компетентность (competence): Способность применять знания и навыки для достижения намеченных целей.

[ИСО/МЭК 17024:2012, статья 3.6]

Описание ожидаемого результата как результат проявления СМИБ-специалистом компетентности

Краткое изложение тем, концепций и принципов, которые должны знать СМИБ-специалисты

Навыки, которые СМИБ-специалисты способны реализовать

Направлять, мотивировать и поощрять сотрудников в организации к выполнению ролей в области информационной безопасности

Теории лидерства;

методы переговоров

Формировать и установить направления деятельности организации в области информационной безопасности;

предоставлять рекомендации, определять цели и стимулировать успешное решение задач, связанных с информационной безопасностью на различных уровнях их исполнения;

выполнять взятые на себя обязательства;

распределить обязанности и полномочия на разных уровнях организации

Предоставлять правильную информацию в краткой форме соответствующим сторонам и обеспечивать наиболее продуктивное взаимодействие с руководством организации в отношении информационной безопасности

Теория и методы общения;

методы анализа заинтересованных сторон;

методы взаимодействия

Разрабатывать процессы и каналы взаимодействия, подходящие для организации при создании СМИБ;

общаться на соответствующем языке и с помощью средств массовой информации с широким кругом партнеров;

налаживать отношения с высшим руководством и с организаторами бизнеса организации;

определять потребности во внутренних и внешних взаимодействиях по вопросам СМИБ

Понимать, как формулируется бизнес-стратегия и как стратегия информационной безопасности и СМИБ вписывается в общую бизнес-стратегию

Бизнес-стратегия и процесс формулирования стратегии;

правовая и нормативная среда, в которой работает организация;

как определяется стратегия, например, с помощью дерева стратегического согласования

Понимать бизнес-стратегию и стратегию организации;

установить цели информационной безопасности в контексте бизнеса и его стратегии;

продемонстрировать стратегическое направление в отношении СМИБ, начиная от планирования и кончая улучшением, которое направлено на достижение общих целей в области информационной безопасности;

распределять или содействовать в распределении ресурсов для достижения целей бизнеса и информационной безопасности

Обеспечить соответствие внедрения СМИБ организационной структуре и культуре

Теория создания организации;

теория организационной культуры;

подходы, методологии и рамки организационного поведения;

менеджмент конфликтов

Понять структуру организации;

понять тактику поведения организации;

анализировать и оценивать культуру организации;

интегрировать СМИБ в структуру организации;

управлять участниками конфликта с разными интересами и вести переговоры для достижения целей безопасности

Поддерживать выполнение повседневных действий, связанных с информационной безопасностью

Оперативное планирование и контроль;

методология и основы проектирования процессов;

процессы документирования и процессы менеджмента записей;

организационный контекст;

методология и основы менеджмента изменений

Руководить процессами и контролировать выполнение планов по достижению целей информационной безопасности;

управлять процессами организации;

управлять процессами аутсорсинга;

управлять процессами менеджмента изменений;

управлять записями

Активно действовать и разрабатывать организационные процессы для удовлетворения потребностей в развитии отдельных лиц, команд и всего персонала

Системы и процессы оценивания;

методы совершенствования;

методологии анализа квалификационных потребностей;

методы образования и методы поддержки и развития (например, инструктаж, обучение, тренинг);

оптимальные требования к персоналу и его квалификации, необходимые для внедрения и поддержки СМИБ;

квалификации и сертификация, относящиеся к информационной безопасности

Понимать методологию, основы и результаты менеджмента риска

Основные принципы риска;

методология и основы менеджмента бизнес-риска, оценки и обработки рисков;

правовая и нормативная база, с которой работает организация

Понять определение риска и его компонентов в реальных условиях;

понять методологию менеджмента бизнес-риска, методологию и процессы оценки и обработки риска;

объяснять результаты менеджмента бизнес-риска или корпоративного риска

Обеспечить своевременное определение и предоставление соответствующих ресурсов для создания, внедрения, поддержки и постоянного улучшения СМИБ

Финансовая отчетность и ее оценивание;

методы создания и менеджмента бюджета;

методы менеджмента затрат и методы их снижения;

методы менеджмента времени и материалов;

особенности анализа со стороны руководства и процессы корректирующих действий

Определять ресурсы, необходимые для создания, внедрения, поддержки и постоянного улучшения СМИБ;

