Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 27003-2012 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности

     5.2 Определение приоритетов организации для разработки СМИБ


Действия

Цели внедрения СМИБ должны учитываться при рассмотрении приоритетов и требований организации к информационной безопасности.

Исходные данные

a) стратегические цели организации;

b) обзор существующих систем управления;

c) перечень правовых, нормативных и договорных требований к информационной безопасности, применяемых в организации.

Рекомендации

Для запуска проекта СМИБ обычно требуется одобрение руководства. Следовательно, первое действие, которое необходимо выполнить - сбор существенной информации, показывающей значение СМИБ для организации. Организация должна определить, зачем нужна система СМИБ, определить цели внедрения СМИБ и запустить проект СМИБ.

Цели внедрения СМИБ можно определить, ответив на следующие вопросы:

a) менеджмент риска - как может СМИБ улучшить управление рисками для информационной безопасности?

b) результативность - как может СМИБ улучшить управление информационной безопасностью?

c) преимущества для предприятия - как может СМИБ создать конкурентные преимущества для организации?

Чтобы ответить на приведенные выше вопросы, необходимо рассмотреть приоритеты и требования организации в области информационной безопасности на основе следующих факторов:

a) важнейшие сферы деятельности предприятия и организации:

1 Что является важнейшими сферами деятельности предприятия и организации?

2 Какие сферы деятельности организации обеспечивают ведение бизнеса и чему уделяется особое внимание?

3 Какие существуют взаимоотношения и соглашения с третьими сторонами?

4 Привлекаются ли сторонние организации для оказания каких-либо услуг?

b) засекреченная или ценная информация:

1 Какая информация является наиболее важной для организации?

2 Какими могли бы быть возможные последствия при разглашении определенной информации неуполномоченным сторонам (например, потеря конкурентных преимуществ, ущерб по отношению к бренду или репутации, судебный иск и т.д.)?

c) законы, делающие обаятельным принятие мер информационной безопасности:

1 Какие законы, относящиеся к обработке риска или информационной безопасности, применяются в организации?

2 Является ли организация публичной глобальной организацией, для которой требуется внешняя финансовая отчетность?

d) контрактные или организационные соглашения, относящиеся к информационной безопасности:

1 Какие требования предъявляются к хранению данных (включая сроки хранения)?

2 Существуют ли контрактные требования, связанные с секретностью или качеством (например, соглашение об уровне услуг - SLA)?

e) отраслевые требования, определяющие конкретные способы управления и меры информационной безопасности: