1.1 Generelt
Denne standarden spesifiserer krav for å utarbeide, iverksette, forvalte, overvåke, revidere, vedlikeholde
og forbedre et dokumentert ISMS innenfor rammene av virksomhetens totale virksomhetsrisiko. Den
spesifiserer kravene til iverksetting av sikringstiltak tilpasset den enkelte virksomhets behov eller deler av
disse (se tillegg B for veiledning om bruken av denne standarden).
ISMS er utarbeidet for å sikre at dekkende og tilpassede sikringstiltak beskytter informasjonsaktiva på en
tilfredsstillende måte og derved inngir trygghet til kunder og andre interessenter. Dette kan også ses som
en måte å vedlikeholde og forbedre virksomhetens konkurransedyktighet, kontantstrøm, lønnsomhet,
juridisk overensstemmelse og kommersielle ansikt utad.
1.2 Anvendelse
Kravene til tiltak som stilles i denne standarden, er allmenne og ment å være anvendelige for alle organisasjoner, uavhengig av type, størrelse eller karakter av virksomhet. Dersom krav i denne standarden ikke er relevante for virksomheten, kan man vurdere å utelukke dem.
I de tilfeller der kravene utelukkes, kan man ikke hevde å være i samsvar med standarden med mindre
disse utelukkelsene ikke påvirker organisasjonens evne til og/eller ansvar for å levere informasjonssikkerhet som dekker de kravene til sikkerhet som er avdekket gjennom en risikovurdering, og som stilles i henhold til gjeldende lovverk. Enhver utelukkelse av tiltak som anses å være nødvendige for å oppfylle kriteriene for risikoakseptanse, må berettiggjøres, og forklaringer som viser at risikoene har blitt fullstendig akseptert av de som er ansvarlige, må dokumenteres. Det aksepteres ikke utelukkelse av kravene spesifisert i punktene 4, 5, 6 og 7.
| Number of Pages : | 40 |
| Published : | 05/09/2003 |