бюджетировать бизнес-элементы, включая стоимость внедрения и стоимость эксплуатации СМИБ;

понять финансовую отчетность, в том числе о движении денежных средств, прибылях и убытках;

создавать бизнес-кейсы и инвестиционные кейсы;

обеспечивать ROI (возврат инвестиций) и ROSI (возврат инвестиций в информационную безопасность) и другие финансовые преимущества;

применять методы контроля затрат при менеджменте бюджета;

своевременно предоставлять соответствующие ресурсы в нужном месте

Понимать архитектуры применяемых информационных систем, используемых для создания, хранения, обработки, передачи и удаления информации организации

Требования к архитектуре информационных систем;

аппаратные компоненты, инструменты и аппаратные архитектуры;

операционные системы и программные платформы;

интеграция бизнес-процессов и зависимость от бизнес-процессов приложений ИКТ;

аспекты информационной безопасности архитектуры информационных систем

Понять бизнес-цели/драйверы, которые влияют на архитектуру информационной системы;

понять взаимодействие компонентов безопасности и компонентов архитектуры информационной системы

Эффективно и действенно управлять различными типами проектов и действий, связанных со СМИБ (такими, как корректирующие, превентивные, улучшающие), для достижения намеченных результатов в нужное время, в рамках бюджета и требуемого качества

Методологии и основы менеджмента проектов;

методологии и основы менеджмента портфеля проектов;

подходы к определению этапов проекта и инструменты для создания планов действий

Управлять проектами, портфелем проектов, мероприятиями и задачами;

управлять вместе с бизнесом портфелем инвестиционных проектов, связанных с СМИБ;

планировать проекты для реализации стратегий, устанавливать процедуры и реализовывать их успешно и эффективно;

работать в междисциплинарных группах для достижения целей бизнеса и/или информационной безопасности

Понимать роли поставщиков и цепочек поставок в организацию и их влияние на информационную безопасность

Методы использования поставщиков и цепочек поставок

Оценить поставщиков и цепочку (и) поставок;

оценить влияние на информационную безопасность поставщиков и цепочек поставок;

управлять поставщиками при необходимости;

предоставлять рекомендации по информационной безопасности при создании, оценке, выборе, менеджменте и завершении отношений с поставщиками

Своевременно выявлять и решать проблемы, которые могут иметь последствия для СМИБ

Методология и основы решения проблем и анализа

Понять внутренние и внешние проблемы;

анализировать и обобщать информацию и данные о проблемах;

аналитически описывать проблемы менеджмента, применения аналитических подходов и разработки решений проблем;

представлять и объяснять предлагаемые решения соответствующей аудитории

Обеспечивать поддержку, направленную на высокий уровень СМИБ

Основы делового и/или корпоративного руководства;

концепции и основы руководства деятельностью по обеспечению информационной безопасности;

стандарты руководства деятельностью по обеспечению информационной безопасности (например, ИСО/МЭК 27014);

правовые и нормативные вопросы, связанные с СМИБ;

руководство деятельностью по менеджменту предприятия и менеджменту ИТ, а также соответствующие международные стандарты

Разрабатывать структуру руководящих действий, которая соответствует/поддерживает структуру руководящих действий по менеджменту бизнеса;

определять требования к отчетности и контролю;

создавать, внедрить и поддерживать структуру руководящих действий по обеспечению информационной безопасности;

излагать принципы руководства деятельностью по обеспечению информационной безопасности;

обеспечивать информационную безопасность всей организации;

принимать подход, основанный на оценке риска;

задавать направление инвестиционных решений;

обеспечивать соответствие внутренним и внешним решениям;

создавать благоприятную для безопасности среду;

понимать и определять объем правовых, нормативных и руководящих требований, которые могут повлиять на СМИБ;

определять роли и обязанности в определенной области

Выявлять внутренние и внешние проблемы, которые могут повлиять на СМИБ

Методология и основы анализа контекста организации;

организационная культура;

схема информационных потоков;

контекст организации, в которой будет внедрена СМИБ;

правовая/нормативная база, касающаяся СМИБ

Определять заинтересованные стороны, связанные с СМИБ, и выявлять требования этих заинтересованных сторон;

определять области действия СМИБ, границы применимости СМИБ и заинтересованных лиц;

