ГОСТ Р ИСО/МЭК 27003—2012
5 Получение одобрения руководства для запуска проекта СМИБ
5.1 Описание получения одобрения руководства для запуска проекта СМИБ
Существует несколько факторов, которые необходимо учитывать при принятии решения о внедрении
СМИБ. Для того чтобы учесть эти факторы, руководство должно рассмотретьделовые аргументы в пользу
внедрения проекта СМИБ и утвердить его. Следовательно, цель этой фазы — получитьодобрение руковод
ства для запуска проекта СМИБ посредством определения случая применения СМИБ для данного пред
приятия и плана проекта.
Чтобы получить одобрение руководства, организация должна составить описание случая примене
ния СМИБдля данного предприятия, включающее приоритеты и цели внедрения СМИБ. а также структуру
организации для СМИБ. Наряду с этим следует составить начальный план проекта СМИБ.
Работа, выполняемая в данной фазе, позволит организации понять важность СМИБ и определить
роли и сферы ответственности вобласти информационной безопасности внутри организации, требуемые
для проекта СМИБ.
Ожидаемым результатом этой фазы будет предварительное разрешение руководства и принятие им
обязательства по внедрению СМИБ и выполнению действий, описываемых в настоящем стандарте. Вы
ходные данные в этом пункте включают описание случая применения СМИБ для данного предприятия и
предварительный план проекта СМИБ с описанием ключевых этапов.
На рисунке 3 показан процесс получения одобрения руководства для запуска проекта СМИБ.
П р и м е ч а н и е — Выходные данные раздела 5 (документированное поручение руководства на планиро
вание и внедрение СМИБ) и один из документов с выходными данными раздела 7 (документированное описание
состояния информационной безопасности) не являются требованиями ISO/IEC 27001:2005. Однако выходные
данные по этим действиям являются рекомендованными исходными данными для других действий, описывае
мых в данном документе.
5.2 Определение приоритетов организации для разработки СМИБ
Действия
Цели внедрения СМИБ должны учитываться при рассмотрении приоритетов и требований организа
ции к информационной безопасности.
Исходные данные:
a) стратегические цели организации;
b
) обзор существующих систем управления;
c) перечень правовых, нормативных и договорных требований к информационной безопасности, при
меняемых ворганизации.
Рекомендации
Для запуска проекта СМИБ обычно требуется одобрение руководства. Следовательно, первое дей
ствие. которое необходимо выполнить. — сбор существенной информации, показывающей значение СМИБ
для организации. Организация должна определить, зачем нужна СМИБ. определить цели внедрения СМИБ и
запустить проект СМИБ.
Цели внедрения СМИБ можно определить, ответив на следующие вопросы;
a) менеджмент риска — как может СМИБ улучшить управление рисками для информационной безо
пасности?
b
) результативность — как может СМИБ улучшить управление информационной безопасностью?
c) преимущества для предприятия — как может СМИБ создать конкурентные преимущества для
организации?
Чтобы ответить на приведенные выше вопросы, необходимо рассмотреть приоритеты и требования
организации вобласти информационной безопасности на основе следующих факторов;
а) важнейшие сферы деятельности предприятия и организации:
1Что является важнейшими сферами деятельности предприятия и организации?
2 Какие сферы деятельности организации обеспечивают ведение бизнеса и чему уделяется особое
внимание?
3 Какие существуют взаимоотношения и соглашения с третьими сторонами?
4 Привлекаются ли сторонние организации для оказания каких-либо услуг?
5