ANSSI в управлении цифровыми рисками : Шаг первый: Определение структуры управления цифровыми рисками. Шаг тринадцатый: Приверженность: от приверженности к действию.
Действие C3 : Пройдите обучение, чтобы повысить свою киберграмотность и взять на себя ответственность за безопасность данных и цифровых активов, которые вы используете.
Согласование с ANSSI по контролю цифровых рисков : Шаг седьмой: люди в центре игры
Действие C4 : Получите уверенность с помощью соответствующих показателей в том, что в организации имеется эффективная программа обучения, образования и повышения осведомленности в области кибербезопасности.
Согласование с ANSSI по контролю цифровых рисков : Шаг седьмой: люди в центре игры
Принцип D: Планирование, реагирование и восстановление после инцидентов
Действие D1 : Получите уверенность в том, что у организации есть план реагирования и восстановления после киберинцидента, влияющего на критически важные для бизнеса технологические процессы, информацию и услуги.
Соответствие принципам ANSSI: контроль цифрового риска : шаг десятый: определение направления защиты и прогнозирование ее реакции
Действие D2 : Получить уверенность в том, что по меньшей мере ежегодно проводятся учения по плану с участием соответствующих внутренних и внешних заинтересованных сторон, и что уроки, полученные в ходе учений, отражены в плане действий по инциденту (Действие D1) и оценках рисков (Действие A5).
Соответствие стандартам ANSSI в области контроля цифровых рисков : Шаг одиннадцатый: Демонстрация устойчивости в случае кибератаки. Шаг четырнадцатый: Гибкость: постоянное совершенствование и производительность.
Действие D3 : В случае возникновения инцидента взять на себя ответственность за выполнение индивидуальных нормативных обязательств, таких как предоставление отчетности, а также оказать поддержку организации в принятии критически важных решений и осуществлении внешних коммуникаций.
Соответствие принципам ANSSI: контроль цифровых рисков : шаг одиннадцатый: демонстрация устойчивости в случае кибератаки
Действие D4 : Получите уверенность в том, что процесс анализа после инцидента внедрен для включения извлеченных уроков в будущие оценки рисков (Действие A5), планы реагирования и восстановления (Действие D1) и учения (Действие D2).
Соответствие принципам ANSSI: контроль цифровых рисков : шаг одиннадцатый: демонстрация устойчивости в случае кибератаки
Принцип E: Гарантия и надзор
Действие E1 : Создать структуру управления кибербезопасностью, интегрированную в общую структуру управления организации. Она должна включать четкое определение ролей и обязанностей, включая распределение ответственности за кибербезопасность на уровне исполнительных и неисполнительных директоров.
Соответствие стандартам ANSSI по контролю цифровых рисков : Шаг первый: Определение структуры управления цифровыми рисками
Действие E2 : Требовать предоставления официальной отчетности не реже одного раза в квартал, установить подходящие показатели для отслеживания и согласовать допустимые отклонения по каждому из них. Они должны быть согласованы со стратегией кибербезопасности (действие B1) и основаны на согласованном уровне киберрисков (действие A3).
Соответствие стандартам ANSSI по контролю цифровых рисков : Шаг первый: Определение структуры управления цифровыми рисками
Действие E3 : Установить регулярный двусторонний диалог с соответствующими старшими руководителями, включая, помимо прочего, главного сотрудника по информационной безопасности (или эквивалентное лицо).
Соответствие стандартам ANSSI по контролю цифровых рисков : Шаг первый: Определение структуры управления цифровыми рисками
Действие E4 : Получить уверенность в том, что аспекты кибербезопасности (включая действия, описанные в настоящем кодексе) интегрированы и соответствуют существующим механизмам внутреннего и внешнего аудита и обеспечения безопасности.
Соответствие стандартам ANSSI в управлении цифровыми рисками : Шаг четырнадцатый: Гибкость: постоянное совершенствование и производительность
Действие E5 : Получить гарантии того, что руководители высшего звена осведомлены о соответствующих нормативных обязательствах, а также о передовой практике, содержащейся в других кодексах практики.
