Документ подготовлен техническим подкомитетом SC27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection) Объединённого технического комитета Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК) JTC1 «Информационные технологии». Он заменил ранее действовавшую редакцию ISO/IEC 27001:2013.
«Настоящий документ был разработан с целью установления требований к созданию, внедрению, поддержке и постоянному совершенствованию системы менеджмента информационной безопасности. Решение о внедрении системы менеджмента информационной безопасности является для организации стратегическим. На создание и внедрение системы менеджмента информационной безопасности организации влияют потребности и цели организации, требования по безопасности, используемые организацией процессы, а также размер и структура организации. Предполагается, что все эти факторы влияния могут со временем изменяться.
Система менеджмента информационной безопасности обеспечивает сохранение конфиденциальности, целостности и доступности информации использования процесса менеджмента риска, и даёт заинтересованным сторонам уверенность в том, что риски адекватно управляются.
Важно, чтобы система менеджмента информационной безопасности являлась частью и была интегрирована с процессами организации и с общей структурой управления; и чтобы информационная безопасность принималась во внимание при проектировании процессов, информационных систем и мер и средств контроля и управления. Ожидается, что внедрение менеджмента информационной безопасности будет масштабироваться в соответствии с потребностями организации.
Данный документ может использоваться внутренними и внешними сторонами для оценки способности организации удовлетворить собственные требования и потребности в области информационной безопасности.
… Настоящий документ устанавливает требования к созданию, внедрению, поддержанию и постоянному совершенствованию системы менеджмента информационной безопасности в контексте организации. Он также включает требования к оценке и обработке рисков информационной безопасности, учитывающие потребности организации.
Приведенные в данном документе требования являются типовыми и предназначены для применения в любых организациях, независимо от их типа, размера или характера. Исключение любого из требований, содержащихся в разделах с 4 по 10, неприемлемо, если организация заявляет о соответствии настоящему документу.»
Содержание стандарта следующее:
Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Контекст организации
5. Лидерство
6. Планирование
7. Поддержка
8. Оперативная деятельность
9. Оценка эффективности
10. Совершенствование
Приложение A: Сводка мер и средств обеспечения информационной безопасности из ISO/IEC 27002:2022
Библиография
Источники: сайт ИСО
https://www.iso.org/standard/82875.html
https://www.iso.org/obp/ui/#iso:std:iso-iec:27001:ed-3:v1:en
Комментариев нет:
Отправить комментарий