ГОСТ Р ИСО/МЭК 27001-2006

ИНФОРМАЦИОННАЯ  ТЕХНОЛОГИЯ

МЕТОДЫ  И  СРЕДСТВА  ОБЕСПЕЧЕНИЯ  БЕЗОПАСНОСТИ

СИСТЕМЫ  МЕНЕДЖМЕНТА  ИНФОРМАЦИОННОЙ  БЕЗОПАСНОСТИ

ТРЕБОВАНИЯ

(Аннотация)

Стандарт утвержден и введен в действие с 01.02.2008 Приказом Федерального агентства по техническому регулированию и метрологии от 27.12.2006 № 375-ст.

Данный стандарт идентичен международному стандарту ИСО/МЭК 27001:2005 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования " (ISO/IEC 27001:2005 "Information technology - Security techniques - Information security management systems - Requirements").

Введен впервые.

Данный стандарт подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения системы менеджмента информационной безопасности (далее - СМИБ).

Внедрение СМИБ является стратегическим решением организации. На проектирование и внедрение СМИБ организации влияют потребности и цели организации, требования безопасности, используемые процессы, а также масштабы деятельности и структура организации. Предполагается, что вышеуказанные факторы и поддерживающие их системы будут изменяться во времени. Предполагается также, что СМИБ будет изменяться пропорционально потребностям организации, т.е. для простой ситуации потребуется простое решение по реализации СМИБ.

Данный стандарт предполагает использовать процессный подход для разработки, внедрения, обеспечения функционирования, мониторинга, анализа, поддержки и улучшения СМИБ организации.

Данный стандарт позволяет организации регулировать СМИБ или интегрировать ее с соответствующими требованиями других систем менеджмента.

Положения стандарта могут быть использованы как внутри организации, так и внешними организациями для оценки соответствия.

Содержание:

Предисловие

Сведения о стандарте

0. Введение

0.1. Общие положения

0.2. Процессный подход

0.3. Совместимость с другими системами менеджмента

1. Область применения

1.1. Общие положения

1.2. Применение

2. Нормативные ссылки

3. Термины и определения

4. Система менеджмента информационной безопасности

4.1. Общие требования

4.2. Разработка системы менеджмента информационной безопасности. Управление системой менеджмента информационной безопасности

4.3. Требования к документации

5. Ответственность руководства

5.1. Обязательства руководства

5.2. Управление ресурсами

6. Внутренние аудиты системы менеджмента информационной безопасности

7. Анализ системы менеджмента информационной безопасности со стороны руководства

7.1. Общие положения

7.2. Входные данные для анализа системы менеджмента информационной безопасности

7.3. Выходные данные анализа системы менеджмента информационной безопасности

8. Улучшение системы менеджмента информационной безопасности

8.1. Постоянное улучшение

8.2. Корректирующие действия

8.3. Предупреждающие действия

Приложение A (рекомендуемое). Цели и меры управления

Приложение B (справочное). Принципы организации экономического сотрудничества и развития и настоящий стандарт

Приложение C (справочное). Сравнение структуры настоящего стандарта со структурами международных стандартов ИСО 9001:2000, ИСО 14001:2004

Приложение D (справочное). Сведения о соответствии национального стандарта Российской Федерации ссылочному международному стандарту

Библиография