СТ РК ISO/IEC 27003-2018 «Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство»

СТ РК ISO/IEC 27003-2018

Информационные технологии
Методы и средства обеспечения безопасности
Системы менеджмента информационной безопасности
Руководство

(ISO/IEC 27003:2017 Information technology - Security techniques -

Information security management systems - Guidance, IDT)

Содержание

Введение

1. Область применения

2. Нормативные ссылки

3. Термины и определения

4. Контекст организации

4.1 Понимание организации и ее контекста

4.2 Понимание потребностей и ожиданий заинтересованных сторон

4.3 Определение сферы действия системы менеджмента информационной безопасности

4.4 Система менеджмента информационной безопасности

5. Руководство

5.1 Руководство и обязательства

5.2 Политика

5.3 Организационные роли, обязанности и полномочия

6. Планирование

6.1 Мероприятия по устранению рисков и возможностей их появления

6.2 Цели информационной безопасности и планирование их достижения

7. Поддержка

7.1 Ресурсы

7.2 Компетентность

7.3 Осведомленность

7.4 Коммуникация

7.5 Документально подтвержденная информация

8. Функционирование

8.1 Оперативное планирование и контроль

8.2 Оценка риска информационной безопасности

8.3 Обработка рисков информационной безопасности

9. Оценка эффективности

9.1 Мониторинг, измерение, анализ и оценка

9.2 Внутренний аудит

9.3 Обзор управления

10. Улучшение

10.1 Несоответствие и корректирующие действия

10.2 Последовательное улучшение

Приложение А (информационное). Политика

Библиография

Приложение В.А (информационное). Сведения о соответствии стандартов ссылочным международным стандартам

Текст соответствует оригиналу

Введение

В настоящем стандарте приводятся рекомендации по требованиям к системе менеджмента информационной безопасности (далее - СМИБ), как приведено в ISO/IEC 27001, и даются рекомендации (с использованием слова «следует»), возможности (с использованием слова «возможно») и разрешения (с использованием слова «можно») по отношению к ним. Целью настоящего стандарта не является общее руководство по всем аспектам информационной безопасности.

В разделах 4-10 настоящего стандарта представлена структура ISO/IEC 27001:2013.

Настоящий стандарт не дополняет новые требования к СМИБ и соответствующие термины и определения. Компаниям следует ссылаться на ISO/IEC 27001 и ISO/IEC 27000 по требованиям и определениям. Компании, внедряющие СМИБ, не обязаны соблюдать указания настоящего стандарта.

СМИБ подчеркивает важность следующих этапов:

- понимание потребностей организации и необходимость установления политики информационной безопасности и целей информационной безопасности;

- оценку рисков организаций, связанных с обеспечением информационной безопасности;

- внедрение и управление процессами информационной безопасности, контроль и другие меры по анализу рисков;

- мониторинг и анализ эффективности СМИБ; а также

- постоянное совершенствование.

СМИБ, аналогичная любой другой системе менеджмента, включает следующие ключевые компоненты:

a) политика;

b) лица с определенными обязанностями;

c) процессы управления, связанные с:

1) создание политики;