ЗАНЯТИЕ 4¶
Процесс аудита
Цели занятия¶
К концу занятия вы усвоите:
- Рекомендации по процессу аудита;
- Ценность использования информации о производительности для концентрации и выделения направлений аудита;
- Обязанности аудитора и проверяемой организации;
- Учет риска при аудите.
Вопросы для размышления¶
- Какая разница между процедурой и процессом?
- Что легче проверить и почему?
- Какие преимущества аудит процессов, перед набором аудитов процедур?
- Аудит «отныне и навсегда», что это означает и какие за ним стоят принципы?
- Почему аудитор должен понимать, как работает «Риск»?
Процессный подход: диаграмма «черепах軶
Пример¶
Процессный подход: диаграмма «черепахи»
- Оценка процесса реализации Политики резервного копирования:*
Во время сертификационного аудита, проводимого независимым органом по сертификации, в котором вы работаете, вам поручается провести аудит реализации меры управления A.8.13 Резервное копирование.
Клиент, типографская компания, предоставил вам политику резервного копирования, в которой говорится следующее:
- Ресурсы для резервного копирования:
- контроллер домена,
- файловый сервер,
- сервер приложений;
- Периодичность резервного копирования:
- Ежедневно, в 19:00
- Резервный носитель:
- Диски резервного сервера.
- Срок хранения:
- 7 дней
Оценка процесса реализации Политики резервного копирования:
- Что должен проверить аудитор, если аудит был ограничен только реализацией политики?
- В чем была бы разница, если бы аудитор рассматривал резервное копирование как процесс?
Упражнение 6¶
- Планирование аудита процесса управления человеческими ресурсами*
Задание:
Сформируйте чек-лист по процессу в соответствии с инструкциями:
ЗаданиеЗадание
Вы готовитесь к проведению аудита процессов в типографии. Эта компания имеет два основных направления деятельности: простые полиграфические услуги и конфиденциальные полиграфические услуги (такие как: чеки для банков, выписки с банковских счетов, печать, связанная с налогами и т. п.). Ваш аудит будет охватывать процесс управления персоналом, начиная с определения потребности в новом сотруднике и заканчивая увольнением.
При подготовке опросного листа (чек-листа) вы должны:
- Разбейте процесс аудита на несколько ключевых этапов (первый из которых — «Потребность в новом сотруднике», последний — «Увольнение»). В первую очередь (прежде чем увязывать процесс с информационной безопасностью) следует подумать, каковы ключевые этапы этого процесса. Показательный пример различных этапов процесса показан на последующих страницах. Вы можете использовать эти этапы в качестве ориентира для своего ответа или можете создать свою собственную основу.
- Определите важные вопросы, которые вы будете задавать на каждом этапе процесса, чтобы убедиться, что он находится под контролем в соответствии с требованиями ISO/IEC 27001;
- Определите документированную информацию (документы и записи), которую вы ожидаете получить на каждом из этапов, используемую/производимую проверяемым процессом;
- Определите требование ISO/IEC 27001, относящееся к каждому пункту/вопросу в вашем контрольном списке.
Показательным пример может быть вам полезен. Фотографии здесь только в качестве руководства, чтобы помочь вам визуализировать процесс. Не пытайтесь добавлять изображения в свой контрольный список. Держитесь в пределах ОБЛАСТИ аудита, которая вам была выделена, но убедитесь, что вы тщательно и всесторонне рассмотрели процесс. Контрольный список из 3 или 4 вопросов для каждого этапа НЕ БУДЕТ удовлетворительным, требуется ДЕТАЛЬНАЯ проработка!
ПОКАЗАТЕЛЬЫНЙ ПРИМЕР
Потребность в новом сотруднике
Для какой роли (на какую должность) нужен новый сотрудник?
Требуются ли конкретные компетенции?
Как с этим связана информационная безопасность?
7.2,5.3,A.5.2
Процесс найма сотрудника
Специфичные процессы найма? Что такое скрининг?
Как с этим связана информационная безопасность?
Есть ли какие-то технические процессы, связанные с наймом?
7.2,A.6.1,A.5.15 – 5.18, А.8.2 – 8.5
Осведомленность и обучение
Как обеспечивается осведомленность новых сотрудников и действующего персонала?
Как осуществляется обучение?
Как с этим связана информационная безопасность?
7.3,A.6.3
Управления занятостью, организационные изменения
Какие изменения могут произойти во время работы?
Существуют ли какие-либо технические процессы, связанные с изменением занятости?
A.6.5,A.5.11 7.3
Увольнение
Что требуется при увольнении?
Существуют ли какие-либо технические процессы, связанные с изменением занятости?
A.6.5,A.5.11
- 1 час – подготовка презентации в малой группе;
- 10 минут – демонстрация презентации.
Когда презентации будут готовы, вы представите их друг другу, как если бы вы представляли их руководству. Важно, чтобы участвовали все участники группы, поэтому постарайтесь разделить части презентации поровну между членами группы.