Соответствие стандартам ANSSI по контролю цифровых рисков : Шаг второй: Понимание своей цифровой активности, Шаг девятый: Создание своей защиты
WikiVisa — ВикиВиза — VikiVisa
Сопоставление кодекса киберуправления с принципами ВЭФ для управления киберрисками советом директоров
Обновлено 11 августа 2025 г.
Введение
Этот справочный документ предназначен для советов директоров, директоров и руководителей служб информационной безопасности (или эквивалентных лиц) и поможет им понять Кодекс практики киберуправления (Кодекс).
В документе сопоставления показаны сходства и различия между Кодексом и принципами Всемирного экономического форума по управлению киберрисками . Он может быть использован организациями для понимания того, какие действия Кодекса они, возможно, уже реализуют, следуя принципам Всемирного экономического форума по управлению киберрисками.
Данный документ по сопоставлению носит иллюстративный характер и должен использоваться только в качестве справочного материала. Он не претендует на авторитетность и не может рассматриваться как юридическая консультация по вопросам соблюдения упомянутых рамок.
Если у вас есть комментарии или вопросы по карте киберуправления, обращайтесь по адресу cybergovernance@dsit.gov.uk.
Принцип А: Управление рисками
Действие A1 : Получить уверенность в том, что технологические процессы, информация и услуги, имеющие решающее значение для целей организации, определены, расставлены по приоритетам и согласованы.
Соответствие принципам управления киберрисками советом директоров : 2.1 Кибербезопасность является стратегическим фактором развития бизнеса, 2.2 Понимание экономических факторов и влияния киберрисков, 2.3 Согласование управления киберрисками с потребностями бизнеса, 2.6 Поощрение системной устойчивости и сотрудничества
Действие A2 : Согласовать ответственность высшего руководства за риски кибербезопасности и получить гарантии того, что они интегрированы в более широкую систему управления корпоративными рисками и внутреннего контроля организации.
Соответствие принципам управления киберрисками со стороны совета директоров : 2.6 Поощрение системной устойчивости и сотрудничества
Действие A3 : Определить и четко донести до организации степень готовности к киберрискам и получить уверенность в том, что у организации есть план действий по удовлетворению этих ожиданий в отношении рисков.
Соответствие принципам управления киберрисками со стороны совета директоров : 2.4. Обеспечить, чтобы организационная структура поддерживала кибербезопасность. 2.6. Поощрять системную устойчивость и сотрудничество.
Действие A4 : Получите уверенность в том, что информация о поставщиках регулярно оценивается пропорционально уровню их риска и что организация устойчива к рискам кибербезопасности со стороны своей цепочки поставок и деловых партнеров.
Соответствие принципам управления киберрисками со стороны совета директоров : 2.6 Поощрение системной устойчивости и сотрудничества
Действие A5 : Получите уверенность в том, что оценки рисков проводятся регулярно и что меры по снижению рисков учитывают недавние или ожидаемые изменения в организации, технологии, правилах или более широком ландшафте угроз.
Соответствие принципам управления киберрисками со стороны совета директоров : 2.2 Понимание экономических факторов и влияния киберрисков, 2.6 Поощрение системной устойчивости и сотрудничества
Принцип Б: Стратегия
Действие B1 : Получите уверенность в том, что организация разработала киберстратегию, которая соответствует более широкой организационной стратегии и встроена в нее.
Соответствие принципам управления киберрисками со стороны совета директоров : 2.1 Кибербезопасность является стратегическим фактором развития бизнеса, 2.3 Согласование управления киберрисками с потребностями бизнеса, 2.4 Обеспечение поддержки кибербезопасности организационной структурой
Действие B2 : Получить уверенность в том, что киберстратегия соответствует согласованному уровню киберрисков (Действие A3), выполняет соответствующие нормативные обязательства и учитывает текущие или ожидаемые изменения (Действие A5).
Соответствие принципам управления киберрисками со стороны совета директоров : 2.3. Согласование управления киберрисками с потребностями бизнеса.
Действие B3 : Получить уверенность в том, что ресурсы распределяются эффективно для управления согласованными киберрисками (действия A3 и A5).
