ГОСТ Р ИСО/МЭК 27001-2021. Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования

7.5 Документированная информация

7.5.1 Общие положения

Система менеджмента информационной безопасности организации должна включать:

a) документированную информацию, требуемую в соответствии с настоящим стандартом;

b) документированную информацию, определяемую организацией как необходимую для обеспечения результативности системы менеджмента информационной безопасности.

Примечание - Объем документированной информации, относящейся к системе менеджмента информационной безопасности, в разных организациях может быть различным, в зависимости:

a) от размеров организации и вида ее деятельности, процессов, продуктов и услуг;

b) сложности процессов и их взаимодействия;

c) квалификации персонала.

 

7.5.2 Создание и обновление документированной информации

При создании и обновлении документированной информации организация должна обеспечить надлежащие:

a) идентификацию и описание (например, наименование, дата, автор или номер для ссылок);

b) формат (например, язык, версия программного обеспечения, графика) и носитель информации (например, бумажный, электронный);

c) проверку и подтверждение ее пригодности и адекватности.

7.5.3 Управление документированной информацией

Требуется осуществлять управление документированной информацией, необходимой для системы менеджмента информационной безопасности и указанной в настоящем стандарте, с целью обеспечения ее:

a) доступности и пригодности для использования, когда и где это необходимо;

b) надлежащей защиты (например, от нарушения конфиденциальности, ненадлежащего использования или нарушения целостности).

Для управления документированной информацией организация должна осуществлять следующие (если это применимо) действия по отношению к ней:

c) распространение, обеспечение доступа, поиска и использования;

d) хранение и обеспечение сохранности, включая сохранение разборчивости;

e) управление изменениями (например, управление версиями);

f) архивное хранение и уничтожение.

Организация должна идентифицировать и управлять необходимой для осуществления планирования и функционирования системы менеджмента информационной безопасности документированной информацией из внешних источников.

Примечание - Доступ к документированной информации предполагает либо наличие полномочий только на ее просмотр, либо на просмотр и внесение изменений в документированную информацию, а также другие действия.