Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 27003-2012 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности

     6.1 Общее описание определения области действия СМИБ, границ и политики СМИБ


Одобрение руководства для внедрения СМИБ основывается на предварительном определении области действия СМИБ, случая применения СМИБ для данного предприятия и первоначальном плане проекта. Подробное определение области действия и границ СМИБ, определение политики СМИБ и ее принятие и поддержка руководством являются ключевыми первичными факторами для успешного внедрения СМИБ.

Следовательно, цели этой фазы следующие:

Цели: Детально определить область действия и границы СМИБ, разработать политику СМИБ и получить одобрение руководства.

ISO/IEC 27001:2005, ссылки: 4.2.1 a) и 4.2.1 b).

Чтобы достичь цели "детального определения области действия и границ СМИБ", необходимо выполнить следующие действия:

a) определить организационную область действия и границы:

b) область действия и границы информационных и коммуникационных технологий (ИКТ) и

c) физическую область действия и границы;

d) определенные характеристики в ISO/IEC 27001:2005, ссылки 4.2.1 a) и b), т.е. аспекты области действия и границ, связанные с предприятием, организацией, местонахождением, активами и технологиями, и политика формируются в процессе определения этой области действия и границ;

e) введение элементарной области действия и границ для получения области действия и границ СМИБ.

Для достижения определения политики СМИБ и получения одобрения руководства необходимо отдельное действие.

Чтобы построить эффективную систему управления для организации, необходимо детально определить область действия СМИБ с учетом важнейших информационных активов организации. Важно иметь общую терминологию и систематический подход для определения информационных активов и оценки жизнеспособных механизмов обеспечения безопасности. Это обеспечивает простоту коммуникации и способствует устойчивому пониманию всех фаз внедрения системы. Также важно обеспечить включение в область действия системы важнейших подразделений организации.

Можно определить область действия СМИБ, чтобы охватить всю организацию или ее часть, например подразделение или четко ограниченный вспомогательный элемент. Например, в случае оказания "услуг" клиентам областью действия СМИБ может быть система управления услугами или пересекающимися функциями (целое подразделение или часть подразделения). Требования ISO/IEC 27001:2005 должны быть выполнены для получения сертификации независимо от систем управления, существующих в организации.

Определение организационной области действия и границ, области действия и границ технологии передачи информации (6.3) и физической области действия и границ (6.4) не всегда должно выполняться последовательно. Однако полезно указать на уже полученные области действия и границы при определении других областей действия и границ.