ГОСТ Р ИСО/МЭК 27003—2012
3 Термины и определения
В настоящем стандарте применены термины и определения no ISQ1EC 27000:2009. ISO/IEC 27001:2005,
а также следующий термин с соответствующим определением.
3.1 проект СМИБ (ISMS project). Структурированные действия, предпринимаемые организацией для
внедрения системы управления информационной безопасностью.
4 Структура настоящего стандарта
4.1 Общая структура раздела настоящего стандарта
Внедрение системы менеджмента информационной безопасности (СМИБ) является важным видом
деятельности и обычно осуществляется в организации как проект. В настоящем стандарте объясняется
внедрение СМИБ с подробным описанием запуска, планирования и определения проекта. Процесс плани
рования конечного внедрения СМИБ включает пять фаз, и каждая фаза представлена в отдельном пункте.
Все разделы имеют одинаковую структуру, описываемую ниже. Эти пять фаз следующие:
a) получение одобрения руководства для запуска проекта СМИБ (раздел 5);
b
) определения области действия и политики СМИБ (раздел 6);
c) проведение анализа организации (раздел 7);
d) проведение анализа рисков и планирование обработки рисков (раздел 8);
e) разработка СМИБ (раздел 9).
На рисунке 1 представлены пять фаз планирования проекта СМИБ с указанием стандартов ISO/IEC и
основных выходных документов.
Дополнительная информация приведена вприложениях:
Приложение А. Описание контрольного перечня.
Приложение В. Роли и сферы ответственности вобласти информационной безопасности.
Приложение С. Информация по внутреннему аудиту.
Приложение D. Структура политики.
Приложение Е. Мониторинг и измерения.
2