Соответствие принципам управления киберрисками со стороны совета директоров : 2.3. Согласование управления киберрисками с потребностями бизнеса. 2.4. Обеспечение поддержки кибербезопасности в рамках организационной структуры.
Действие B4 : Получите уверенность в том, что киберстратегия реализуется эффективно и достигает запланированных результатов.
Соответствие принципам управления киберрисками со стороны совета директоров : 2.4. Обеспечение поддержки кибербезопасности в рамках организационной структуры.
Принцип C: Люди
Действие C1 : Способствовать формированию культуры кибербезопасности, поощряющей позитивное поведение и ответственность на всех уровнях. Это должно соответствовать стратегии организации (действие B1).
Соответствие принципам управления киберрисками со стороны совета директоров : 2.4. Обеспечение поддержки кибербезопасности в рамках организационной структуры.
Действие C2 : Получите уверенность в наличии четких политик, поддерживающих позитивную культуру кибербезопасности.
Соответствие принципам управления киберрисками со стороны совета директоров : 2.4. Обеспечение поддержки кибербезопасности в рамках организационной структуры.
Действие C3 : Пройдите обучение, чтобы повысить свою киберграмотность и взять на себя ответственность за безопасность данных и цифровых активов, которые вы используете.
Соответствие принципам управления киберрисками со стороны совета директоров : 2.4. Обеспечение поддержки кибербезопасности в рамках организационной структуры.
Действие C4 : Получите уверенность с помощью соответствующих показателей в том, что в организации имеется эффективная программа обучения, образования и повышения осведомленности в области кибербезопасности.
Соответствие принципам управления киберрисками со стороны совета директоров : 2.4. Обеспечение поддержки кибербезопасности в рамках организационной структуры.
Принцип D: Планирование, реагирование и восстановление после инцидентов
Действие D1 : Получите уверенность в том, что у организации есть план реагирования и восстановления после киберинцидента, влияющего на критически важные для бизнеса технологические процессы, информацию и услуги.
Соответствие принципам управления киберрисками советом директоров : сравнение невозможно
Действие D2 : Получить уверенность в том, что по меньшей мере ежегодно проводятся учения по плану с участием соответствующих внутренних и внешних заинтересованных сторон, и что уроки, полученные в ходе учений, отражены в плане действий по инциденту (Действие D1) и оценках рисков (Действие A5).
Соответствие принципам управления киберрисками со стороны совета директоров : 2.4. Обеспечить, чтобы организационная структура поддерживала кибербезопасность. 2.6. Поощрять системную устойчивость и сотрудничество.
Действие D3 : В случае возникновения инцидента взять на себя ответственность за выполнение индивидуальных нормативных обязательств, таких как предоставление отчетности, а также оказать поддержку организации в принятии критически важных решений и осуществлении внешних коммуникаций.
Соответствие принципам управления киберрисками советом директоров : сравнение невозможно
Действие D4 : Получите уверенность в том, что процесс анализа после инцидента внедрен для включения извлеченных уроков в будущие оценки рисков (Действие A5), планы реагирования и восстановления (Действие D1) и учения (Действие D2).
Соответствие принципам управления киберрисками советом директоров : сравнение невозможно
Принцип E: Гарантия и надзор
Действие E1 : Создать структуру управления кибербезопасностью, интегрированную в общую структуру управления организации. Она должна включать четкое определение ролей и обязанностей, включая распределение ответственности за кибербезопасность на уровне исполнительных и неисполнительных директоров.
Соответствие принципам управления киберрисками советом директоров : 2.5 Внедрение экспертизы в области кибербезопасности в управление советом директоров
Действие E2 : Требовать предоставления официальной отчетности не реже одного раза в квартал, установить подходящие показатели для отслеживания и согласовать допустимые отклонения по каждому из них. Они должны быть согласованы со стратегией кибербезопасности (действие B1) и основаны на согласованном уровне киберрисков (действие A3).
Соответствие принципам управления киберрисками со стороны совета директоров : 2.2 Понимание экономических факторов и влияния киберрисков
Действие E3 : Установить регулярный двусторонний диалог с соответствующими старшими руководителями, включая, помимо прочего, главного сотрудника по информационной безопасности (или эквивалентное лицо).
