СТ РК ISO/IEC 27003-2018
Информационные технологии
Методы и средства обеспечения безопасности
Системы менеджмента информационной безопасности
Руководство
(ISO/IEC 27003:2017 Information technology - Security techniques -
Information security management systems - Guidance, IDT)
Содержание
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Контекст организации
4.1 Понимание организации и ее контекста
4.2 Понимание потребностей и ожиданий заинтересованных сторон
4.3 Определение сферы действия системы менеджмента информационной безопасности
4.4 Система менеджмента информационной безопасности
5. Руководство
5.1 Руководство и обязательства
5.2 Политика
5.3 Организационные роли, обязанности и полномочия
6. Планирование
6.1 Мероприятия по устранению рисков и возможностей их появления
6.2 Цели информационной безопасности и планирование их достижения
7. Поддержка
7.1 Ресурсы
7.2 Компетентность
7.3 Осведомленность
7.4 Коммуникация
7.5 Документально подтвержденная информация
8. Функционирование
8.1 Оперативное планирование и контроль
8.2 Оценка риска информационной безопасности
8.3 Обработка рисков информационной безопасности
9. Оценка эффективности
9.1 Мониторинг, измерение, анализ и оценка
9.2 Внутренний аудит
9.3 Обзор управления
10. Улучшение
10.1 Несоответствие и корректирующие действия
10.2 Последовательное улучшение
Приложение А (информационное). Политика
Библиография
Приложение В.А (информационное). Сведения о соответствии стандартов ссылочным международным стандартам
Текст соответствует оригиналу
Введение
В настоящем стандарте приводятся рекомендации по требованиям к системе менеджмента информационной безопасности (далее - СМИБ), как приведено в ISO/IEC 27001, и даются рекомендации (с использованием слова «следует»), возможности (с использованием слова «возможно») и разрешения (с использованием слова «можно») по отношению к ним. Целью настоящего стандарта не является общее руководство по всем аспектам информационной безопасности.
В разделах 4-10 настоящего стандарта представлена структура ISO/IEC 27001:2013.
Настоящий стандарт не дополняет новые требования к СМИБ и соответствующие термины и определения. Компаниям следует ссылаться на ISO/IEC 27001 и ISO/IEC 27000 по требованиям и определениям. Компании, внедряющие СМИБ, не обязаны соблюдать указания настоящего стандарта.
СМИБ подчеркивает важность следующих этапов:
- понимание потребностей организации и необходимость установления политики информационной безопасности и целей информационной безопасности;
- оценку рисков организаций, связанных с обеспечением информационной безопасности;
- внедрение и управление процессами информационной безопасности, контроль и другие меры по анализу рисков;
- мониторинг и анализ эффективности СМИБ; а также
- постоянное совершенствование.
СМИБ, аналогичная любой другой системе менеджмента, включает следующие ключевые компоненты:
a) политика;
b) лица с определенными обязанностями;
c) процессы управления, связанные с:
1) создание политики;
