ГОСТ Р ИСО/МЭК 27003-2012 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности

     6.6 Разработка политики СМИБ и получение одобрения руководства

Действия

Необходимо разработать политику СМИБ и получить одобрение руководства.

Исходные данные

a) выходные данные действия 6.5, объединение всех областей действия и границ для получения области действия и границ СМИБ - документированная область действия и границы СМИБ;

b) выходные данные действия 5.2, определение приоритетов организации для разработки СМИБ - документированные цели внедрения СМИБ;

c) выходные данные действия 5.4, составление описания случая применения СМИБ для данного предприятия и проекта плана для утверждения руководством - документы:

1 Требования и приоритеты организации в области информационной безопасности;

2 Первоначальный проект плана внедрения СМИБ с основными этапами, такими как проведение оценки риска, внутренний аудит и проверка, осуществляемая руководством.

Рекомендации

При определении политики СМИБ следует принять во внимание следующие аспекты:

a) установить цели СМИБ на основе требований и приоритетов организации в области информационной безопасности;

b) установить общие фокусные точки и руководства к действию для достижения целей СМИБ;

c) учесть законные обязательные требования организации и договорные обязательства, связанные с информационной безопасностью;

d) ситуация с управлением рисками в организации;

e) установить критерии для оценки рисков (см. ISO/IEC 27005:2008) и определения структуры оценки риска;

f) определить сферы ответственности руководителей высшего уровня в отношении СМИБ;

g) получить одобрение руководства.

Выходные данные