сообщать заинтересованным сторонам о целях и преимуществах СМИБ;

определять предполагаемый результат(ы) СМИБ

Продемонстрировать стратегическое направление в отношении СМИБ, начиная от планирования и заканчивая улучшением, которое направлено на достижение общей цели в области информационной безопасности

Цели информационной безопасности и планирования их достижения;

области руководства деятельностью по обеспечению информационной безопасности;

области политики информационной безопасности

Разрабатывать, поддерживать и распространять стратегии и политики информационной безопасности в соответствии с бизнес-стратегией;

определять заинтересованные стороны и их требования;

руководить стратегическим планированием информационной безопасности для СМИБ;

объяснять преимущества внедрения СМИБ для бизнеса;

создавать СМИБ организации, соответствующую стратегии организации;

понимать вопросы, относящиеся к целям организации и СМИБ;

понимать и определять область действия СМИБ;

синтезировать потребности, ожидания и требования для определения движущих сил СМИБ;

определять организационные роли, обязанности в отношении СМИБ;

понимать и генерировать ключевые показатели эффективности, ключевые показатели риска и другие бизнес-показатели для стратегий информационной безопасности и СМИБ

Применять общие методы менеджмента риска (см. 5.8 Компетентность: менеджмент риска) к рискам информационной безопасности

Методология и области оценки/обработки рисков информационной безопасности;

оценка рисков информационной безопасности;

обработка рисков информационной безопасности;

стандарты, относящиеся к рискам и рискам информационной безопасности (например, ИСО 31000 и ИСО/МЭК 27005;

меры и средства информационной безопасности и цели их применения, как это указано в ИСО/МЭК 27001:2013, приложение A

Предоставлять указания и рекомендации по оцениванию рисков информационной безопасности и контролировать соблюдение стандартов информационной безопасности и соответствующих политик информационной безопасности;

определять и адресовать бизнес-риски, определять возможности, интегрированность и внедрение действий в процессы СМИБ;

определять и применять процессы оценки и обработки рисков информационной безопасности;

выбирать, внедрять и улучшать средства контроля для снижения риска информационной безопасности;

сравнивать применяемые средства с теми, которые указаны в ИСО/МЭК 27001:2013, приложение A, и убедиться, что не были пропущены необходимые средства

Эффективно и действенно выполнять процессы, связанные с информационной безопасностью

Методология и основы менеджмента активов;

методология и основы контроля доступа;

методология и основы проектирования информационной безопасности;

методология и основы физической защиты и защиты окружающей среды;

методология и основы безопасности связи;

методология и основы приобретения, разработки и сопровождения систем;

методология и основы менеджмента инцидентов информационной безопасности;

методология и основы аварийного восстановления;

методология и основы обеспечения непрерывности бизнеса;

методология и основы оценки соответствия;

методология и основы менеджмента изменений и конфигураций;

оценка и обработка рисков информационной безопасности;

информационные технологии;

жизненный цикл программного обеспечения и основы методологии;

основы работы и внедрение широко распространенных средств менеджмента информационной безопасности;

меры и средства менеджмента информационной безопасности, как указано в ИСО/МЭК 27001:2013, приложение A

Управлять информационной безопасностью в процессах, переданных на аутсорсинг;

выполнять процессы оценки рисков информационной безопасности;

внедрять план обработки рисков информационной безопасности;

оценивать уровни процессов и уровни функционирования, отнесенные к информационной безопасности;

оценивать уровень информационной безопасности в других бизнес-процессах/операциях в организации

Распространять культуру информационной безопасности среди персонала, работающего в рамках СМИБ

Информация об информационной безопасности, образовании, подходах к подготовке и ее методах;

подходы и стили обучения;

педагогические подходы и методы обучения;

методики анализа потребностей в обучении

Создавать программы обучения и повышения осведомленности и консультировать операционные подразделения на всех уровнях по политике информационной безопасности, их вкладу в эффективность СМИБ, передовой практике;

поддерживать осведомленность о состоянии безопасности защищенных информационных систем;

определять требования к осведомленности, обучению и образованию;

создавать информационные, образовательные и обучающие сообщения в области информационной безопасности и распространять их среди различных аудиторий;

оценить и предложить механизмы соблюдения и поддержки культуры информационной безопасности

