2.1 Контекст организации
Определение внутренних и внешних факторов и управление ими. Действия, связанные с заинтересованными сторонами. Определение области применения СМИБ. Процессы СМИБ и их анализ.
2.2 Лидерство
Лидерство и обязательства в СМИБ. Формирование и актуализация политики организации. Распределение функций, ответственности и полномочий.
2.3 Планирование
Менеджмент рисков и СМИБ. Формирование целей в области информационной безопасности и планирование их достижения. Планирование изменений СМИБ.
2.4 Обеспечение
Деятельность по управлению ресурсами организации. Управление персоналом, его компетентностью и осведомленностью. Коммуникации.
2.5 Документированная информация
Деятельность по созданию и обновлению и управлению документированной информацией в СМИБ.
2.6 Функционирование
Оперативное планирование и управление в СМИБ. Управление рисками информационной безопасности.
2.7 Оценка результатов функционирования
Деятельность, связанная с мониторингом, измерением, анализом и оценкой. Организация, проведение и анализ результатов внутреннего аудита СМИБ. Анализ системы со стороны высшего руководства
2.8 Улучшение
- Постоянное улучшение. Несоответствия и корректирующие действия