ГОСТ Р ИСО/МЭК 27003—2012
h)создание благоприятной и эффективной среды внутреннего управления;
i) обеспечение уверенности заинтересованных сторон в том. что информационные активы соответ
ствующим образом защищены.
Выходные данные
Выходные данные после выполнения этогодействия следующие;
a)документ, излагающий цели, приоритеты в области информационной безопасности и требования
организации к СМИБ;
b
)перечень законных, контрактных и отраслевых требований к информационной безопасности органи
зации;
c) описание характеристик предприятия, организации, местонахождения, активов и технологий.
Дополнительная информация
ISO/IEC 9001:2008. ISO/IEC 14001:2004. ISO/IEC 20000-1:2005.
5.3 Определение предварительной области действия СМИБ
5.3.1 Разработка предварительной области действия СМИБ
Действия
Цели, связанныес внедрением СМИБ,должны включатьопределение предварительной областидей
ствия СМИБ, которая необходима для проекта СМИБ.
Исходные данные
Выходныеданные действия 5.2, определение приоритетов организации для разработки СМИБ.
Рекомендации
Чтобы осуществить проект внедрения СМИБ. необходимо определить структуру организации для
реализации СМИБ. Предварительная областьдействия СМИБдолжна бытьопределена, чтобы обеспечить
для руководства рекомендации для принятия решений по внедрению системы и поддержатьдальнейшие
действия.
Предварительная область действия СМИБ нужна для того, чтобы определить случай применения
СМИБ для данного предприятия и предложить план проекта для утверждения руководством.
Выходные данные на этом этапе должны представлять собой документ, определяющий предвари
тельную область действия СМИБ. а именно:
a) изложение обязательных требований к менеджменту информационной безопасности, определяе
мых руководством организации, и обязательств, накладываемых на организацию извне;
b
)описание того, как части области действия системы взаимодействуют с другими системами управ
ления;
c) перечень целей предприятия в области менеджмента информационной безопасности (как опреде
лено в 5.2);
d) перечень важнейших бизнес-процессов, информационных активов, организационных структур и
регионов, где будет использоваться СМИБ:
e) соотношение существующих систем управления, регулирования, соответствия и целей органи
зации;
f) характеристики предприятия, организация, местонахождение, активы и технологии.
Необходимо определить общие элементы и практические различия между существующими система
ми управления и предлагаемой СМИБ.
Выходные данные
Выходные данные представляют собой документ, описывающий предварительную областьдействия
СМИБ.
Дополнительная информация
Дополнительной специальной информации нетребуется.
П р и м е ч а н и е — Следует обратить особое внимание на то. что в случае сертификации должны быть
выполнены особые требования к документации согласно ISO/IEC 27001:2005 в том. что касается области дей
ствия СМИБ. независимо от существующей в организации системы управления.
5.3.2 Определение ролей и сфер ответственности для предварительной области действия
СМИБ
Действия
Необходимо определить общие роли и сферы ответственности для предварительной области дей
ствия СМИБ.
8