СТ РК ISO/IEC 27001-2015
Информационная технология
Методы и средства обеспечения безопасности
Системы менеджмента информационной безопасностью
Требования
(ISO/IEC 27001:2013 «Information technology - Security techniques - Information security
management systems - Requirements», IDT)
Взамен введен СТ РК ISO/IEC 27001-2023
Действие отменяется с 31 октября 2025 года в соответствии с приказом Председателя Комитета технического регулирования и метрологии Министерства торговли и интеграции РК от 14 ноября 2023 года № 440-НҚ
Содержание
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Организационная среда
5. Лидерство
6. Планирование
7. Поддержка разработок
8. Эксплуатация
9. Оценка эффективности функционирования СМИБ
10. Усовершенствование и развитие СМИБ
Приложение А (обязательное). Цели, меры и средства контроля и менеджмента
Библиография
Приложение В.А (информационное)
Введение
0 Введение
0.1 Общие сведения
Настоящий стандарт был подготовлен с целью установления требований к разработке, внедрению, поддержанию в рабочем состоянии и непрерывному совершенствованию системы менеджмента информационной безопасностью (СМИБ). Внедрение СМИБ должно быть стратегическим решением организации. На проектирование и внедрение СМИБ организации оказывают влияние ее потребности и цели, требования безопасности, применяемые процессы, а также размер и структура организации. Все эти факторы влияния, как ожидается, будут изменяться во времени.
Система менеджмента информационной безопасностью позволяет сохранять конфиденциальность, целостность и доступность информации благодаря использованию адекватной технологии управления рисками, придающей уверенность в успехе всем заинтересованным сторонам.
Важно то, что СМИБ является частью процессов, происходящих внутри самой организации, и представляет собой неотъемлемую часть ее общей управленческой структуры, а вопросы защиты информации рассматриваются организацией уже на стадии проектирования технологических процессов, информационных систем и средств управления. Предполагается также, что СМИБ будет в дальнейшем расширяться в соответствии с конкретными потребностями организации.
Настоящий стандарт может использоваться всеми внутренними и внешними заинтересованными сторонами для объективной оценки способности организации к удовлетворению собственных требований по защите информации.
Порядок, в котором эти требования представлены в данном стандарте, не отражает ни степень их важности, ни последовательность, в которой они должны реализовываться в каждом конкретном случае. Приведенный перечень требований носит только справочный характер.
Общий обзор и словарь терминов СМИБ можно найти в стандарте СТ РК ISO/IEC 27000, содержащем также ссылки на семейство стандартов по обеспечению информационной безопасностью [2], [3] и [4], в которых приводятся термины и определения по соответствующим предметным областям.
0.2 Совместимость с другими стандартами по системам менеджмента.
