Если вы обратили внимание, то в новой версии стандарта ISO 27001-2013 появился термин, которого раньше не было. Это я говорю про "контекст организации".
Вот, что написано в ISO 27001-2013 (перевод авторский: Alexander Dmitriev, Ildar Garipov, Michael Vernikov. www.sitma.pro)
"4 Контекст организации4.1 Понимание организации и ее контекстаОрганизация должна определить внешние и внутренние аспекты, которые имеют отношение к ее цели и влияют на ее способность к достижению ожидаемых результатов от системы менеджмента информационной безопасности.ПРИМЕЧАНИЕ Определение этих аспектов относится к установлению внешнего и внутреннего контекста организации в соответствии с Разделом 5.3 ISO 31000:2009.
4.2 Понимание потребностей и ожиданий заинтересованных сторонОрганизация должна определить:a) заинтересованные стороны, которые имеют отношение к системе менеджмента информационной безопасности, а такжеb) требования этих заинтересованных сторон, имеющих отношение к информационной безопасности.ПРИМЕЧАНИЕ Требования заинтересованных сторон могут включать в себя законодательные, нормативные требования и договорные обязательства.
4.3 Определение области применения системы менеджмента информационной безопасностиОрганизация для определения области применения СМИБ должна определить границы и возможность применения системы менеджмента информационной безопасности.При определении этой области применения организация должна рассмотреть следующие вопросы:a) внешние и внутренние аспекты, упомянутые в п.4.1;b) требования, указанные в п.4.2;c) интерфейсы и зависимости между деятельностью, выполняемой организацией, и деятельностью, которую выполняют другие организации.Область применения должна быть доступна в виде документированной информации.
4.4 Система менеджмента информационной безопасностиОрганизация должна разработать, внедрить, поддерживать и постоянно совершенствовать систему менеджмента информационной безопасности в соответствии с требованиями настоящего стандарта."
На этом все. Дальше стандарт предполагает, что читатель додумает сам... Ну, или полезет смотреть ISO 31000 (это который про управление рисками). В нем уже про контекст написано чуть больше (1 страница) и приведены примеры внутреннего и внешнего контекста. Их можете посмотреть в майндкарте в конце поста.
Также ISO 31000 кратко описывает зачем "контекст" нужен:
"Посредством установления ситуации (контекста) организация формирует цели, определяет внешние и внутренние параметры, которые следует принимать во внимание при управлении рисками, и определяет область применения и критерии риска для оставшегося процесса."
Намного полнее и полезнее про "контекст" говориться в COBIT5. В нем даже есть определение термина:
"Контекст - Совокупность внешних и внутренних факторов, которые определяют или влияют на образ действия предприятия, организации, процесса или человека."
В COBIT5, также как и в ISO 31000, приводятся факторы внутренней и внешней среды (контекст), но еще есть и примеры заинтересованных сторон, "болевых точек" и событий-триггеров, которые также уместно рассматривать в "контексте организации".
Все примеры и положения стандартов я свел в единую майндкрту ( в PDF тут). Ей удобно пользоваться при анализе текущего состояния организаций и планирования совершенствования системы информационной безопасности.
P.S. Кстати, на систематизацию материала и написание поста меня натолкнула статья Александра Дмитриева (Директор по системам безопасности, компания TMS (представитель TÜV SÜD в Украине) "ISO 27001:2013. Определение контекста организации - базовый шаг внедрения системы менеджмента информационной безопасности". К сожалению, она находится в закрытой группе в ФБ, но может кто-то еще имеет к ней доступ. Рекомендую.