Соответствие принципам управления киберрисками со стороны совета директоров : 2.6 Поощрение системной устойчивости и сотрудничества
Действие E4 : Получить уверенность в том, что аспекты кибербезопасности (включая действия, описанные в настоящем кодексе) интегрированы и соответствуют существующим механизмам внутреннего и внешнего аудита и обеспечения безопасности.
Соответствие принципам управления киберрисками советом директоров : сравнение невозможно
Действие E5 : Получить гарантии того, что руководители высшего звена осведомлены о соответствующих нормативных обязательствах, а также о передовой практике, содержащейся в других кодексах практики.
Соответствие принципам управления киберрисками советом директоров : 2.5 Внедрение экспертизы в области кибербезопасности в управление советом директоров
WikiVisa — ВикиВиза — VikiVisa
Сопоставление кода киберуправления с ISACA — CMMI V.30
Обновлено 11 августа 2025 г.
Введение
Этот справочный документ предназначен для советов директоров, директоров и руководителей служб информационной безопасности (или эквивалентных лиц) и поможет им понять Кодекс практики киберуправления (Кодекс).
В документе сопоставления показаны сходства и различия между Кодексом и Интеграцией модели зрелости возможностей ISACA V3.0 (CMMI V.30). Он может быть использован организациями для понимания того, какие действия Кодекса они, возможно, уже реализуют, следуя требованиям CMMI V.30 ISACA.
Данный документ по сопоставлению носит иллюстративный характер и должен использоваться только в качестве справочного материала. Он не претендует на авторитетность и не может рассматриваться как юридическая консультация по вопросам соблюдения упомянутых рамок.
Если у вас есть комментарии или вопросы по карте киберуправления, обращайтесь по адресу cybergovernance@dsit.gov.uk.
Принцип А: Управление рисками
Действие A1 : Получить уверенность в том, что технологические процессы, информация и услуги, имеющие решающее значение для целей организации, определены, расставлены по приоритетам и согласованы.
Соответствие ISACA CMMI V3.0 : Непрерывность (CONT) 2.1; Управление (GOV) 2.1; Управление процессами (PCM) 3.2; Управление рисками и возможностями (RSK) 2.1, 3.4; Разрешение и предотвращение инцидентов (IRP) 3.2; Управление предоставлением услуг (SDM) 2.1
Действие A2 : Согласовать ответственность высшего руководства за риски кибербезопасности и получить гарантии того, что они интегрированы в более широкую систему управления корпоративными рисками и внутреннего контроля организации.
Соответствие ISACA CMMI V3.0 : управление (GOV) 3.1; обеспечение безопасности (ESEC) 2.4
Действие A3 : Определить и четко донести до организации степень готовности к киберрискам и получить уверенность в том, что у организации есть план действий по удовлетворению этих ожиданий в отношении рисков.
Соответствие ISACA CMMI V3.0 : обеспечение безопасности (ESEC) 2.1, 2.4, 3.1, 3.2
Действие A4 : Получите уверенность в том, что информация о поставщиках регулярно оценивается пропорционально уровню их риска и что организация устойчива к рискам кибербезопасности со стороны своей цепочки поставок и деловых партнеров.
Соответствие ISACA CMMI V3.0 : Обеспечение безопасности (ESEC) 2.3, 3.3; Обеспечение качества процесса (PQA) 3.1; Управление соглашениями с поставщиками (SAM) 2.2, 2.3, 2.4, 3.1, 3.2
Действие A5 : Получите уверенность в том, что оценки рисков проводятся регулярно и что меры по снижению рисков учитывают недавние или ожидаемые изменения в организации, технологии, правилах или более широком ландшафте угроз.
Соответствие ISACA CMMI V3.0 : Управление рисками и возможностями (RSK) 1.1, 2.2, 3.1, 3.2, 3.3, 3.4, 3.5; Обеспечение безопасности (ESEC) 3.3
Принцип Б: Стратегия
Действие B1 : Получите уверенность в том, что организация разработала киберстратегию, которая соответствует более широкой организационной стратегии и встроена в нее.
