Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 27003-2021 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации

     4.2 Понимание потребностей и ожиданий заинтересованных сторон


Необходимые мероприятия

Организация определяет заинтересованные стороны, имеющие отношение к СМИБ, и их требования к ИБ.

Пояснение

Заинтересованная сторона - это определенный термин (см. ИСО/МЭК 27000, 3.37), относящийся к лицам или организациям, которые могут влиять, находиться под влиянием или ощущать, что они находятся под влиянием решений или действий организации. Заинтересованные лица могут быть снаружи и внутри организации и могут иметь конкретные потребности, ожидания и требования к ИБ организации.

Внешние заинтересованные стороны могут включать:

a) регуляторов и законодателей;

b) акционеров, включая собственников и инвесторов;

c) поставщиков, включая субподрядчиков, консультантов и сторонних партнеров;

d) отраслевые ассоциации;

e) конкурентов;

f) клиентов и потребителей;

g) группы активистов.

Внутренние заинтересованные стороны могут включать:

h) лиц, принимающих решения, включая высшее руководство;

i) владельцев процессов, систем и информации;

j) лиц, предоставляющих вспомогательные функции, такие как ИТ или отдел кадров;

k) сотрудников и пользователей;

l) специалистов по ИБ.

Результаты этих мероприятий используются в 4.3 и 6.1.

Руководство

Необходимо предпринять следующие шаги:

- определить внешние заинтересованные стороны;

- определить внутренние заинтересованные стороны;

- определить требования заинтересованных сторон.

Поскольку потребности, ожидания и требования заинтересованных сторон со временем изменяются, эти изменения и их влияние на область действия, ограничения и требования СМИБ должны регулярно пересматриваться.

Документированная информация об этих мероприятиях и их результатах является обязательной только в той форме и в той мере, в которой организация считает это необходимым для эффективности своей системы менеджмента (см. ИСО/МЭК 27000, 3.37).

Дополнительная информация

Дополнительная информация отсутствует.