ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности

     7.1 Общие положения

Входные данные. Вся информация об организации, имеющая отношение к установлению контекста менеджмента риска ИБ.

Действие. Должен быть установлен контекст менеджмента риска ИБ, что включает определение основных критериев, необходимых для менеджмента риска ИБ (в соответствии с 7.2), определение области применения и границ (в соответствии с 7.3), а также создание соответствующей организационной структуры, занимающейся менеджментом риска ИБ (в соответствии с 7.4).

Руководство по реализации. Необходимо определить цель менеджмента риска ИБ, так как она влияет на общий процесс и на установление контекста в частности. Этой целью может быть:

- поддержка СМИБ;

- исполнение законодательно-нормативных требований и подтверждение проявленной организацией разумной предосторожности;

- подготовка плана обеспечения непрерывности бизнеса;

- подготовка плана реагирования на инциденты;

- описание требований ИБ для продукта, услуги или механизма.

Руководство по реализации для элементов установления контекста, необходимых для поддержки СМИБ, обсуждается в 7.2, 7.3 и 7.4.

Примечание - В ИСО/МЭК 27001 не используется термин "контекст". Однако весь раздел 7 данного стандарта связан с требованиями "определение сферы действия и границ СМИБ" [см. 4.2.1, перечисление a)], "определение политики СМИБ" [см. 4.2.1, перечисление b)] и "определение подхода к оценке риска" [см. 4.2.1, перечисление с)], установленными в ИСО/МЭК 27001.

Выходные данные. Спецификация основных критериев, сфера действия и границы, организационная структура для процесса менеджмента риска ИБ.