Соответствие ISACA CMMI V3.0 : Обеспечение безопасности (ESEC) 2.1, 2.2, 2.3, 2.4, 3.1, 3.2; Управление угрозами безопасности и уязвимостями (MST) 2.1, 2.2, 3.1
Действие B2 : Получить уверенность в том, что киберстратегия соответствует согласованному уровню киберрисков (Действие A3), выполняет соответствующие нормативные обязательства и учитывает текущие или ожидаемые изменения (Действие A5).
Соответствие ISACA CMMI V3.0 : Обеспечение безопасности (ESEC) 3.1, 3.2; Управление угрозами безопасности и уязвимостями (MST) 3.1, 3.2, 3.3
Действие B3 : Получить уверенность в том, что ресурсы распределяются эффективно для управления согласованными киберрисками (действия A3 и A5).
Соответствие ISACA CMMI V3.0 : Обеспечение безопасности (ESEC) 2.2, 2.2, 2.3, 2.4, 3.1, 3.2; Управление угрозами безопасности и уязвимостями (MST) 2.1, 2.2, 2.3, 2.4, 3.1, 3.2, 3.3; Управление (GOV) 2.2
Действие B4 : Получите уверенность в том, что киберстратегия реализуется эффективно и достигает запланированных результатов.
Соответствие ISACA CMMI V3.0 : Обеспечение безопасности (ESEC) 2.2, 2.3, 2.4, 3.1, 3.2; Управление угрозами безопасности и уязвимостями (MST) 2.1, 2.2, 2.3, 2.4, 3.1, 3.2, 3.3
Принцип C: Люди
Действие C1 : Способствовать формированию культуры кибербезопасности, поощряющей позитивное поведение и ответственность на всех уровнях. Это должно соответствовать стратегии организации (действие B1).
Соответствие ISACA CMMI V3.0 : обеспечение безопасности (ESEC) 2.3, 2.4
Действие C2 : Получите уверенность в наличии четких политик, поддерживающих позитивную культуру кибербезопасности.
Соответствие ISACA CMMI V3.0 : управление (GOV) 2.2, 2.3, 3.2; обеспечение безопасности (ESEC) 2.1, 2.4, 3.1, 3.2; управление угрозами безопасности и уязвимостями (MST) 2.4, 3.1, 3.2
Действие C3 : Пройдите обучение, чтобы повысить свою киберграмотность и взять на себя ответственность за безопасность данных и цифровых активов, которые вы используете.
Соответствие ISACA CMMI V3.0 : инфраструктура внедрения (II) 2.1; организационное обучение (OT) по всей области практики
Действие C4 : Получите уверенность с помощью соответствующих показателей в том, что в организации имеется эффективная программа обучения, образования и повышения осведомленности в области кибербезопасности.
Соответствие ISACA CMMI V3.0 : Управление эффективностью и измерением (MPM) 2.1, 3.1; Инфраструктура внедрения (II) 2.1; Организационное обучение (OT) по всей области практики
Принцип D: Планирование, реагирование и восстановление после инцидентов
Действие D1 : Получите уверенность в том, что у организации есть план реагирования и восстановления после киберинцидента, влияющего на критически важные для бизнеса технологические процессы, информацию и услуги.
Соответствие ISACA CMMI V3.0 : Непрерывность (CONT) 2.1, 2.2, 2.3, 3.1, 3.2, 3.3; Разрешение и предотвращение инцидентов (IRP) — вся область практики; Обеспечение безопасности (ESEC) — вся область практики; Управление угрозами и уязвимостями безопасности (MST) — вся область практики; Управление рисками и возможностями (RSK) — вся область практики
Действие D2 : Получить уверенность в том, что по меньшей мере ежегодно проводятся учения по плану с участием соответствующих внутренних и внешних заинтересованных сторон, и что уроки, полученные в ходе учений, отражены в плане действий по инциденту (Действие D1) и оценках рисков (Действие A5).
