СТ РК ISO/IEC 27001-2015 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасностью. Требования»

СТ РК ISO/IEC 27001-2015

Информационная технология
Методы и средства обеспечения безопасности
Системы менеджмента информационной безопасностью
Требования

(ISO/IEC 27001:2013 «Information technology - Security techniques - Information security

management systems - Requirements», IDT)

Взамен введен СТ РК ISO/IEC 27001-2023

Действие отменяется с 31 октября 2025 года в соответствии с приказом Председателя Комитета технического регулирования и метрологии Министерства торговли и интеграции РК от 14 ноября 2023 года № 440-НҚ

Содержание

Введение

1. Область применения

2. Нормативные ссылки

3. Термины и определения

4. Организационная среда

5. Лидерство

6. Планирование

7. Поддержка разработок

8. Эксплуатация

9. Оценка эффективности функционирования СМИБ

10. Усовершенствование и развитие СМИБ

Приложение А (обязательное). Цели, меры и средства контроля и менеджмента

Библиография

Приложение В.А (информационное)

Введение

0 Введение

0.1 Общие сведения

Настоящий стандарт был подготовлен с целью установления требований к разработке, внедрению, поддержанию в рабочем состоянии и непрерывному совершенствованию системы менеджмента информационной безопасностью (СМИБ). Внедрение СМИБ должно быть стратегическим решением организации. На проектирование и внедрение СМИБ организации оказывают влияние ее потребности и цели, требования безопасности, применяемые процессы, а также размер и структура организации. Все эти факторы влияния, как ожидается, будут изменяться во времени.

Система менеджмента информационной безопасностью позволяет сохранять конфиденциальность, целостность и доступность информации благодаря использованию адекватной технологии управления рисками, придающей уверенность в успехе всем заинтересованным сторонам.

Важно то, что СМИБ является частью процессов, происходящих внутри самой организации, и представляет собой неотъемлемую часть ее общей управленческой структуры, а вопросы защиты информации рассматриваются организацией уже на стадии проектирования технологических процессов, информационных систем и средств управления. Предполагается также, что СМИБ будет в дальнейшем расширяться в соответствии с конкретными потребностями организации.

Настоящий стандарт может использоваться всеми внутренними и внешними заинтересованными сторонами для объективной оценки способности организации к удовлетворению собственных требований по защите информации.

Порядок, в котором эти требования представлены в данном стандарте, не отражает ни степень их важности, ни последовательность, в которой они должны реализовываться в каждом конкретном случае. Приведенный перечень требований носит только справочный характер.

Общий обзор и словарь терминов СМИБ можно найти в стандарте СТ РК ISO/IEC 27000, содержащем также ссылки на семейство стандартов по обеспечению информационной безопасностью [2], [3] и [4], в которых приводятся термины и определения по соответствующим предметным областям.

0.2 Совместимость с другими стандартами по системам менеджмента.