ГОСТ Р ИСО/МЭК 27003—2012
l
Рекомендации
Информация по случаю применения СМИБдляданного предприятия и первоначальный план проекта
СМИБ должны включать определенные временные шкалы, ресурсы и этапы, требуемые для выполнения
основныхдействий, указанных в пунктах 6—9 настоящего стандарта.
Определение случая применения СМИБ для данного предприятия и первоначальный план проекта
СМИБ служат основой проекта, нотакже обеспечивают выделение и утверждение руководством ресурсов,
требуемых для внедрения СМИБ. То как применяемая СМИБ будет подкреплять цели предприятия, спо
собствует эффективности организационных процессов и повышает эффективность работы предприятия.
Информация по случаю применения СМИБдля данного предприятия должна включать короткие заяв
ления. связанные с целями организации, и охватывать следующие вопросы:
a) цели и конкретные задачи:
b
) выгодыдля организации:
c) предварительная область действия СМИБ. включая затрагиваемые бизнес-процессы:
d) важнейшие процессы и факторы для достижения целей СМИБ:
e) описание проекта высокого уровня;
f) первоначальный план внедрения системы:
д)определенные роли и сферы ответственности;
h) требуемые ресурсы (технологические и людские):
i) соображения, касающиеся внедрения системы, включая существующую систему информацион
ной безопасности;
j) временная шкала с ключевыми этапами;
k) предполагаемые затраты;
) важнейшие факторы успеха;
т ) количественное определение выгоддля организации.
План проектадолжен включать соответствующие действия из фаз, описываемых в пунктах 6—9 на
стоящего стандарта.
Л
ица, влияющие на СМИБ или находящиеся подее влиянием, должны быть определены: им должно
быть предоставлено необходимое время для того, чтобы изучить и прокомментировать описание случая
применения СМИБдля данного предприятия и предложение по проекту СМИБ. Описание случая примене
ния СМИБ для данного предприятия и предложение по проекту СМИБ должны при необходимости обнов
ляться по мере появления исходных данных. При получении достаточной поддержки описание случая
применения СМИБ для данного предприятия и предложение по проекту СМИБ должны быть представлены
руководству для утверждения.
Руководстводолжно утвердить описание случая применения СМИБдля данного предприятия и пер
воначальный план проекта, чтобы составить поручения для всей организации и начать реализацию проекта
СМИБ.
Предполагаемые выгоды от поручения руководства на внедрение СМИБ следующие:
a) знание и применение соответствующих законов, норм, договорных обязательств и стандартов,
касающихся информационной безопасности, которое позволит избежать ответственности и взысканий в
случав несоответствия:
b
)эффективное использование множества процессовобеспечения информа-ционной безопасности;
c) устойчивость и растущая уверенность в росте благодаря лучшему менеджменту риска информаци
онной безопасности;
d) определение и защита важной для предприятия информации.
Выходные данные
Выходные данные этогодействия следующие:
a)документированное одобрение руководством выполнения проекта СМИБ с распределенными ре
сурсами;
b
)документированное описание случая применения СМИБдля данного предприятия.
c) начальное предложение по проекту СМИБ с основными этапами, такими как выполнение оценки
риска, реализация проекта, внутренний аудит и проверки, осуществляемые руководством.
Дополнительная информация
ISO/IEC 27000:2009 в качестве примеров важнейших факторов успеха в подкрепление описания слу
чая применения СМИБдля данного предприятия.
10