Соответствие ISACA CMMI V3.0 : Непрерывность (CONT) 2.1, 2.2, 2.3, 3.1, 3.2, 3.3; Разрешение и предотвращение инцидентов (IRP) — вся область практики; Обеспечение безопасности (ESEC) 3.1, 3.2, 3.3; Управление угрозами безопасности и уязвимостями (MST) 3.1, 3.2, 3.3; Планирование (PLAN) — вся область практики; Мониторинг и контроль (MC) — вся область практики; Управление рисками и возможностями (RSK) — вся область практики
Действие D3 : В случае возникновения инцидента взять на себя ответственность за выполнение индивидуальных нормативных обязательств, таких как предоставление отчетности, а также оказать поддержку организации в принятии критически важных решений и осуществлении внешних коммуникаций.
Соответствие ISACA CMMI V3.0 : Непрерывность (CONT) 2.1, 2.2, 2.3, 3.1, 3.2, 3.3; Разрешение и предотвращение инцидентов (IRP) во всей области практики; Обеспечение безопасности (ESEC) 3.1, 3.2, 3.3; Управление угрозами безопасности и уязвимостями (MST) 3.1, 3.2, 3.3; Управление рисками и возможностями (RSK) 3.3, 3.4, 3.5
Действие D4 : Получите уверенность в том, что процесс анализа после инцидента внедрен для включения извлеченных уроков в будущие оценки рисков (Действие A5), планы реагирования и восстановления (Действие D1) и учения (Действие D2).
Соответствие ISACA CMMI V3.0 : Непрерывность (CONT) 2.1, 2.2, 2.3, 3.1, 3.2, 3.3; Разрешение и предотвращение инцидентов (IRP) во всей области практики; Обеспечение безопасности (ESEC) 3.3; Управление угрозами и уязвимостями безопасности (MST) 3.1, 3.2, 3.3; Управление рисками и возможностями (RSK) 3.3, 3.4, 3.5
Принцип E: Гарантия и надзор
Действие E1 : Создать структуру управления кибербезопасностью, интегрированную в общую структуру управления организации. Она должна включать четкое определение ролей и обязанностей, включая распределение ответственности за кибербезопасность на уровне исполнительных и неисполнительных директоров.
Соответствие ISACA CMMI V3.0 : управление (GOV) во всей области практики; обеспечение безопасности (ESEC) 2.4, 3.1, 3.2
Действие E2 : Требовать предоставления официальной отчетности не реже одного раза в квартал, установить подходящие показатели для отслеживания и согласовать допустимые отклонения по каждому из них. Они должны быть согласованы со стратегией кибербезопасности (действие B1) и основаны на согласованном уровне киберрисков (действие A3).
Соответствие ISACA CMMI V3.0 : Управление (GOV) 2.3, 3.1, 3.2; Управление эффективностью и измерением (MPM) во всей области практики; Обеспечение безопасности (ESEC) 3.1; Мониторинг и контроль (MC) 2.1, 2.2, 2.3, 2.4, 3.1, 3.3
Действие E3 : Установить регулярный двусторонний диалог с соответствующими старшими руководителями, включая, помимо прочего, главного сотрудника по информационной безопасности (или эквивалентное лицо).
Соответствие ISACA CMMI V3.0 : инфраструктура внедрения (II) 2.2; управление эффективностью и измерением (MPM) во всей области практики
Действие E4 : Получить уверенность в том, что аспекты кибербезопасности (включая действия, описанные в настоящем кодексе) интегрированы и соответствуют существующим механизмам внутреннего и внешнего аудита и обеспечения безопасности.
Соответствие ISACA CMMI V3.0 : управление (GOV) 2.1, 2.3; управление процессами (PCM) все практики PGL 3, 3.1–3.6; обеспечение качества процессов (PQA) 2.2, 2.2, 2.3, 2.4, 3.1
Действие E5 : Получить гарантии того, что руководители высшего звена осведомлены о соответствующих нормативных обязательствах, а также о передовой практике, содержащейся в других кодексах практики.
Соответствие ISACA CMMI V3.0 : Управление (GOV) 2.1, 2.3; Управление требованиями и разработка (RDM) 2.1, 2.2, 2.3, 2.5, 3.1, 3.5, 3.6, 3.7
WikiVisa — ВикиВиза — VikiVisa
ISO/IEC 27001: 2022
Сопоставление кода киберуправления со стандартом ISO/IEC 27001: 2022
Обновлено 11 августа 2025 г.
