СТ РК ISO/IEC 27003-2012
Информационные технологии
Методы обеспечения безопасности
Руководство по внедрению системы менеджмента
информационной безопасности
(ISO/IEC 27003:2010, IDT)
Взамен введен СТ РК ISO/IEC 27003-2018
Содержание
Введение
1. Область применения
2. Нормативные ссылки
3 Термины и определения
4. Структура настоящего стандарта
5. Получение одобрения руководства для запуска проекта СМИБ
6. Определение области применения СМИБ, границ и политики СМИБ
7. Проведение анализа требований к информационной безопасности
8. Проведение оценки риска и планирование обработки риска
9. Разработка СМИБ
Приложение A (информационное). Описание контрольной таблицы
Приложение Б (информационное). Роли и сферы ответственности в области информационной безопасности
Приложение В (информационное). Информация по внутреннему аудиту
Приложение Г (информационное). Структура политики
Приложение Д (информационное). Мониторинг и измерения
Приложение Д. А. (информационное). Сведения о соответствии государственных стандартов ссылочным международным стандартам (международным документам)
Библиография
Введение
Целью настоящего стандарта является предоставление практических рекомендаций по разработке плана внедрения Системы Менеджмента Информационной Безопасности (СМИБ) внутри организации в соответствии с ISO/IEC 27001. Фактическое внедрение СМИБ обычно осуществляется как проект.
Процесс, описанный в рамках настоящего стандарта, был разработан для оказания поддержки в реализации ISO/IEC 27001; (соответствующие части пунктов 4, 5 и 7 включительно) и документирует:
a) подготовку начала разработки плана внедрения СМИБ в организации, определение организационной структуры для проекта и получение одобрения со стороны руководства,
b) критические мероприятия для проекта СМИБ,
c) примеры для достижения требований в ISO/IEC 27001.
С помощью настоящего стандарта организация будет иметь возможность разработать процесс управления информационной безопасностью, обеспечивая заинтересованным сторонам гарантию, что риски для информационных активов непрерывно удерживаются в пределах приемлемой информационной безопасности, определенных организацией.
Настоящий стандарт не распространяется на текущую деятельность и другие виды деятельности, связанные с СМИБ, но охватывает понятия того, как разрабатывать мероприятия, которые будут результатом начала использования СМИБ. Концепция является результатом заключительного плана внедрения проекта СМИБ. Фактическое выполнение части проекта СМИБ, характерного для конкретной организации, выходит за рамки настоящего стандарта.
Внедрение проекта СМИБ должно осуществляться с использованием стандартных методологий управления проектами (для получения дальнейшей информации см. стандарты ISO и ISO/IEC в области управления проектами).
1. Область применения