Управлять жизненным циклом документации по менеджменту информационной безопасности

Документация, требуемая для СМИБ;

инструменты для разработки, редактирования и распространения документированной информации;

инструменты и методы менеджмента версий документации;

системы менеджмента документации

Определять и предоставлять информацию, которая должна быть задокументирована для СМИБ;

создавать и изменять описи документации для СМИБ;

управлять изменениями документов и контролировать их версии;

управлять шаблонами общих публикаций;

организовывать и контролировать рабочие процессы менеджмента документации;

документировать и каталогизировать основные процессы и процедуры

Оценивать показатели информационной безопасности и эффективности СМИБ для поддержки организационных решений по постоянному улучшению СМИБ

Характеристики мониторинга и оценки защищенности;

методы сбора и представление количественных и качественных данных;

тенденции в менеджменте информационной безопасности и бизнес-среде

Осуществлять мониторинг, проводить оценку защищенности и оценивать, реализуются ли процессы в соответствии с политиками информационной безопасности;

устанавливать критерии и процессы оценки для:

- внедрения СМИБ;

- развертывания ресурсов менеджмента, организационной структуры и СМИБ;

- количественной оценки инцидентов информационной безопасности;

- соблюдения законов и правил;

оценивать эффективность СМИБ;

оценивать по следующим пунктам: если СМИБ была внедрена точно; внедрение менеджмента, организационной структуры и ресурсов СМИБ было надлежащим; количество инцидентов информационной безопасности было уменьшено; нарушения законов и правил не произошло;

анализировать все системно ориентированные планы информационной безопасности во всей сети организации, действуя в качестве связующего звена с информационными системами;

анализировать предлагаемые исключения из политик информационной безопасности;

анализировать причины и извлекать уроки из фактов недостижения целей информационной безопасности

Периодически оценивать уровень соответствия СМИБ внешним и внутренним правилам

Методология и основы аудита информационной безопасности;

процессы и процедуры внутреннего и внешнего аудита;

роль и функции аудита, как внутреннего, так и внешнего;

методы оценки, тестирования и выборочного исследования информационной безопасности

Управлять внутренними аудитами СМИБ;

установить или повлиять на объем аудита информационной безопасности;

анализировать результаты одного или нескольких аудитов информационной безопасности;

предлагать инициативы, мероприятия, проекты и программы с соответствующими требованиями к ресурсам для рассмотрения выводов, рекомендаций и пунктов аудита;

готовить отчет о соблюдении обязательств;

наблюдать, руководить, управлять и участвовать в аудитах информационной безопасности;

описывать, руководить и обеспечивать планы и процессы тестирования информационной безопасности и аудиторские отчеты;

анализировать тенденции применительно к менеджменту информационной безопасности, к результатам аудита СМИБ и бизнес-среде;

отслеживать признаки инцидентов информационной безопасности до соответствующих элементов СМИБ

Обеспечивать постоянное улучшение, адекватность и эффективность СМИБ

Методы менеджмента риска;

финансовая отчетность и ее оценка;

методы менеджмента бюджета;

менеджмент затрат и методы их снижения

Определять подходящий интервал для страхования эффективности СМИБ;

провести анализ целей СМИБ, бюджеты, бизнес-показатели и подтвердить соответствующие действия;

сообщать результаты анализа со стороны руководства заинтересованным сторонам, если это необходимо;

влиять на результативность и эффективность информационной безопасности на основе результатов анализа со стороны руководства;

успешно председательствовать на собрании по обсуждению результативности менеджмента

Включаться в процесс, направленный на постоянное улучшение своевременным образом всех ключевых аспектов СМИБ

Методология и основы постоянного улучшения

Решать, следует ли поддерживать текущую СМИБ;

эффективно выполнять корректирующие действия;

определять, как применение процесса постоянного улучшения будет поддерживать цели СМИБ;

предлагать корректирующие действия;

учитывать новые законодательные и нормативные требования и обязательства;

предлагать механизмы для улучшения приемлемости, адекватности и результативности СМИБ

Согласовывать существующую СМИБ с последними технологическими инновациями с особым вниманием к рискам информационной безопасности, которые они могут снизить или создать

Новые технологии и их применение

Создавать картину будущих технологий, угроз и рисков и изменять текущую СМИБ, чтобы обеспечить ее постоянную приемлемость, адекватность и результативность;