Введение
Этот справочный документ предназначен для советов директоров, директоров и руководителей служб информационной безопасности (или эквивалентных лиц) и поможет им понять Кодекс практики киберуправления (Кодекс).
В документе сопоставления показаны сходства и различия между Кодексом и стандартом ISO/IEC 27001:2022 . Он может быть использован организациями для понимания того, какие действия Кодекса они, возможно, уже реализуют, следуя стандарту ISO/IEC 27001:2022.
Данный документ по сопоставлению носит иллюстративный характер и должен использоваться только в качестве справочного материала. Он не претендует на авторитетность и не может рассматриваться как юридическая консультация по вопросам соблюдения упомянутых рамок.
Если у вас есть комментарии или вопросы по карте киберуправления, обращайтесь по адресу cybergovernance@dsit.gov.uk.
Принцип А: Управление рисками
Действие A1 : Получить уверенность в том, что технологические процессы, информация и услуги, имеющие решающее значение для целей организации, определены, расставлены по приоритетам и согласованы.
Соответствие стандарту ISO/IEC 27001:2022 : Раздел 4. Контекст организации
Действие A2 : Согласовать ответственность высшего руководства за риски кибербезопасности и получить гарантии того, что они интегрированы в более широкую систему управления корпоративными рисками и внутреннего контроля организации.
Соответствие стандарту ISO/IEC 27001:2022 : Раздел 5.3 Организационные роли и обязанности, Раздел 6 Управление рисками информационной безопасности
Действие A3 : Определить и четко донести до организации степень готовности к киберрискам и получить уверенность в том, что у организации есть план действий по удовлетворению этих ожиданий в отношении рисков.
Соответствие стандарту ISO/IEC 27001:2022 : Пункт 6.1.2 Оценка рисков информационной безопасности
Действие A4 : Получите уверенность в том, что информация о поставщиках регулярно оценивается пропорционально уровню их риска и что организация устойчива к рискам кибербезопасности со стороны своей цепочки поставок и деловых партнеров.
Соответствие стандарту ISO/IEC 27001:2022 : сравнение не требуется
Действие A5 : Получите уверенность в том, что оценки рисков проводятся регулярно и что меры по снижению рисков учитывают недавние или ожидаемые изменения в организации, технологии, правилах или более широком ландшафте угроз.
Соответствие стандарту ISO/IEC 27001:2022 : Раздел 6. Управление рисками информационной безопасности, Раздел 8.2. Оценка рисков информационной безопасности, Раздел 9.1. Мониторинг, измерение, анализ и оценка
Принцип Б: Стратегия
Действие B1 : Получите уверенность в том, что организация разработала киберстратегию, которая соответствует более широкой организационной стратегии и встроена в нее.
Соответствие стандарту ISO/IEC 27001:2022 : Раздел 5.1. Лидерство и приверженность
Действие B2 : Получить уверенность в том, что киберстратегия соответствует согласованному уровню киберрисков (Действие A3), выполняет соответствующие нормативные обязательства и учитывает текущие или ожидаемые изменения (Действие A5).
Соответствие стандарту ISO/IEC 27001:2022 : пункт 5.2 Политика
Действие B3 : Получить уверенность в том, что ресурсы распределяются эффективно для управления согласованными киберрисками (действия A3 и A5).
Соответствие стандарту ISO/IEC 27001:2022 : раздел 7.1 «Ресурсы»
Действие B4 : Получите уверенность в том, что киберстратегия реализуется эффективно и достигает запланированных результатов.
Соответствие стандарту ISO/IEC 27001:2022 : Раздел 9.3 Анализ со стороны руководства
Принцип C: Люди
Действие C1 : Способствовать формированию культуры кибербезопасности, поощряющей позитивное поведение и ответственность на всех уровнях. Это должно соответствовать стратегии организации (действие B1).
Соответствие стандарту ISO/IEC 27001:2022 : Раздел 7.4. Коммуникация
Действие C2 : Получите уверенность в наличии четких политик, поддерживающих позитивную культуру кибербезопасности.
