Дополнительно для ISO 27001:
Тип нормативных требований:
Организация работает в некритичном и нерегулируемом бизнес-секторе
Организация имеет заказчиков в критичном бизнес-секторе (секторе, оказывающее влияние на важные государственные функции, экономику, здоровье граждан или страну в целом)
Организация работает в критичном бизнес-секторе (секторе, оказывающее влияние на важные государственные функции, экономику, здоровье граждан или страну в целом)
Процесс или задачи:
Небольшое количество продуктов и услуг
Стандартные, но неповторяющиеся процессы с большим количеством продуктов или услуг
Сложные процессы, большое количество продуктов или услуг
Уровень внедрения системы менеджмента информационной безопасности:
Система менеджмента информационной безопасности уже внедрена и/или существуют другие системы менеджмента
Некоторые элементы других систем менеджмента внедрены, другие нет
Нет других систем менеджмента, Система менеджмента информационной безопасности является новой и элементы не внедрены
Сложность IT-инфраструктуры:
Мало или высоко стандартизированные ИТ-платформы, серверы, операционные системы, базы данных, сети и т.д.
Несколько различных ИТ-платформ, серверов, операционных систем, баз данных, сетей
Много различных ИТ-платформ, серверов, операционных систем, баз данных, сетей
Зависимость от аутсорсинга, поставщиков или облачных сервисов:
Мало или нет зависимости от аутсорсинга или поставщиков
Некоторая зависимость от аутсорсинга или поставщиков, которые влияют на некоторые, но не все важные виды бизнес - деятельности
Высокая зависимость от аутсорсинга, поставщиков или облачных сервисов, оказывающая существенное влияние на важные бизнес-процессы
Разработка информационной системы:
Нет или очень ограниченная внутренняя разработка системы / приложений
Некоторая внутренняя или внешняя разработка системы / приложений для некоторых важных бизнес-целей
Большая внутренняя или внешняя система / разработка приложений для важных бизнес-целей