Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 27001-2006 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования

     4.3 Требования к документации

4.3.1 Общие положения

Документация должна включать в себя записи решений руководства, позволяющие обеспечивать контроль выполнения решений руководства и политик организации, а также обеспечивать воспроизводимость документированных результатов.

Важно иметь обратную связь выбранных мер управления с результатами процессов оценки и обработки риска, а также последних с политикой СМИБ и целями СМИБ.

Документация СМИБ должна включать в себя следующее:

a) документированные положения политики СМИБ [см. 4.2.1, перечисление b)] и целей СМИБ;

b) область функционирования СМИБ [см. 4.2.1, перечисление а)];

c) процедуры и меры управления, поддерживающие СМИБ;

d) описание методологии оценки риска [см. 4.2.1, перечисление с)];

e) отчет по оценке рисков [см. 4.2.1, перечисления с) - g)];

f) план обработки рисков;

g) документированные процедуры, необходимые организации для обеспечения эффективного планирования, внедрения процессов в области ИБ и управления этими процессами, а также описания путей оценки результативности мер управления [см. 4.2.3, перечисление с)];

h) учетные записи (см. 4.3.3);

i) положение о применимости.

Примечания:

1 Согласно настоящему стандарту термин "документированная процедура" означает, что процедура установлена, документально оформлена, реализована и поддерживается на должном уровне.

2 Для разных организаций объем документации СМИБ может быть различным в зависимости:

- от размера организации и вида ее деятельности;

- от области применения и сложности требований безопасности и от управляемой системы.

3 Документы и учетные записи могут существовать в любой форме и на носителях любого типа.

4.3.2 Управление документами

Для разработки, актуализации, использования, хранения и уничтожения документов СМИБ, а также их защиты в организации должна существовать документированная процедура, определяющая действия руководства по:

a) утверждению документов СМИБ перед их изданием;

b) пересмотру и обновлению, при необходимости, документов, а также повторному их утверждению;

c) обеспечению идентификации внесенных изменений и текущего статуса документов;

d) обеспечению наличия версий соответствующих документов в местах их использования;

е) определению порядка просмотра документов и их идентификации;

f) обеспечению доступа к документам авторизованным лицам, а также передачи, хранения и уничтожения в соответствии с процедурами, применимыми к степени их конфиденциальности;

g) идентификации документов, созданных вне организации;