НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
ГОСТ Р ИСО/МЭК 27001-2006
Информационная технология
Методы и средства обеспечения безопасности системы менеджмента информационной безопасности
Требования
INFORMATION TECHNOLOGY. SECURITY TECHNIQUES. INFORMATION
SECURITY MANAGEMENT SYSTEMS. REQUIREMENTS
Содержание
0. Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Система менеджмента информационной безопасности
5. Ответственность руководства
6. Внутренние аудиты системы менеджмента информационной безопасности
7. Анализ системы менеджмента информационной безопасности со стороны руководства
8. Улучшение системы менеджмента информационной безопасности
Приложение A (рекомендуемое) Цели и меры управления
Приложение B (справочное) Принципы организации экономического сотрудничества и развития и настоящий стандарт
Приложение C (справочное) Сравнение структуры настоящего стандарта со структурами международных стандартов ИСО 9001:2000, ИСО 14001:2004
Приложение D (справочное) Сведения о соответствии национального стандарта Российской Федерации ссылочному международному стандарту
Библиография
0. Введение
0.1. Общие положения
Настоящий стандарт подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения системы менеджмента информационной безопасности (СМИБ). Внедрение СМИБ является стратегическим решением организации. На проектирование и внедрение СМИБ организации влияют потребности и цели организации, требования безопасности, используемые процессы, а также масштабы деятельности и структура организации. Предполагается, что вышеуказанные факторы и поддерживающие их системы будут изменяться во времени. Предполагается также, что СМИБ будет изменяться пропорционально потребностям организации, т.е. для простой ситуации потребуется простое решение по реализации СМИБ.
Положения настоящего стандарта могут быть использованы как внутри организации, так и внешними организациями для оценки соответствия.
0.2. Процессный подход
Настоящий стандарт предполагает использовать процессный подход для разработки, внедрения, обеспечения функционирования, мониторинга, анализа, поддержки и улучшения СМИБ организации.
Для успешного функционирования организация должна определить и осуществить менеджмент многочисленных видов деятельности. Деятельность, использующая ресурсы и управляемая в целях преобразования входов в выходы, может быть рассмотрена как процесс. Часто выход одного процесса непосредственно формирует вход для следующего процесса.
Использование внутри организации системы процессов наряду с идентификацией и взаимодействием этих процессов, а также менеджмент процессов могут быть определены как «процессный подход».
Согласно предлагаемому настоящим стандартом процессному подходу применительно к менеджменту информационной безопасности (ИБ) особую значимость для пользователей имеют следующие факторы:
