ГОСТ Р ИСО/МЭК 27003—2012
Документация по СМИБдолжна включатьдокументацию, указанную в ISO/IEC 27001:2005. пункт 4.3.1.
Необходимо осуществлять управление документами по СМИБ и сделать их доступными персоналу
при необходимости. Эти действия включают:
a) учреждение административной процедуры управления документами по СМИБ;
b
) подтверждение соответствия форматадокументов перед изданием;
c) обеспечение определения изменений и текущего состояния редакций документов:
d) защита и контроль документов как информационных активов организации.
Важно, чтобы соответствующие версии применяемых документов были доступны в пунктах исполь
зования. чтобыдокументы были удобочитаемыми, легко идентифицируемыми, передавались, хранились
или. в конечном счете, отклонялись всоответствии с процедурами, применяемыми к их классификации.
Кроме того, важно обеспечить, чтобы документы из внешних источников легко идентифицировались,
чтобы контролировалось распространениедокументов, предотвращая непредусмотренное использование
устаревших документов и применяя к ним соответствующие процедуры отслеживания, если они сохраня
ются с какой-либо целью.
Записи должны создаваться, сохраняться и контролироваться как свидетельство того, что СМИБ
организации соответствуетстандарту ISO/IEC 27001:2005 и что операции эффективны.
Также требуется сохранять записи состояния внедрения системы для всей фазы РОСА, а также запи
си об инцидентах и событиях, связанных с информационной безопасностью, записи об образовании, обуче
нии, навыках, опыте и квалификации, внутреннем аудите СМИБ. корректирующих и предупреждающих
действиях и организационные записи.
Для контроля записей необходимо выполнить следующие задачи:
a)документировать меры и средства контроля и управления, требуемые для идентификации, хране
ния. защиты, поиска и удаления данных, и документировать продолжительность хранения:
b
) определить, что и в какой степени должно записываться в процессах управления организацией:
c) если соответствующим законодательством определен какой-либо период хранения, он должен
быть установлен в соответствии с этими законными требованиями.
Выходные данные
Выходные данные этого действия следующие:
a)документ, описывающий требования к записям СМИБ и контролю документации:
b
) хранилища и шаблоны требуемых записей СМИБ.
Дополнительная информация
Дополнительная специальная информация нетребуется.
9.2.3 Разработка политики информационной безопасности
Действия
Необходимо документировать стратегическую позицию руководства и администрации, связанную с
целями информационной безопасности вотношении использования СМИБ.
Исходные данные:
a) выходные данные действия 5.2, определить приоритеты организации для разработки СМИБ —
обобщенные цели и перечень требований;
b
) выходные данные действия 5.4. составление описания случая применения СМИБ для данного
предприятия и плана проекта для утверждения руководством — первоначальное утверждение руковод
ством проекта СМИБ:
c) выходные данные действия 6.5, объединение всех областей действия и границ для получения
области действия и границ— областьдействия и границы СМИБ;
d) выходные данные действия 6.6. разработка политики СМИБ и получение одобрения руковод
ства — политика СМИБ;
в) выходные данные действия 7.2, определение требований к информационной безопасности для
процесса СМИБ;
0 выходные данные действия 7.3. определение активов в рамках области действия СМИБ;
д) выходныеданные действия 7.4. проведение оценки информационной безопасности;
h) выходные данные действия 8.2, проведение оценки риска — результаты оценки риска, выходные
данные действия 8.3, выбор целей и средств управления:
i) выходные данныедействия 9.2.1. разработка конечной структуры организации для информацион
ной безопасности;
j) выходные данныедействия 9.2.2. разработка основы для документирования СМИБ:
k) ISO/IEC 27002:2005, пункт: 5.1.1.
28