Проект

Общее

Профиль

Редактировать История

Wiki » ISO 27001 »

ЗАНЯТИЕ 4 » История » Версия 2

С. Антошкин, 17.05.2025 11:31

1 1 С. Антошкин 
h1. ЗАНЯТИЕ 4
2 





    3
    2
    С. Антошкин
    
*_Процесс аудита_*





    4
    
    
    





    5
    
    
    





    6
    
    
    
h2.  Цели занятия





    7
    
    
    





    8
    
    
    
К концу занятия вы усвоите:





    9
    
    
    
* Рекомендации по процессу аудита;





    10
    
    
    
* Ценность использования информации о производительности для  концентрации и выделения направлений аудита;





    11
    
    
    
* Обязанности аудитора и проверяемой организации;





    12
    
    
    
* Учет риска при аудите.





    13
    
    
    





    14
    
    
    
h2.  Вопросы для размышления





    15
    
    
    





    16
    
    
    
* Какая разница между процедурой и процессом?





    17
    
    
    
* Что легче проверить и почему?





    18
    
    
    
* Какие преимущества аудит процессов, перед набором аудитов  процедур?





    19
    
    
    
*  *Аудит «отныне и навсегда», что это означает и какие за ним стоят  принципы?*





    20
    
    
    
* Почему аудитор *должен понимать, как работает «Риск»?*





    21
    
    
    





    22
    
    
    
h2. Процессный подход: диаграмма «черепахи»





    23
    
    
    





    24
    
    
    
!clipboard-202505171422-ppb6u.png!





    25
    
    
    





    26
    
    
    
h2. Пример





    27
    
    
    





    28
    
    
    
*_Процессный подход: диаграмма «черепахи»_*





    29
    
    
    





    30
    
    
    
* Оценка процесса реализации Политики резервного копирования:*





    31
    
    
    





    32
    
    
    
Во время сертификационного аудита, проводимого независимым органом по сертификации, в котором вы работаете, вам поручается провести аудит реализации меры управления A.8.13 Резервное копирование.





    33
    
    
    
Клиент, типографская компания, предоставил вам политику резервного копирования, в которой говорится следующее:





    34
    
    
    
* Ресурсы для резервного копирования:





    35
    
    
    
## контроллер домена, 





    36
    
    
    
## файловый сервер,





    37
    
    
    
## сервер приложений;





    38
    
    
    
* Периодичность резервного копирования:





    39
    
    
    
## Ежедневно, в 19:00





    40
    
    
    
* Резервный носитель:





    41
    
    
    
##   Диски резервного сервера.





    42
    
    
    
* Срок хранения:





    43
    
    
    
##  7 дней





    44
    
    
    





    45
    
    
    
Оценка процесса реализации Политики резервного копирования:





    46
    
    
    
* Что должен проверить аудитор, если аудит был ограничен только  реализацией политики?





    47
    
    
    
* В чем была бы разница, если бы аудитор рассматривал резервное копирование как процесс?





    48
    
    
    





    49
    
    
    
!clipboard-202505171426-tjcpk.png!





    50
    
    
    





    51
    
    
    
h2. Упражнение 6





    52
    
    
    





    53
    
    
    
* Планирование аудита процесса управления человеческими ресурсами*





    54
    
    
    





    55
    
    
    
*_Задание:_* 





    56
    
    
    





    57
    
    
    
Сформируйте чек-лист по процессу в соответствии с инструкциями:





    58
    
    
    





    59
    
    
    
{{collapse(Задание)





    60
    
    
    





    61
    
    
    
Вы готовитесь к проведению аудита процессов в типографии. Эта компания имеет два основных направления деятельности: простые полиграфические услуги и конфиденциальные полиграфические услуги (такие как: чеки для банков, выписки с банковских счетов, печать, связанная с налогами и т. п.). Ваш аудит будет охватывать процесс управления персоналом, начиная с определения потребности в новом сотруднике и заканчивая увольнением.