Соответствие стандарту ISO/IEC 27001:2022 : пункт 5.1 «Лидерство и приверженность», пункт 5.2 «Политика»
Действие C3 : Пройдите обучение, чтобы повысить свою киберграмотность и взять на себя ответственность за безопасность данных и цифровых активов, которые вы используете.
Соответствие стандарту ISO/IEC 27001:2022 : Раздел 7.2 Компетентность
Действие C4 : Получите уверенность с помощью соответствующих показателей в том, что в организации имеется эффективная программа обучения, образования и повышения осведомленности в области кибербезопасности.
Соответствие стандарту ISO/IEC 27001:2022 : Раздел 7.2 Компетентность
Принцип D: Планирование, реагирование и восстановление после инцидентов
Действие D1 : Получите уверенность в том, что у организации есть план реагирования и восстановления после киберинцидента, влияющего на критически важные для бизнеса технологические процессы, информацию и услуги.
Соответствие стандарту ISO/IEC 27001:2022 : Раздел 6. Планирование
Действие D2 : Получить уверенность в том, что по меньшей мере ежегодно проводятся учения по плану с участием соответствующих внутренних и внешних заинтересованных сторон, и что уроки, полученные в ходе учений, отражены в плане действий по инциденту (Действие D1) и оценках рисков (Действие A5).
Соответствие стандарту ISO/IEC 27001:2022 : Раздел 9.3 «Анализ со стороны руководства», Раздел 10 «Несоответствия и корректирующие действия»
Действие D3 : В случае возникновения инцидента взять на себя ответственность за выполнение индивидуальных нормативных обязательств, таких как предоставление отчетности, а также оказать поддержку организации в принятии критически важных решений и осуществлении внешних коммуникаций.
Соответствие стандарту ISO/IEC 27001:2022 : Раздел 4.2. Понимание потребностей и ожиданий заинтересованных сторон
Действие D4 : Получите уверенность в том, что процесс анализа после инцидента внедрен для включения извлеченных уроков в будущие оценки рисков (Действие A5), планы реагирования и восстановления (Действие D1) и учения (Действие D2).
Соответствие стандарту ISO/IEC 27001:2022 : Раздел 10. Несоответствия и корректирующие действия
Принцип E: Гарантия и надзор
Действие E1 : Создать структуру управления кибербезопасностью, интегрированную в общую структуру управления организации. Она должна включать четкое определение ролей и обязанностей, включая распределение ответственности за кибербезопасность на уровне исполнительных и неисполнительных директоров.
Соответствие стандарту ISO/IEC 27001:2022 : пункт 5.1 «Лидерство и приверженность», пункт 5.3 «Организационные роли и обязанности»
Действие E2 : Требовать предоставления официальной отчетности не реже одного раза в квартал, установить подходящие показатели для отслеживания и согласовать допустимые отклонения по каждому из них. Они должны быть согласованы со стратегией кибербезопасности (действие B1) и основаны на согласованном уровне киберрисков (действие A3).
Соответствие стандарту ISO/IEC 27001:2022 : Раздел 9.3 Анализ со стороны руководства
Действие E3 : Установить регулярный двусторонний диалог с соответствующими старшими руководителями, включая, помимо прочего, главного сотрудника по информационной безопасности (или эквивалентное лицо).
Соответствие стандарту ISO/IEC 27001:2022 : Раздел 5.3 Организационные роли, обязанности и полномочия
Действие E4 : Получить уверенность в том, что аспекты кибербезопасности (включая действия, описанные в настоящем кодексе) интегрированы и соответствуют существующим механизмам внутреннего и внешнего аудита и обеспечения безопасности.
Соответствие стандарту ISO/IEC 27001:2022 : пункт 9.3 «Анализ со стороны руководства», пункт 9.2 «Внутренний аудит»
Действие E5 : Получить гарантии того, что руководители высшего звена осведомлены о соответствующих нормативных обязательствах, а также о передовой практике, содержащейся в других кодексах практики.
Соответствие стандарту ISO/IEC 27001:2022 : Раздел 9.1 Мониторинг, измерение, анализ и оценка, 4.2 Понимание потребностей и ожиданий заинтересованных сторон
WikiVisa — ВикиВиза — VikiVisa
Загрузка...