ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 12.03.2024
Просмотров: 15
Скачиваний: 0
МЕЖДУНАРОДНЫЙ |
ISO/IEC |
СТАНДАРТ |
27001 |
Третья редакция
2022-10
Информационная безопасность, кибербезопасность и защита персональных данных – Системы менеджмента информационной безопасности – Требования
Sécurité de l’information, cybersécurité et protection de la vie privée— Systéms de management de la sécurité de l’information — Exigences
Логотип |
|
Логотип |
|
Номер для ссылки |
|
|
|
||
ISO |
|
IEC |
|
ISO/IEC 27001:2022 (E) |
|
|
|
|
© ISO/IEC 2022 |
|
|
|
|
|
А. Горбунов |
www.pqm-online.com |
Не является официальным переводом! |
||
Ред. 07.09.2023 |
|
|
ISO/IEC 27001:2022
ДОКУМЕНТ C ЗАЩИЩЕННЫМ АВТОРСКИМ ПРАВОМ
© ISO/IEC 2022
Все права защищены. Если иначе не определено, никакая часть этой публикации не может быть воспроизведена или использована иначе в любой форме или каким-либо образом, электронным или механическим, включая фотокопирование, или публикацию в Интернете или интранете, без предварительного письменного разрешения. Разрешение может быть запрошено ISO по адресу, указанному ниже, или у органа - члена ISO страны запрашивающего.
Бюро ISO по охране авторских прав СЗ 401 • Ch. de Blandonnet 8 CH-1211 Vernier, Geneva
Phone + 41 22 749 01 11 Электронная почта copyright@iso.org Сайт www.iso.org
Издано в Швейцарии
А. Горбунов |
http://pqm-online.com/ |
Не является официальным переводом! |
Ред. 07.09.2023 |
|
ii |
ISO/IEC 27001:2022
Содержание |
Страница |
||
Предисловие......................................................................................................................................................... |
iv |
||
0 |
Введение......................................................................................................................................................... |
v |
|
1 |
Область применения................................................................................................................................. |
1 |
|
2 |
Нормативные ссылки ............................................................................................................................... |
1 |
|
3 |
Термины и определения ......................................................................................................................... |
1 |
|
4 |
Среда организации..................................................................................................................................... |
1 |
|
|
4.1 |
Понимание организации и ее среды......................................................................................................... |
1 |
|
4.2 |
Понимание потребностей и ожиданий заинтересованных сторон.......................................... |
2 |
|
4.3 |
Определение области применения системы менеджмента информационной |
|
|
безопасности..................................................................................................................................................................... |
2 |
|
|
4.4 |
Система менеджмента информационной безопасности................................................................ |
2 |
5 |
Лидерство....................................................................................................................................................... |
2 |
|
|
5.1 |
Лидерство и обязательства ........................................................................................................................... |
2 |
|
5.2 |
Политика ................................................................................................................................................................. |
3 |
|
5.3 |
Организационные функции, ответственность и полномочия.................................................... |
3 |
6 |
Планирование .............................................................................................................................................. |
3 |
|
|
6.1 |
Действия по обработке рисков и реализации возможностей..................................................... |
3 |
6.2Цели (задачи) в области информационной безопасности и планирование их
|
достижения........................................................................................................................................................................ |
5 |
|
|
6.3 Планирование изменений .................................................................................................................................. |
6 |
|
7 |
Обеспечение.................................................................................................................................................. |
6 |
|
|
7.1 |
Ресурсы..................................................................................................................................................................... |
6 |
|
7.2 |
Компетентность .................................................................................................................................................. |
6 |
|
7.3 |
Осведомленность................................................................................................................................................ |
6 |
|
7.4 |
Коммуникация...................................................................................................................................................... |
7 |
|
7.5 |
Документированная информация ............................................................................................................. |
7 |
8 |
