2014-02-09
589
Рисунок 1 — Модель PDCA, примененная к процессам СМЗИ
В табл. 1 приведены пояснения к модели PDCA, примененной к процессам СМЗИ.
Таблица 1.
| Планирование (создайте СМЗИ) | Установите политику, цели, процессы и процедуры, относящиеся к менеджменту рисков и улучшению защиты информации для получения результатов в соответствии с общей политикой и целями организации |
| Осуществление (внедрите и эксплуатируйте СМЗИ) | Реализуйте и эксплуатируйте политику, средства управления, процессы и процедуры в области СМЗИ |
| Проверка (постоянно контролируйте и анализируйте СМЗИ): | Оценивайте и, где применимо, измеряйте показатели процессов по отношению к политике, целям и практическому опыту в области СМЗИ, доложите результаты руководству для анализа |
| Действие (поддерживайте в рабочем состоянии и улучшайте СМЗИ) | Осуществляйте корректирующие и предупреждающие действия, основанные на результатах внутреннего аудита СМЗИ и анализа со стороны руководства, или на другой значимой информации для того, чтобы достичь постоянного улучшения СМЗИ. |
Стандарт ISO/IEC 27001 согласуется со стандартами менеджмента ISO 9001:2000 и ISO 14001:2004.
|
|
|
Стандарт охватывает все типы организаций (например, коммерческие предприятия, государственные органы, некоммерческие организации). Определяет требования для:
- создания,
- внедрения,
- эксплуатации,
- постоянного контроля,
- анализа,
- поддержания в рабочем состоянии
- и улучшения документированной СМЗИ в контексте общих деловых рисков организации.
Стандарт определяет требования для реализации средств управления защитой, приспособленных к потребностям отдельных организаций или их подразделений.
СМЗИ разрабатывается для того, чтобы обеспечить выбор адекватных и пропорциональных средств управления защитой, которые защищают информационные активы и придают уверенность заинтересованным сторонам.
ПРИМЕЧАНИЕ 1: Ссылки на «бизнес», «дело» [business] в этом международном стандарте следует интерпретировать, в общих чертах, как означающие те виды деятельности, которые являются основными для существования организации.
ПРИМЕЧАНИЕ 2: В ISO/IEC 17799 даны руководящие указания по реализации, которое могут быть использованы при проектировании средств управления.
Требования, установленные в этом международном стандарте, носят общий характер и предназначены для применения ко всем организациям, независимо от типа, размера и характера. Исключение какого-либо из требований, определенных в Разделах 4, 5, 6, 7, и 8 ISO/IEC 27001, не приемлемо, если организация заявляет о соответствии этому международному стандарту.
Любое исключение из средств управления ввиду приемлемости риска необходимо обосновать и предоставить подтверждение того, что связанные с этим риски были приняты подотчетными лицами. Если исключаются какие-либо средства управления, то заявления о соответствии этому международному стандарту неприемлемы, за исключением тех случаев, когда такие исключения не влияют на способность и/или ответственность организации обеспечить защиту информации в соответствии с законодательными или нормативными требованиями и оценкой риска.
|
|
|
ПРИМЕЧАНИЕ: Если организация уже имеет действующую систему менеджмента деловых процессов (например, по отношению к ISO 9001 или ISO 14001), то в большинстве случаев предпочтительно выполнять требования этого международного стандарта.
Стандарт ISO/IEC 27001 нормативно ссылается на стандарт ISO/IEC 17799:2005, Information technology — Security techniques — Code of practice for information security management.
