Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 27003-2021 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации

     4.1 Понимание организации и ее контекста


Необходимые мероприятия

Организация определяет внешние и внутренние факторы, относящиеся к ее цели и влияющие на ее способность достичь ожидаемого(ых) результата(ов) системы менеджмента информационной безопасности (СМИБ).

Пояснение

Для выполнения неотъемлемой функции СМИБ организация должна постоянно подвергать анализу как себя, так и окружающий мир. Такой анализ связан с внешними и внутренними факторами, которые каким-то образом влияют на ИБ и то, как она управляется, а также на соответствующие цели организации.

Анализ этих факторов преследует три цели:

- понимание контекста для определения области действия СМИБ;

- анализ контекста для определения рисков и возможностей;

- обеспечение адаптации СМИБ к меняющимся внешним и внутренним факторам.

Внешние факторы находятся вне контроля организации. Их часто называют средой организации.

Анализ среды может включать следующие аспекты:

a) социальные и культурные;

b) политические, юридические, нормативные и правовые;

c) финансовые и макроэкономические;

d) технологические;

e) природные;

f) конкурентные.

Эти аспекты среды организации постоянно преподносят факторы, которые влияют на ИБ и на то, как она управляется. Соответствующие внешние факторы зависят от конкретных приоритетов организации и ситуации.

Например, внешние факторы для конкретной организации могут включать:

g) юридические последствия использования аутсорсинговых ИТ-услуг (юридический аспект);

h) природные условия с точки зрения возможности возникновения таких бедствий, как пожар, наводнение и землетрясение (природный аспект);

i) технические достижения хакерских инструментов и использование криптографии (технологический аспект);

j) общий спрос на услуги организации (социальные, культурные или финансовые аспекты).

Внутренние факторы находятся под контролем организации. Их анализ может включать следующие аспекты:

k) культура организации;

l) политика, цели и стратегии их достижения;

m) управление, организационная структура, роли и обязанности;

n) стандарты, руководящие принципы и модели, принятые организацией;

o) договорные отношения, которые могут непосредственно влиять на процессы организации, включенные в область действия СМИБ;