анализировать влияние на бизнес новых технологий, таких как искусственный интеллект

Приверженность, постоянное улучшение, требования СМИБ, вдохновение, мотивация, влияние, переговоры, организационный авторитет, ответственность, организационная роль, цель организации, стратегическое направление, высшее руководство

Внутренняя и внешняя проблема, презентация, менеджмент взаимодействия, план взаимодействия, безопасность взаимодействия, культура заинтересованных сторон, менеджмент документации, целевая аудитория, внутреннее и внешнее взаимодействие, сотрудник по связям с общественностью, менеджмент заинтересованных сторон, заинтересованная сторона, анализ заинтересованных сторон, высшее руководство

Бизнес-метрики (сбалансированная система показателей (BSC), показатели ключевых целей (KGI), ключевые показатели эффективности (KPI), бизнес-стратегия, правовая и нормативная база

Анализ/оценка поведения, контроль мотивации, полномочия, организация, организационный дизайн (создание организации), организационная культура, анализ заинтересованных сторон

Антивирусное программное обеспечение, базовый уровень, менеджмент конфигураций, контроль, цель контроля, коррекция, менеджмент идентификации, менеджмент рисков информационной безопасности, оценка рисков, обработка рисков информационной безопасности, библиотека инфраструктур информационной технологии (ITIL), внутренняя угроза, цель, процесс, модель зрелости процессов, риск, анализ данных безопасности, менеджмент событий информационной безопасности (SIEM), меры безопасности, системный журнал, система мониторинга, анализ угроз, мониторинг угроз, анализ уязвимостей

Траектория обучения, контроль мотивации, расширение прав и возможностей, аттестации базовой квалификации, сертификация, компетентность, компьютерное обучение (CBT), соответствие, дисциплинарный процесс, обучение и образование конечных пользователей, занятость человеческих ресурсов, подготовка кадров и образование, осведомленность об информационной безопасности, учебная программа по информационной безопасности, трудовое пиратство, ответственность руководства, квалификация, ролевое обучение, отбор, веб-обучение (WBT)

Атака, анализ воздействия на бизнес, бизнес-риски, общение и консультация, последствия, постоянное улучшение, контроль, событие, событие информационной безопасности, уровень риска, вероятность, мониторинг, остаточный риск, обзор, риск, принятие риска, анализ риска, оценка риска, отношение к риску, риск-аппетит, толерантность к риску, информирование о рисках и консультации, критерии рисков, оценка рисков, идентификация рисков, менеджмент риска, основы менеджмента риска, процесс менеджмента риска, владелец риска, профиль риска, источник риска, обработка риска, заинтересованная сторона, угроза, уязвимость

Бизнес-метрики (BSC, KGI, KPI), анализ, менеджмент бюджета, составление бюджета СМИБ, стоимость, затраты и выгоды от внедрения СМИБ, расходы, финансовые принципы, менеджмент финансов, финансовый отчет, чистая приведенная стоимость (NPV), внутренняя норма прибыли (IRR), инвестиции, оценка инвестиций, рентабельность инвестиций (ROI), ключевой показатель эффективности, административная дисциплина, рентабельность инвестиций в безопасность (ROSI), KPI безопасности

Менеджмент конфигураций, данные, информационная потребность, требование информационной безопасности (анализ и спецификация), доступность, менеджмент изменений, облачный сервис, система баз данных, документация, средства обработки информации, архитектура информационной безопасности, инцидент информационной безопасности, информационная система, отказ информационной системы, архитектура информационной системы, ремонтопригодность, договор на обслуживание, стоимость обслуживания, сетевая архитектура, аутсорсинговая разработка, менеджмент исправлений, повторная разработка/обновление, надежность, требования, спецификация безопасности, анализ уязвимостей безопасности, безопасное кодирование, принципы безопасного кодирования, безопасная среда разработки, политика безопасной разработки, безопасное проектирование системы, принципы проектирования безопасных систем, обеспечение программного обеспечения, стабильность, приемочное тестирование системы, жизненный цикл развития системы (SDLC), менеджмент проектов разработки системы, системная инженерия, тестирование безопасности системы, удобство использования

