ГОСТ Р ИСО/МЭК 27003-2012 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности

Рисунок D.1 - Иерархия политики

Согласно стандарту ISO/IЕС 27001 требуется, чтобы организации имели политику СМИБ и политику информационной безопасности. Однако это не подразумевает каких-либо конкретных соотношений между этими политиками. Требования к политике СМИБ приведены в пункте 4.2.1 стандарта ISO/IEC 27001. Рекомендации по политике информационной безопасности приведены в пункте 5.1.1 стандарта ISO/IEC 27002. Эти политики могут разрабатываться как равноправные политики: политика СМИБ может подчиняться политике информационной безопасности, или, наоборот, политика информационной безопасности может подчиняться политике СМИБ.

Содержание политики основано на контексте, в котором работает организация. В частности, при разработке любой политики в рамках основ политики нужно учитывать следующее:

1) цели и задачи организации;

2) стратегии, адаптированные для достижения этих целей;

3) структуру и процессы, адаптированные организацией;

4) цели и задачи, связанные с предметом политики;

5) требования связанных политик более высокого уровня.

Этот процесс показан на рисунке D.2.