ГОСТ Р ИСО/МЭК 13335-1-2006 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий (с Поправкой)

     6.1 Общие вопросы

Для успешного управления безопасностью ИТТ требуется применение видов деятельности, некоторые из которых осуществляют в соответствии со следующим циклом:

а) планирование:

1) определение организацией требований по безопасности ИТТ,

2) определение организацией целей, стратегий и политик безопасности ИТТ,

3) установление обязанностей и ответственности в рамках организации,

4) разработка плана по безопасности ИТТ,

5) оценка рисков,

6) решение об обработке риска и выборе защитных мер,

7) планирование непрерывности бизнеса;

б) реализация:

1) создание защитных мер,

2) одобрение ИТТ,

3) разработка и выполнение программы осведомленности персонала о безопасности,

4) аудит-функционирование защитных мер;

в) эксплуатация и поддержка:

1) контроль конфигурации и управление изменениями,

2) управление непрерывностью бизнеса,

3) анализ, аудит и мониторинг, а также проверка соответствия безопасности заявленным требованиям,

4) управление инцидентами безопасности информации.