Функционирование ................................................................................................................................... |
8 |
|
|
8.1 |
Оперативное планирование и управление ........................................................................................... |
8 |
|
8.2 |
Оценка рисков информационной безопасности ................................................................................ |
8 |
|
8.3 |
Обработка рисков информационной безопасности ......................................................................... |
8 |
9 |
Оценка результатов функционирования........................................................................................ |
8 |
|
|
9.1 |
Мониторинг, измерение, анализ и оценка ............................................................................................ |
8 |
|
9.2 |
Внутренний аудит.............................................................................................................................................. |
9 |
|
9.3 |
Анализ системы руководством.................................................................................................................... |
9 |
10 Улучшение...................................................................................................................................................... |
10 |
||
|
10.1 Постоянное улучшение................................................................................................................................... |
10 |
|
|
10.2 Несоответствия и корректирующие действия .................................................................................. |
10 |
|
Приложение A (нормативное) Средства управления информационной безопасностью12 |
|||
Библиография..................................................................................................................................................... |
24 |
А. Горбунов |
http://pqm-online.com/ |
Не является официальным переводом! |
Ред. 07.09.2023 |
|
iii |
ISO/IEC 27001:2022
Предисловие
ИСО (Международная организация по стандартизации) и МЭК (Международная электротехническая комиссия) образуют специализированную систему всемирной стандартизации. Национальные органы, являющиеся членами ИСО или МЭК, участвуют в разработке международных стандартов посредством технических комитетов, учрежденных соответствующей организацией для того, чтобы обсуждать определенные области технической деятельности. Технические комитеты ИСО и МЭК сотрудничают в областях взаимного интереса. Другие международные организации, правительственные и неправительственные, в контакте с ИСО и МЭК также принимают участие в работе.
Процедуры, использованные при разработке этого документа и предназначенные для дальнейшей поддержки, описаны в Директивах ISO/IEC, Часть 1. В частности, должны быть указаны различные критерии утверждения, необходимые для различных типов документов. Данный документ был разработан в соответствии с правилами, изложенными в Директивах
ISO/IEC, Часть 2 (см. www.iso.org/directives или www.iec.ch/members_experts/refdocs).
Обращаем внимание на то, что некоторые элементы данного документа могут являться предметом патентных прав. ISO и IEC не должна нести ответственность за идентификацию какого-либо или всех подобных патентных прав. Детали, касающиеся любых патентных прав, установленные в ходе разработки документа, должны быть указаны в разделе Введение и/или в листе патентных деклараций ISO (см. www.iso.org/patents) или IEC (см. http://patents.iec.ch).
Все торговые марки, упомянутые в данном документе, приведены для удобства пользователей и не означают рекомендации (одобрения).
Для понимания добровольного характера стандартов, значений, используемых ISO специфических терминов и выражений, связанных с оценкой соответствия, равно как и информации о соблюдении ISO принципов соглашения Всемирной Торговой Организации (ВТО) по техническим барьерам в торговле (ТБТ) см. по следующей ссылке: www.iso.org/iso/foreword.html. В IEC см. www.iec.ch/understanding-standards.
Данный документ разработан Техническим Комитетом ISO/IEC JNC 1, Информационные технологии, Подкомитет SC 27, Информационная безопасность, кибербезопасность и защита персональных данных.
Эта третья редакция отменяет и заменяет вторую редакцию (ISO/IEC 27001:2013), которая была технически пересмотрена. Она также включает в себя Технические поправки ISO/IEC 27001:2013/Cor.1:2014, . ISO/IEC 27001:2013/Cor.2:2015.
Внесены следующие основные изменения:
─текст был приведен в соответствие с гармонизированной структурой для стандартов на системы менеджмента и ISO/IEC 27002:2022,
Любые отзывы, замечания или вопросы по данному документу следует направлять в национальный орган по стандартизации. Полный перечень таких органов находится по адресу www.iso.org/members.html и www.iec.ch/national-committees
А. Горбунов |
http://pqm-online.com/ |
Не является официальным переводом! |
Ред. 07.09.2023 |
|
iv |
ISO/IEC 27001:2022
0 Введение
0.1Общие положения
Данный документ был разработан с целью установить требования для создания, внедрения, поддержания функционирования и постоянного улучшения системы менеджмента информационной безопасности. Признание необходимости системы менеджмента информационной безопасности является стратегическим решением организации. На создание и внедрение системы менеджмента информационной безопасности организации влияют потребности и цели организации, требования по безопасности, применяемые организационные процессы, размер и структура организации. Все эти факторы влияния ожидаемо меняются в течение длительного времени.