    62
    
    
    





    63
    
    
    
При подготовке опросного листа (чек-листа) вы должны:





    64
    
    
    
*	Разбейте процесс аудита на несколько ключевых этапов (первый из которых — «Потребность в новом сотруднике», последний — «Увольнение»). В первую очередь (прежде чем увязывать процесс с информационной безопасностью) следует подумать, каковы ключевые этапы этого процесса. Показательный пример различных этапов процесса показан на последующих страницах. Вы можете использовать эти этапы в качестве ориентира для своего ответа или можете создать свою собственную основу.





    65
    
    
    
*	Определите важные вопросы, которые вы будете задавать на каждом этапе процесса, чтобы убедиться, что он находится под контролем в соответствии с требованиями ISO/IEC 27001;





    66
    
    
    
*	Определите документированную информацию (документы и записи), которую вы ожидаете получить на каждом из этапов, используемую/производимую проверяемым процессом;





    67
    
    
    
*	Определите требование ISO/IEC 27001, относящееся к каждому пункту/вопросу в вашем контрольном списке.





    68
    
    
    
Показательным пример может быть вам полезен. Фотографии здесь только в качестве руководства, чтобы помочь вам визуализировать процесс. Не пытайтесь добавлять изображения в свой контрольный список. Держитесь в пределах ОБЛАСТИ аудита, которая вам была выделена, но убедитесь, что вы тщательно и всесторонне рассмотрели процесс. Контрольный список из 3 или 4 вопросов для каждого этапа НЕ БУДЕТ удовлетворительным, требуется ДЕТАЛЬНАЯ проработка!





    69
    
    
    





    70
    
    
    





    71
    
    
    
_*ПОКАЗАТЕЛЬЫНЙ ПРИМЕР*_





    72
    
    
    





    73
    
    
    
*Потребность в новом сотруднике*





    74
    
    
    
_Для какой роли (на какую должность) нужен новый сотрудник?_





    75
    
    
    
_Требуются ли конкретные компетенции?_





    76
    
    
    
_Как с этим связана информационная безопасность?_





    77
    
    
    
_+7.2,5.3,A.5.2+_





    78
    
    
    
*Процесс найма сотрудника*





    79
    
    
    
_Специфичные процессы найма? Что такое скрининг?_





    80
    
    
    
_Как с этим связана информационная безопасность?_





    81
    
    
    
_Есть ли какие-то технические процессы, связанные с наймом?_





    82
    
    
    
_+7.2,A.6.1,A.5.15 – 5.18, А.8.2 – 8.5+_





    83
    
    
    
*Осведомленность и обучение*





    84
    
    
    
_Как обеспечивается осведомленность новых сотрудников и действующего персонала?_





    85
    
    
    
_Как осуществляется обучение?_





    86
    
    
    
_Как с этим связана информационная безопасность?_





    87
    
    
    
_+7.3,A.6.3+_





    88
    
    
    
*Управления занятостью, организационные изменения*





    89
    
    
    
_Какие изменения могут произойти во время работы?_





    90
    
    
    
_Существуют ли какие-либо технические процессы, связанные с изменением занятости?_





    91
    
    
    
_+A.6.5,A.5.11 7.3+_





    92
    
    
    
*Увольнение*





    93
    
    
    
_Что требуется при увольнении?_





    94
    
    
    
_Существуют ли какие-либо технические процессы, связанные с изменением занятости?_





    95
    
    
    
_+A.6.5,A.5.11+_





    96
    
    
    





    97
    
    
    
}}





    98
    
    
    





    99
    
    
    
*_Продолжительность_*





    100
    
    
    
*	1 час – подготовка презентации в малой группе;





    101
    
    
    
*	10 минут – демонстрация презентации.





    102
    
    
    





    103
    
    
    
Когда презентации будут готовы, вы представите их друг другу, как если бы вы представляли их руководству. Важно, чтобы участвовали все участники группы, поэтому постарайтесь разделить части презентации поровну между членами группы.