Контроль, заинтересованное лицо, деятельность, утверждение и расстановка приоритетов, исходный уровень, запрос на изменение, менеджмент конфигураций, корректирующее действие, критический путь, групповая динамика, проект СМИБ, отставание, траектория обучения, жизненный цикл проекта, менеджер проекта, реестр рисков, тендер, иерархическая структура работ (WBS)

Требование информационной безопасности (анализ и спецификация), заинтересованное лицо, анализ воздействия на бизнес, анализ рисков, менеджмент контрактов, анализ затрат и выгод, утилизация, криминалистическая экспертиза информационной безопасности (форензика), политика информационной безопасности, заинтересованная сторона, законы и постановления, аутсорсинг, предварительная оценка, соответствие нормативным требованиям, запрос предложений (RFP), снижение рисков, риск - обоснованное решение, соглашение об уровне обслуживания (SLA), ходатайство, заявление о целях (SOO), техническое задание (SOW), общая стоимость владения (TCO)

Анализ и синтез, аналитическая модель, аналитическое мышление, оценка, когнитивная наука, критический фактор успеха (CSF), критическое мышление, данные, критерии принятия решения, производная мера, оценка, индикатор, потребность информационная, требование информационной безопасности (анализ и спецификация), внутренняя и внешняя проблема, измерение, презентация, подход к решению проблем, методологии решения проблем, масштаб, проверка (валидация)

Заинтересованное лицо, судебная экспертиза информационной безопасности (форензика), заинтересованная сторона, руководство деятельностью по менеджменту, руководящая деятельность по обеспечению информационной безопасности, руководящий орган, область руководящей деятельности по обеспечению информационной безопасности, риск информационной безопасности, внутренний контекст, цели и задачи организации, программный ресурс

Приверженность, постоянное улучшение, требования СМИБ, лидерство, переговоры, авторитет организации, ответственность организации, роль организации, цель организации, стратегическое направление, высшее руководство

(Информационный) актив, базовая мера, бизнес-преимущества СМИБ, менеджмент, цель менеджмента, исправление, затраты и выгоды от внедрения СМИБ, критический фактор успеха (CSF), эффективность, исполнительное руководство, внешний контекст, информационная безопасность, средства менеджмента информационной безопасности, меры обеспечения информационной безопасности, политика информационной безопасности, роль и ответственность информационной безопасности, проект СМИБ, ключевой показатель эффективности, правоохранительный орган, система менеджмента, политика мобильных устройств, новая платформа, неотказуемость, объект, цель, организация, политика, превентивные действия, надежность, рентабельность инвестиций в безопасность (ROSI), анализ политик информационной безопасности, риск, критерии принятия риска, менеджмент риска, процесс менеджмента рисков, разделение обязанностей, группы особых интересов, удаленная работа, высшее руководство

Приемлемый риск, ожидаемая годовая потеря, годовая частота возникновения, атака, доступность, стратегия резервного копирования, базовый уровень, базовое моделирование, бенчмаркинг, непрерывность бизнеса, анализ влияния бизнеса, бизнес-метрики (BSC, KGI, KPI), план восстановления бизнеса, управление изменениями, конфиденциальность, делегирование полномочий, цифровая идентификация, аварийное восстановление, событие, развитие человеческих ресурсов, средства обработки информации, очистка ИБ, непрерывность ИБ, событие ИБ, инцидент ИБ, оценка риска ИБ, управление рисками ИБ, обработка рисков ИБ, план чрезвычайных ситуаций информационной системы, инсайдерская угроза, взаимодействующие коммуникации, ротация должностей, лидерство, уровень риска, вероятность, управленческие возможности, минимальная цель непрерывности бизнеса (MBCO), обеспечение миссии, мониторинг, соглашение о неразглашении, аварийный план, порядок преемственности, чувствительность позиции, предварительная подготовка/готовность, превентивные действия, цель точки восстановления (RPO), цель времени восстановления (RTO), остаточный риск, принятие риска, критерии принятия риска, анализ риска, оценка риска, критерии оценки риска, идентификация риска, уровень риска, процесс управления риском, смягчение риска, владелец риска, источник риска, обработка рисков, нарушение безопасности, стандарт реализации безопасности, реагирование на инциденты безопасности, разделение обязанностей, социальная инженерия, специальное фоновое расследование (BOO), заинтересованная сторона, риск информационной безопасности, законы и нормативные акты, доступность, средства обработки информации, требование, внутренняя и внешняя проблема, организация, атака, конфиденциальность, оценка риска ИБ, управление рисками ИБ, обработка рисков ИБ, целостность, цель, планирование (процесс СМИБ)

