Комплект типовых документов по ISO/IEC 27001:2013

Комплект типовых документов по ISO/IEC 27001:2013


Я выступаю за свободный доступ к информации, в частности, за доступ к шаблонам документов по информационной безопасности, что позволяет значительно сократить время на поиск и разработку типовых документов и уделить больше времени процессам безопасности на практике.

Ниже представлен минимальный набор документов, необходимых для прохождения сертификации ISO/IEC 27001, а также даны ссылки на шаблоны и примеры этих документов. 

При составлении данного перечня опирался на требования приложения А стандарта ISO 27007-2020 и рекомендации IT-Task . Шаблоны искал в знаменитых ISO27001 Toolkit от iso27001security , CertiKit , Advisera и аккаунте Андрея Прозорова на Patreon втор постоянно пополняет свой «ISMS Implementation Toolkit» новыми шаблонами, рекомендациями и интеллект-картами).

Большинство документов гуглятся по запросу: «Название документа» (ext:pdf OR ext:docx OR ext:doc OR ext:xlsx OR ext:xls)

Номер пункта стандарта ISO 27001

Варианты названий документов

Ссылка на шаблоны/примеры документов

русский

английский

4.3

Область действия СУИБ / Information Security Context, Requirements and Scope

-

1

5.2, 6.2

Политика СУИБ/ Декларация ИБ/ Концепция ИБ/ ISMS Policy + Политика информационной безопасности / Information Security Policy

1 , 2 , 3 , 4

1 , 2 , 3 , 4

5.3

Положение о ролях / Положение об управлении ролями / Guideline for Roles & Responsibilities in
Information Asset Management

1

1 , 2 , 3 , 4

6.1.2, 6.1.3

Процедура управления рисками ИБ/ Методика оценки рисков ИБ/ Методология оценки и обработки рисков / Risk Assessment and Treatment Process

1 , 2

1

6.1.3 d)

Положение о применимости / Положение о применимости механизмов (мер) контроля/ Соглашение о применимости контролей / Декларация о применимости (Statement of Applicability, SoA)

1

1

7.2 d)

Записи о степени подготовки, навыках, опыте и квалификации

-

-

7.5.1 b)

Процедура управления документами / Процедура управления записями / Procedure for Document and Record Control

1

1

8.2

Отчет об оценке рисков ИБ / Risk Assessment Report

-

1 , 2

8.3

План устранения рисков / План обработки рисков / Risk Treatment Plan

1

1

9.1

Мониторинг и измерение результатов / Политики контроля эффективности СУИБ / Logging and Monitoring Policy

-

1 , 2

9.2 g)

Программа внутреннего аудита / Порядок внутреннего аудита / Методика проведения оценки состояния системы управления информационной безопасностью / ISMS internal audit procedure/ Supplier Information Security Evaluation Process

1

1 , 2

9.2 g)

Результаты внутренних аудитов / Internal Audit Report

-

1 , 2

9.3

Результаты анализа со стороны руководства / Management Review Minutes

-

1 , 2 , 3

10.1

Порядок и устранение неисправностей / Несоответствия и корректирующие действия / Corrective Action Procedure / Procedure for the Management of Nonconformity

1 *

1 , 2

10.1

Результаты корректирующих действий

1 *

1

A.8.1.1

Реестр активов / Материально-технические ресурсы активов / Перечень ИС и сервисов / Guideline for Information Asset Valuation

 

1 , 2 , 3

A.8.1.3

Политика допустимого (приемлемого) использования / Допустимое использование активов / Acceptable Use Policy

1

1 , 2

A.9.1.1

Политика управления доступом

1

 

A.12.1.1

Процессы управления IT / Standard Operating Procedure / Security Procedures for IT Department

1 *, 2 *

1 , 2

A.12.4.1, A.12.4.3

Журналы пользовательских действий, исключений и событий безопасности

-

-

A.14.2.5

Принципы разработки защищенной системы / Secure Development Policy + Principles for Engineering Secure Systems

-

1 , 2

A.15.1.1

Политика безопасности поставщика / Стандарт информационной безопасности для поставщиков / Information Security Policy for Supplier Relationships

1 , 2

1 , 2

A.16.1.5

Процедура управления инцидентами / Инструкция по управлению инцидентами ИБ / Information Security Incident Response Procedure

1 , 2 , 3

1 , 2

A.17.1.2

Процедуры непрерывности бизнеса / Business Continuity Plan

1

1 , 2

A.18.1.1

Юридические, регулирующие договорные требования / Legal, Regulatory and Contractual Requirements

-

1

                             

Примечание: *  - шаблоны не из сферы ИТ, но смысл понятен.

Другие шаблоны типовых документов по информационной безопасности можно скачать со следующих сайтов: SecurityPolicy.ru , SANS .

P.S. коллеги, если вы знаете, где еще можно найти шаблоны документов по СУИБ (СМИБ), пишите в комментариях, я добавлю.

 

Alt text
История Ричарда Столмана - от любви до ненависти. Раскрыты подробности уплаты выкупа вымогателям а киберграбители взялись за цифровое искусство. Смотрите 12 выпуск security-новостей на нашем Youtube канале.

Сергей Сторчак

Персональный блог Сергея Сторчака