Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение А
(справочное)
Описание
контрольного перечня
Цель:
- представить контрольную таблицу с описанием действий, требуемых для учреждения и внедрения СМИБ;
- способствовать мониторингу процесса выполнения работ по внедрению СМИБ;
- связать определенные действия по внедрению СМИБ с соответствующими требованиями ISO/IEC 27001.
Таблица А.1
Фаза внедрения ISO/IEC 27003 |
Номер этапа |
Действия, ссылка на ISO/IEC 27003 |
Предварительные условия для данного этапа |
Документированные выходные данные |
Ссылка на ISO/IEC 27001 |
5 Получение одобрения руководства для внедрения СМИБ |
1 |
Собрать корпоративные цели предприятия |
Нет |
Список корпоративных целей предприятия |
Не применяется |
2 |
Приобретение знаний о существующих системах управления |
Нет |
Описание существующих систем управления |
Не применяется |
|
3 |
5.2 Определить цели, потребности информационной безопасности и требования предприятия к СМИБ |
1, 2 |
Описание целей, потребностей информационной безопасности и требований предприятия к СМИБ |
Не применяется |
|
4 |
Собрать соответствующие регулятивные стандарты, стандарты соответствия и отраслевые стандарты, применяемые к корпорации |
Нет |
Описание регулятивных стандартов, стандартов соответствия и отраслевых стандартов, применяемых к корпорации |
Не применяется |
|
5 |
5.3 Определить предварительную область действия СМИБ |
3, 4 |
Описание предварительной области действия СМИБ (5.3.1) Определение ролей и сфер ответственности в области СМИБ (5.3.2) |
Не применяется |
|
6 |
5.4 Составить описание случая применения СМИБ для данного предприятия и план проекта для утверждения руководством |
5 |
Описание случая применения СМИБ для данного предприятия и план проекта |
Не применяется |
|
7 |
5.5 Получить одобрение руководства и поручение на запуск проекта внедрения СМИБ |
6 |
Одобрение руководством запуска проекта внедрения СМИБ |
Не применяется |
|
6 Определение области действия и политики СМИБ |
8 |
6.2 Определить границы организации |
7 |
Описание границ организации; Функции и структура организации; Обмен информацией через границы; Производственные процессы и сферы ответственности за информационные активы в области действия СМИБ и за ее пределами |
4.2.1,а) (частично) |
9 |
6.3 Определение границ технологии передачи информации |
7 |
Описание границ ИКТ |
4.2.1,а) (частично) |
|
Описание информационных систем и телекоммуникационных сетей, описывающее системы и сети внутри области действия СМИБ и за ее пределами | |||||
10 |
6.4 Определение физических границ |
7 |
Описание физических границ СМИБ Описание организации и ее географических характеристик, описывающее внутреннюю и внешнюю области действия |
4.2.1,а) (частично) |
|
11 |
6.5 Окончательно определить границы области действия СМИБ |
8, 9, 10 |
Документ, описывающий область действия и границы СМИБ |
4.2.1,а) |
|
12 |
6.6 Разработка политики СМИБ |
11 |
Утвержденная руководством политика СМИБ |
4.2.1,b) |
|
13 |
7.2 Определение требований к информационной безопасности, подкрепляющих СМИБ |
12 |
Список основных процессов, функций, объектов, информационных систем, коммуникационных сетей |
Не применяется |
|
Требования организации, касающиеся конфиденциальности, доступности и целостности |
Не применяется |
||||
Требования организации, касающиеся законных, обязательных, контрактных и отраслевых требований к информационной безопасности |
4.2.1,с) 1) (частично) |
||||
Перечень известных уязвимостей в организации |
4.2.1,d) 3) |
||||
14 |
7.3 Определение активов в рамках области действия СМИБ |
13 |
Описание основных процессов в организации Определение информационных активов основных процессов в организации Классификация важнейших процессов (активов) |
Не применяется 4.2.1,d) 1) |
|
Не применяется | |||||
15 |
7.4 Запуск оценки информационной безопасности |
14 |
Документ по фактическому состоянию и оценке информационной безопасности в организации, включая существующие меры и средства контроля и управления информационной безопасностью |
4.2.1,е) 2) (частично) |
|
8 Проведение оценки риска и выбор вариантов обработки риска |
16 |
8.2 Проведение оценки риска |
15 |
Область действия для оценки риска Утвержденная методология оценки риска, совмещенная с контекстом стратегического менеджмента риска в организации Критерии принятия риска |
4.2.1,с) 1) |
| |||||
17 |
8.3 Выбор целей и средств управления |
16 |
Документированная оценка риска высокого уровня |
4.2.1,е) 3) (частично) |
|
Определение необходимости дополнительной глубокой оценки риска |
Не применяется |
||||
Документированная глубокая оценка риска |
4.2.1,е) 3) (частично) |
||||
Сгруппированные результаты оценки риска |
Не применяется |
||||
18 |
8.4 Получить одобрение руководства для внедрения СМИБ |
17 |
Риски и определенные для них варианты оценки риска Выбранные цели, меры и средства контроля и управления для снижения риска |
4.2.1,f) |
|
4.2.1,g) |
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.