(Информационный) актив, контроль доступа, аккредитация, антивирусное программное обеспечение, менеджмент активов, аутентификация, доступность, резервное копирование, базовый уровень безопасности, определение причины, менеджмент изменений, безопасность связи, группа реагирования на инциденты компьютерной безопасности (CSIRT), конфиденциальность, менеджмент конфигураций, криптография, аварийное восстановление, документация, экологическая безопасность, менеджмент идентификаций, обработка инцидентов, группа реагирования на инциденты, архитектура ИБ, инженерия ИБ, криминалистика информационной безопасности, инцидент информационной безопасности, менеджмент инцидентов информационной безопасности, оценка системы информационной безопасности, библиотека инфраструктуры информационных технологий (ITIL), инсайдерские угрозы, интегрированная среда разработки, ремонтопригодность, стоимость обслуживания, менеджмент исправлений, тестирование на проникновение, физическая безопасность, профилактическое обслуживание, метод проверки, информирование о рисках и консультации, риск снижения последствий, анализ данных безопасности, тестирование оценки безопасности, меры безопасности, анализ требований безопасности, спецификация безопасности, тестирование и оценка безопасности, анализ уязвимостей безопасности, принципы безопасного кодирования, методы безопасного программирования, безопасное проектирование системы, обеспечение безопасности программного обеспечения, стабильность, приобретение системы, жизненный цикл разработки системы (SDLC), менеджмент проектов разработки системы, системная инженерия, повышение защищенности системы, системный журнал, мониторинг системы, средства технического контроля безопасности, инструменты тестирования, анализ угроз, удобство использования

Базовый уровень, компьютерное обучение (CBT), учебный план, документация, обучение и образование конечных пользователей по вопросам безопасности, обучение персонала и образование, осведомленность об информационной безопасности, учебная программа по информационной безопасности, траектория обучения, система менеджмента обучения (LMS), цели обучения, оценка потребностей, ролевое обучение, тест, тестирование, веб-обучение (WBT)

Архивирование, менеджмент изменений, классификация, уничтожение, утилизация, критерии документации, менеджмент документации, методологии документирования, технологии документирования, документированная информация, метаданные, онтология, менеджмент записей, менеджмент версий

Подотчетность, анализ и синтез, оценка, аудит, кодекс этики, менеджмент контрактов, контроль, производная мера, оценивание, руководящая деятельность, руководящие принципы, судебная экспертиза информационной безопасности, показатели информационной безопасности, политика информационной безопасности, законы и правила, мера, измерение, функция измерения, метод измерения, результат измерения, мониторинг несоответствий, производительность, принципы конфиденциальности/честное (справедливое) использование информации, процедура, обзор, объект обзора, обзор действующих стандартов (международные/национальные/отраслевые стандарты, руководства и т.д.), доверенный объект передачи информации, единица измерения, валидация (аттестация), верификация

Аудит, объект аудита, заключение аудита, критерии аудита, свидетельства аудита, выводы аудита, метод аудита, цель аудита, план аудита, программа аудита, область аудита, группа аудита, проверяемая организация, аудитор, аутентификация, соответствие, затраты и преимущества внедрения СМИБ, руководство, внутренний и внешний аудит, процесс СМИБ, область действия и границы СМИБ, несоответствие, наблюдатель, принципы аудита, риск, объем аудита; аудиторские доказательства, технический эксперт

Менеджмент бюджета, бизнес-метрики (BSC, KGI, KPI), менеджмент коммуникаций, менеджмент затрат, финансы, менеджмент, цель, менеджмент рисков

Одобрение и расстановка приоритетов, определение причины, постоянное улучшение, корректирующие действия, обеспечение непрерывности информационной безопасности, несоответствие

Критическая инфраструктура, цифровое правительство, сообщество обмена информацией, новая платформа, написание сценария, стандарт реализации обеспечения безопасности, социальное видение, методологии прогнозирования технологии

ГОСТ Р ИСО/МЭК 27000-2012 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология"

Примечание - В настоящей таблице использовано следующее условное обозначение степени соответствия стандарта:

- IDT - идентичный стандарт.