ISO/IEC 27003

ISO / IEC 27003^[1] — стандарт інформаційної безпеки, опублікований організаціями ISO і IEC. Він має назву Інформаційні технології — Технології безпеки — Системи управління інформаційною безпекою. Керівництво (англ. Information technology -- Security techniques -- Information security management systems -- Guidance).

Цей документ був підготовлений ISO/IEC JTC 1, підкомітет SC 27. Це друге видання ISO/IEC 27003 скасовує та замінює перше видання (ISO/IEC 27003:2010. Попереднє видання мало проектний підхід із послідовним впровадженням. Замість цього в новому виданні наводяться вказівки щодо вимог, незалежно від порядку, в якому вони виконуються. Структура стандарту тепер узгоджена зі структурою ISO/IEC 27001:2013.

ISO/IEC 27003 містить керівні вказівки щодо вимог до системи управління інформаційною безпекою (СУІБ), як зазначено у стандарті ISO/IEC 27001, і надає рекомендації, можливості та дозволи щодо них. Цей документ не передбачає надання загальних рекомендацій з усіх аспектів інформаційної безпеки. Статті 4-10 цього документа відображають структуру ISO/IEC 27001:2013. Стандарт ISO/IEC 27003 не додає нових вимог до СУІБ та пов'язаних з ними термінів та визначень. Організації, що впроваджують СУІБ, не зобов'язані дотримуватися вказівок у цьому документі. СУІБ підкреслює важливість наступних етапів:

розуміння потреб організації та необхідності встановлення політики інформаційної безпеки та цілей інформаційної безпеки;
оцінка ризиків організації, пов'язаних з інформаційною безпекою;
впровадження та керування процесами інформаційної безпеки, контролю та іншими заходами щодо ліквідації ризиків;
моніторинг та перевірка продуктивності та ефективності СУІБ;
впровадження постійного вдосконалення СУІБ.

СУІБ, подібний до будь-якого іншого типу системи управління, включає такі ключові компоненти:

   а) політика;
   б) особи з визначеними обов'язками;
   в) процеси управління, пов'язані з:
       1) встановлення політики;
       2) забезпечення обізнаності та компетентності;
       3) планування;
       4) реалізація;
       5) експлуатація;
       6) оцінка продуктивності;
       7) огляд управління;
       8) вдосконалення;
   г) документально підтверджена інформація.

СУІБ має додаткові ключові компоненти, такі як:

   д) оцінка ризику інформаційної безпеки;
   є) обробка ризиків інформаційної безпеки, включаючи детермінацію та здійснення контролю.

Цей документ є загальним і призначений для застосування до всіх організацій, незалежно від типу (державні чи комерційні) та розміру. Організація повинна визначити, яка частина цього стандарту поширюється на неї відповідно до її специфічного організаційного контексту (Стаття 4 ISO/IEC 27001:2013). Деякі інструкції можуть бути придатними для великих організацій, але для дуже маленьких організацій (наприклад, з менш ніж 10 співробітниками) можуть бути непотрібними або неприйнятними.

Контент стандарту є платним, його текст у форматі pdf можна придбати на офіційному сайті організації ISO.

Примітки ред.

↑ Information technology -- Security techniques -- Information security management systems -- Guidance. Архів оригіналу за 17 червня 2016. Процитовано 15 квітня 2018.(англ.)

[1] Information technology -- Security techniques -- Information security management systems -- Guidance. Архів оригіналу за 17 червня 2016. Процитовано 15 квітня 2018.(англ.)

[1]