ГОСТ Р ИСО/МЭК 27003—2012
6 Определение области действия СМИБ, границ и политики СМИБ
6.1 Общео описание определения области действия СМИБ, границ и политики СМИБ
Одобрение руководства для внедрения СМИБ основывается на предварительном определении обла
стидействия СМИБ, случая применения СМИБдля данного предприятия и первоначальном плане проекта.
Подробное определение области действия и границ СМИБ. определение политики СМИБ и ее принятие и
поддержка руководством являются ключевыми первичными факторами для успешного внедрения СМИБ.
Следовательно, цели этой фазы следующие:
Цели: Детально определитьобластьдействия и границы СМИБ. разработать политику СМИБ и полу
чить одобрение руководства.
ISO/IEC 27001:2005, ссылки: 4.2.1 а) и 4.2.1 Ь).
Чтобы достичь цели «детального определения области действия и границ СМИБ». необходимо вы
полнить следующие действия:
a) определить организационную областьдействия и границы;
b
) областьдействия и границы информационных и коммуникационных технологий (ИКТ) и
c) физическую областьдействия и границы:
d) определенные характеристики в ISO/IEC 27001:2005.4.2.1 а) и Ь), т. е. аспекты области действия и
границ, связанные с предприятием, организацией, местонахождением, активами и технологиями, и полити ка
формируются в процессе определения этой области действия и границ:
e) введение элементарной области действия и границдля получения областидействия и границ СМИБ.
Для достижения определения политики СМИБ и получения одобрения руководства необходимо от
дельное действие.
Чтобы построитьэффективную систему управления для организации, необходимо детально опреде
лить область действия СМИБ с учетом важнейших информационных активов организации. Важно иметь
общую терминологию и систематический подходдля определения информационных активов и оценки жиз
неспособных механизмовобеспечения безопасности. Это обеспечивает простоту коммуникации и способ
ствует устойчивому пониманию всех фаз внедрения системы. Также важно обеспечить включение в об
ластьдействия системы важнейших подразделений организации.
Можно определить область действия СМИБ, чтобы охватить всю организацию или ее часть, напри
мер подразделение или четко ограниченный вспомогательный элемент. Например, вслучае оказания «ус
луг» клиентам областьюдействия СМИБ может быть система управления услугами или пересекающимися
функциями (целое подразделение или часть подразделения). Требования ISO/IEC 27001:2005должны быть
выполнены для получения сертификации независимо от систем управления, существующих воргани
зации.
Определение организационной области действия и границ, области действия и границ технологии
передачи информации (6.3) и физической области действия и границ (6.4) не всегда должно выполняться
последовательно. Однако полезно указать на уже полученные областидействия и границы при определе
нии других областейдействия и границ.
6.2 Определение организационной области действия и границ
Действия
Необходимо определить организационную областьдействия и границы.
Исходные данные:
a) выходныеданные действия 5.3. определение предварительной области действия СМИБ — доку
ментированная предварительная областьдействия СМИБ, охватывающая:
1 Соотношения существующих систем управления, регулирования, соответствия и целей орга
низации;
2 Характеристики предприятия, организации, его или ее местонахождения, активов и технологий;
b
) выходные данныедействия 5.2. определение приоритетов организации для разработки СМИБ —
документированное утверждение руководством внедрения СМИБ и запуск проекта с необходимыми рас
пределенными ресурсами.
На рисунке 4 представлено общее описание определения области действия, границ и политики
СМИБ.
11