ГОСТ Р ИСО/МЭК 27003-2012 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности

     4.1 Общая структура разделов документа

Внедрение системы менеджмента информационной безопасности (СМИБ) является важным видом деятельности и обычно осуществляется в организации как проект. В настоящем стандарте объясняется внедрение СМИБ с подробным описанием запуска, планирования и определения проекта. Процесс планирования конечного внедрения СМИБ включает пять фаз, и каждая фаза представлена в отдельном пункте. Все разделы имеют одинаковую структуру, описываемую ниже. Эти пять фаз следующие:

a) получение одобрения руководства для запуска проекта СМИБ (раздел 5);

b) определения области действия и политики СМИБ (раздел 6);

c) проведение анализа организации (раздел 7);

d) проведение анализа рисков и планирование обработки рисков (раздел 8);

e) разработка СМИБ (раздел 9).

На рисунке 1 представлены пять фаз планирования проекта СМИБ с указанием стандартов ISO/IEC и основных выходных документов.

Рисунок 1 - Фазы проекта СМИБ

Дополнительная информация приведена в приложениях:

Приложение A.  Описание контрольного перечня.

Приложение B. Роли и сферы ответственности в области информационной безопасности.

Приложение C. Информация по внутреннему аудиту.

Приложение D. Структура политики.

Приложение E.  Мониторинг и измерения.