ГОСТ Р ИСО/МЭК 27003-2012 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности

     5.4 Разработка технического обоснования и плана проекта для получения санкции руководства

Действия

Одобрение руководства и выделение ресурсов для реализации проекта внедрения СМИБ должны быть получены путем определения случая применения СМИБ для данного предприятия и предложения проекта СМИБ.

Исходные данные

a) выходные данные действия 5.2, определение приоритетов организации для разработки СМИБ;

b) выходные данные действия 5.3, определение предварительной области действия СМИБ - документы предварительные.

1 Область действия СМИБ и

2 Связанные с ней роли и сферы ответственности.

Рекомендации

Информация по случаю применения СМИБ для данного предприятия и первоначальный план проекта СМИБ должны включать определенные временные шкалы, ресурсы и этапы, требуемые для выполнения основных действий, указанных в пунктах 6-9 данного национального стандарта.

Определение случая применения СМИБ для данного предприятия и первоначальный план проекта СМИБ служат основой проекта, но также обеспечивают выделение и утверждение руководством ресурсов, требуемых для внедрения СМИБ. То, как применяемая СМИБ будет подкреплять цели предприятия, способствует эффективности организационных процессов и повышает эффективность работы предприятия.

Информация по случаю применения СМИБ для данного предприятия должна включать короткие заявления, связанные с целями организации, и охватывать следующие вопросы:

a) цели и конкретные задачи;

b) выгоды для организации;

c) предварительная область действия СМИБ, включая затрагиваемые бизнес-процессы;

d) важнейшие процессы и факторы для достижения целей СМИБ;

e) описание проекта высокого уровня;

f) первоначальный план внедрения системы;

g) определенные роли и сферы ответственности;

h) требуемые ресурсы (технологические и людские);

i) соображения, касающиеся внедрения системы, включая существующую систему информационной безопасности;

j) временная шкала с ключевыми этапами;

k) предполагаемые затраты;

I) важнейшие факторы успеха;

m) количественное определение выгод для организации.

План проекта должен включать соответствующие действия из фаз, описываемых в пунктах 6-9 данного международного стандарта.

Лица, влияющие на СМИБ или находящиеся под ее влиянием, должны быть определены; им должно быть предоставлено необходимое время для того, чтобы изучить и прокомментировать описание случая применения СМИБ для данного предприятия и предложение по проекту СМИБ. Описание случая применения СМИБ для данного предприятия и предложение по проекту СМИБ должны при необходимости обновляться по мере появления исходных данных. При получении достаточной поддержки описание случая применения СМИБ для данного предприятия и предложение по проекту СМИБ должны быть представлены руководству для утверждения.

Руководство должно утвердить описание случая применения СМИБ для данного предприятия и первоначальный план проекта, чтобы составить поручения для всей организации и начать реализацию проекта СМИБ.

Предполагаемые выгоды от поручения руководства на внедрение СМИБ следующие:

a) знание и применение соответствующих законов, норм, договорных обязательств и стандартов, касающихся информационной безопасности, которое позволит избежать ответственности и взысканий в случае несоответствия;