Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 27003-2012 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности

     5.3 Определение предварительной области действия СМИБ

5.3.1 Разработка предварительной области действия СМИБ

Действия

Цели, связанные с внедрением СМИБ, должны включать определение предварительной области действия СМИБ, которая необходима для проекта СМИБ.

Исходные данные

Выходные данные действия 5.2, определение приоритетов организации для разработки СМИБ.

Рекомендации

Чтобы осуществить проект внедрения СМИБ, необходимо определить структуру организации для реализации СМИБ. Предварительная область действия СМИБ должна быть определена, чтобы обеспечить для руководства рекомендации для принятия решений по внедрению системы и поддержать дальнейшие действия.

Предварительная область действия СМИБ нужна для того, чтобы определить случай применения СМИБ для данного предприятия и предложить план проекта для утверждения руководством.

Выходные данные на этом этапе должны представлять собой документ, определяющий предварительную область действия СМИБ, а именно:

a) изложение обязательных требований к менеджменту информационной безопасности, определяемых руководством организации, и обязательств, накладываемых на организацию извне;

b) описание того, как части области действия системы взаимодействуют с другими системами управления;

c) перечень целей предприятия в области менеджмента информационной безопасности (как определено в пункте 5.2);

d) перечень важнейших бизнес-процессов, информационных активов, организационных структур и регионов, где будет использоваться СМИБ;

e) соотношение существующих систем управления, регулирования, соответствия и целей организации;

f) характеристики предприятия, организация, местонахождение, активы и технологии.

Необходимо определить общие элементы и практические различия между существующими системами управления и предлагаемой СМИБ.

Выходные данные

Выходные данные представляют собой документ, описывающий предварительную область действия СМИБ.

Дополнительная информация

Дополнительной специальной информации не требуется.

Примечание - Следует обратить особое внимание на то, что в случае сертификации должны быть выполнены особые требования к документации согласно ISC/IEC 27001:2005 в том, что касается области действия СМИБ, независимо от существующей в организации системы управления.

5.3.2 Определение ролей и сфер ответственности для предварительной области действия СМИБ

Действия

Необходимо определить общие роли и сферы ответственности для предварительной области действия СМИБ.

Исходные данные

a) выходные данные действия 5.3.1, разработка предварительной области действия СМИБ;

b) список заинтересованных сторон, которые получат выгоду в результате реализации проекта СМИБ.

Рекомендации