Система менеджмента информационной безопасности обеспечивает сохранение конфиденциальности, целостности и доступности информации за счет выполнения процесса менеджмента риска и дает уверенность заинтересованным сторонам в том, что риски управляются надлежащим образом.
Важно то, что система менеджмента информационной безопасности составляет часть процессов организации и встроена в общую структуру управления, и, таким образом, вопросы информационной безопасности учитываются при разработке процессов, информационных систем и средств управления. Предполагается, что система менеджмента информационной безопасности будет меняться в соответствии с потребностями организации.
Данный документ может использоваться как самой организацией, так и внешними сторонами для оценки способности организации соответствовать собственным требованиям по информационной безопасности.
Порядок, в котором изложены требования представлены в данном документе, не отражают их важности или последовательности, в которой они должны внедряться. Нумерация пунктов введена исключительно для удобства ссылок на них.
ISO/IEC 27000 содержит общий обзор и словарь терминов для систем менеджмента информационной безопасности с ссылками на стандарты по системе менеджмента информационной безопасности (включая ISO/IEC 27003 [2], ISO/IEC 27004 [3] и ISO/IEC 27005 [4]), а также соответствующие термины и определения.
0.2Совместимость с другими стандартами системы управления
Данный документ следует структуре высокого уровня, содержит идентичные заголовки подразделов, идентичный текст, общие термины и основные определения, установленные в Части 1 Приложения SL Директивы ISO/IEC, Consolidated ISO Supplement, и, тем самым, обеспечивается совместимость с другими стандартами на системы менеджмента, которые соответствуют Приложению SL.
Такой общий подход, определенный в Приложении SL, будет полезен для тех организаций, которые хотят управлять единой системой менеджмента, отвечающей требованиям двух или более стандартов на системы менеджмента.
А. Горбунов |
http://pqm-online.com/ |
Не является официальным переводом! |
Ред. 07.09.2023 |
|
v |
МЕЖДУНАРОДНЫЙ СТАНДАРТ |
ISO/IEC 27001:2022 |
|
|
Информационная безопасность, кибербезопасность и защита персональных данных – Системы менеджмента информационной безопасности – Требования
1 Область применения
Данный документ определяет требования к созданию, внедрению, поддержанию функционирования и постоянному улучшению системы менеджмента информационной безопасности с учетом среды организации. Данный документ также включает требования для оценки и обработки рисков информационной безопасности, адаптированные к потребностям организации. Требования, установленные данным документом, являются общими и предназначены для применения любыми организациями, независимо от их типа, размера или характера. Не допускается исключений требований, установленных в разделах 4
– 10, в тех случаях, когда организация декларирует соответствие требованиям данного документа.
2 Нормативные ссылки
На следующие документы имеются ссылки в тексте таким образом, что в целом или их часть составляет требования данного документа. Для датированных ссылок применяют только ту версию, которая была упомянута в тексте. Для недатированных ссылок необходимо использовать самое последнее издание документа (включая любые поправки).
ISO/IEC 27000 Information technology – Security techniques – Information security management systems – Overview and vocabulary
3 Термины и определения
Для целей данного документа применяются термины и определения, данные в ISO/IEC 27000.
ISO и IEC поддерживают терминологическую базу данных для применения в сфере стандартизации по следующим адресам:
─платформа ISO Online browsing platform: доступна на http://www.iso.org/obp
─IEC Electropedia: доступна на http://www.electropedia.org/.
4 Среда организации
4.1 Понимание организации и ее среды
Организация должна определять внешние и внутренние факторы, которые значимы с точки зрения ее целей, и которые влияют на способность ее системы менеджмента информационной безопасности достигать ожидаемых результатов.
А. Горбунов |
http://pqm-online.com/ |
Не является официальным переводом! |
Ред. 10.12.2022 |
|
1 |