ГОСТ Р ИСО/МЭК 27003—2012
Н А Ц И О Н А
Л
Ь Н Ы ЙС Т А Н Д А Р ТР О С С И Й С К О ЙФ Е Д Е Р А Ц И И
Информационная технология
Методы и средства обеспечения безопасности.
Системы менеджмента информационной безопасности.
Руководство по реализации системы менеджмента информационной безопасности
Information technology. Security techniques. Information security management systems. Implementation guidance
of information security management system
Дата введения — 2013—12—01
1 Область применения
В настоящем стандарте рассматриваются важнейшие аспекты, необходимые для успешной разра
ботки и внедрения системы менеджмента информационной безопасности (СМИБ) в соответствии со стан
дартом ISO/IEC 27001:2005. В нем описывается процесс определения и разработки СМИБ от запуска до
составления планов внедрения. В нем описывается процесс получения одобрения руководством внедре
ния СМИБ. определяется проект внедрения СМИБ {упоминается внастоящем стандарте как проект СМИБ) и
представлены рекомендации по планированию проекта СМИБ. в результате которого получается оконча
тельный план внедрения СМИБ.
Настоящий стандарт предназначен для использования организациями, применяющими СМИБ. Он
применяется ко всем типам организаций (например, коммерческим предприятиям, правительственным орга
нам, некоммерческим организациям) любых размеров. Сложность структуры и риски каждой организации
уникальны, и на внедрение СМИБ будут влиять ее особые требования. Небольшие организации могут
посчитать, что действия, указанные в настоящем стандарте, применимы к ним и могут быть упрощены.
Крупным организациям или организациям со сложной структуройдля эффективного выполнения действий,
указанных в настоящем стандарте, может потребоваться многоуровневая система организации или управ
ления.
Однако в обоих случаях соответствующие действия можно планировать, применяя настоящий
стандарт.
Настоящий стандарт содержит рекомендации и разъяснения; в нем не указано никаких требо
ваний. Настоящий стандарт предназначен для использования в сочетании с ISO/IEC 27001:2005 и
ISO/IEC 27002:2005, но не предназначендля изменения или сокращения требований, указанных в ISO/IEC
27001:2005, или рекомендаций, содержащихся в ISO/IEC 27001:2005.
Предъявление требований на соответствие настоящему стандарту не применяется.
2 Нормативные ссылки
В настоящем стандарте использованы нормативныессылки на следующие международные стандар
ты (для недатированных ссылок следует использовать только последнее издание указанного стандарта,
включая поправки).
ISO/1EC 27000:2009 Информационные технологии. Методы и средства обеспечения безопасности.
Системы менеджмента информационной безопасности. Общий обзор и терминология (ISO/IEC 27000:2009,
Information technology — Security techniques — Information security management systems — Overview and
vocabulary)
ISO/IEC 27001:2005 Информационные технологии. Методы и средства обеспечения безопасности.
Системы менеджмента информационной безопасности. Требования (ISO/IEC 27001:2005, Informationtechnolo
gy — Security techniques — Information security management systems — Requirements)
Издание официальное
1