• (0)
    ISO-27001-ISO-22301-blog

    Блог по ISO 27001 и ISO 22301

    Перечень обязательных документов, требуемых ИСО 27001 (редакция 2013).

    В связи с новой редакцией ИСО/МЭК 27001, опубликованной всего лишь пару дней назад,  многие  люди задаются вопросом, какие документы являются обязательными в этой новой редакции 2013. Больше или меньше документов требуется?

    Поэтому здесь приводится список – ниже вы найдете не только обязательные документы, но также документы,  наиболее часто используемые для внедрения ИСО 27001.

    Обязательные документы и записи, требуемые ИСО 27001:2013

    Здесь приводятся документы, которые вам нужно создать, если вы хотите соответствовать ИСО 27001. (Пожалуйста, обратите внимание, что документы их Приложения А являются обязательными только если существуют риски, которые потребуют их внедрения.)

    • Область действия СУИБ (п.4.3)
    • Политика и цели информационной безопасности (пп.5.2 и 6.2)
    • Методика оценки и обработки рисков (п.6.2.1)
    • Положение о Применимости (п.6.1.3 d)
    • План обработки рисков (п.6.1.3 е и 6.2)
    • Отчет об оценке рисков (п.8.2)
    • Определение ролей и обязанностей в области безопасности (пп. A.7.1.2 и A.13.2.4)
    • Реестр активов (п.A.8.1.1)
    • Приемлемое использование активов (п. A.8.1.3)
    • Политика контроля доступа (п.A.9.1.1)
    • Рабочие процедуры для ИТ-управления (п. A.12.1.1)
    • Принципы безопасной разработки систем (п. A.14.2.5)
    • Политика безопасности в отношении поставщиков (п. A.15.1.1)
    • Процедура управления инцидентами (п. А.16.1.5)
    • Процедуры непрерывности бизнеса (п. A.17.1.2)
    • Требования законодательства, нормативных документов и контрактов (п.A.18.1.1)

    А это обязательные записи:

    • Записи об обучении, навыках, опыте и квалификациях (п.7.2)
    • Результаты мониторинга и измерений (п.9.1)
    • Программа внутреннего аудита (п.9.2)
    • Результаты внутренних аудитов (п.9.2)
    • Результаты анализа со стороны руководства (п.9.3)
    • Результаты корректирующих действий (п.10.1)
    • Журналы регистрации действийм пользователей, отклонениях от нормы и событиях безопасности (пп. A.12.4.1 и A.12.4.3)

    Необязательные документы

    Существует множество необязательных документов, которые могут быть использованы для внедрения ИСО 27001, особенно для средств управления безопасностью из Приложения А. Тем не менее, наиболее часто используемыми я считаю следующие необязательные документы:

    • Процедура по контролю документации (п.7.5)
    • Средства безопасности для управления записями (п.7.5)
    • Процедура внутреннего аудита (п.9.2)
    • Процедуракорректирующихдействий(п. 10.1)
    • Политика Принеси-свое-собственное-устройство (п. A.6.2.1)
    • Политика использования мобильных устройств и удаленной работы (п. A.6.2.1)
    • Политика категорирования информации  (пп.A.8.2.1, A.8.2.2, и A.8.2.3)
    • Политика использования паролей (пп.A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1, и A.9.4.3)
    • Политика размещения и уничтожения (пп. A.8.3.2 и A.11.2.7)
    • Процедуры для работы в зонах безопасности (п. A.11.1.5)
    • Политика чистого стола и чистого монитора (п. A.11.2.9)
    • Политика управления изменениями (пп. A.12.1.2 и A.14.2.4)
    • Политика резервного копирования (п.A.12.3.1)
    • Политика передачи информации (пп. A.13.2.1, A.13.2.2, и A.13.2.3)
    • Анализ воздействия на бизнес (п. A.17.1.1)
    • План отработки и тестирования (п.A.17.1.3)
    • План поддержания и анализа (п. A.17.1.3)
    • Стратегия непрерывности бизнеса (п. A.17.2.1)

    Итак вот список – что вы думаете? Это слишком много, чтобы написать? Охватывают ли эти документы все аспекты информационной безопасности?

    Нажмите сюда, чтобы скачать белую страницу Чек-лист Обязательных документов, требуемых ИСО 27001 (редакция 2013) для более подробной информации в отношении наиболее часто используемых путях структурирования и внедрения обязательных документов и записей.

    Мы благодарим Бахытжана Сейтмухамбетова за перевод на русский язык.

    Advisera Dejan Kosutic
    Автор
    Dejan Kosutic
    Dejan holds a number of certifications, including Certified Management Consultant, ISO 27001 Lead Auditor, ISO 9001 Lead Auditor, and Associate Business Continuity Professional. Dejan leads our team in managing several websites that specialize in supporting ISO and IT professionals in their understanding and successful implementation of top international standards. Dejan earned his MBA from Henley Management College, and has extensive experience in investment, insurance, and banking. He is renowned for his expertise in international standards for business continuity and information security – ISO 22301 & ISO 27001 – and for authoring several related web tutorials, documentation toolkits, and books.