СТ РК ISO/IEC 27001-2023 «Информационная безопасность, кибербезопасность и защита конфиденциальности. Системы менеджмента информационной безопасности. Требования»

СТ РК ISO/IEC 27001-2023

Информационная безопасность, кибербезопасность и защита конфиденциальности
Системы менеджмента информационной безопасности
Требования

(ISO/IEC 27001:2022 «Information security, cybersecurity and privacy protection - Information

security management systems - Requirements», IDT)

Содержание

Введение

1. Область применения

2. Нормативные ссылки

3. Термины и определения

4. Среда организации

5. Лидерство

6. Планирование

7. Обеспечение

8. Функционирование

9. Оценка эффективности функционирования

10. Улучшение

Приложение А (информационное). Средства управления информационной безопасностью

Библиография

Приложение В.А. (информационное). Сведения о соответствии национальных стандартов ссылочном международным стандартам

Введение

0.1 Справочная информация и контекст

Настоящий стандарт разработан с целью установить требования для создания, внедрения, поддержания в рабочем состоянии и постоянного улучшения системы менеджмента информационной безопасности. Решение о внедрении системы менеджмента информационной безопасности является стратегическим решением организации. На создание и внедрение системы менеджмента информационной безопасности организации влияют потребности и цели организации, требования по безопасности, применяемые организационные процессы, размер и структура организации. Предполагается, что указанные факторы влияния изменяются со временем.

Система менеджмента информационной безопасности обеспечивает сохранение конфиденциальности, целостности и доступности информации за счет выполнения процесса менеджмента риска и дает уверенность заинтересованным сторонам в том, что риски управляются надлежащим образом.

Важно то, что система менеджмента информационной безопасности составляет часть процессов организации и встроена в общую структуру управления, и, таким образом, вопросы информационной безопасности учитываются при разработке процессов, информационных систем и средств управления. Предполагается, что система менеджмента информационной безопасности будет меняться в соответствии с потребностями организации.

Настоящий стандарт может использоваться как самой организацией, так и внешними сторонами для оценки способности организации соответствовать собственным требованиям по информационной безопасности.

Порядок, в котором изложены требования представлены в настоящем стандарте, не отражают их важности или последовательности, в которой они должны внедряться. Нумерация пунктов введена исключительно для удобства ссылок на них.

ISO/IEC 27000 содержит общий обзор и словарь терминов для систем менеджмента информационной безопасности с ссылками на стандарты по системе менеджмента информационной безопасности (включая ISO/IEC 27003 [2], ISO/IEC 27004 [3] и ISO/IEC 27005 [4]), а также соответствующие термины и определения.

0.2 Совместимость с другими стандартами системы менеджмента