Действия

История

ЗАНЯТИЕ 5¶

Стадия 1 Сертификационного аудита

Цели занятия¶

К концу занятия вы усвоите:

Цель и задачи Стадии 1 Сертификационного аудита
Содержание Стадии 1 Сертификационного аудита, связанные критерии ISO/IEC27001
Типовые документы, рассматриваемые в рамках Стадии 1 Сертификационного аудита
Возможные результаты Стадии 1 Сертификационного аудита

Вопросы для размышления¶

Стадия 1 Сертификационного аудита представляет собой краткий предварительный анализ

Задачей стадии не является рассмотреть все вопросы аудита
Стадию часто называют «настольной» и проводят вне площадок клиента, но также возможно проведение на территории проверяемой организации
Цель является подтверждение, что система располагает необходимой документированной информацией и внедрена;

В чем смысл деления процесса на две стадии?
Какую документированную информацию (документы/записи) следует изучить во время предварительной «настольной» стадии?

Каковы потенциальные результаты Стадии 1 Сертификационного аудита?

Упражнение 7¶

Проведение Стадии 1 Сертификационного аудита

Задание:

Сформируйте решение в соответствии с инструкциями:

Задание Задание

Вы член команды аудиторов, которые работают на аккредитованный независимый орган по сертификации. Вы получили заявку на аудит международной полиграфической компании – Типографии «Альфа&Бетта». Компания была создана недавно путем слияния двух компаний (Альфа и Бета) в одну. Обе компании предоставляли полиграфические услуги, хотя тип печати был разным. Предлагаемые услуги в целом, следующие: офсетная печать, печать шаблонов форм, печать книг и газет, печать различных данных, включая печать конфиденциальных и чувствительных данных.
Новая компания только недавно создала свою систему менеджмента в соответствии с ISO/IEC 27001 для покрытия области спектра услуг, упомянутых выше, несмотря на то, что обе компании (Альфа и Бета), из которых была создана новая, ранее внедрили различные процедуры и политики во время своей операционной деятельности.
Учитывая обстоятельства, компания планирует ISO/IEC 27001 сертификацию по следующим причинам:
- Два значимых банка-клиента организации теперь требуют сертификат для продолжения контракта на полиграфические услуги;
- Осведомлены о том, что наличие соответствующего сертификата повысит их шансы на получение контрактов в государственном секторе;
- Созданная компания желает подтвердить, что объединение несет в себе все знания и опыт двух предшествующих компаний.
Компания создала проект еще до официального слияния компаний и под руководством консультанта привела в соответствие все необходимые системы для прохождения сертификации. Теперь они считают, что готовы и представили верхне-уровневые документы СМИБ для рассмотрения на Стадии 1 Сертификационного аудита.
В раздаточном материале есть учебный пример содержащую документированную информацию компании Альфа&Betta. Учтите, что это не единственная документированная информация, которой обладает компания, но информация позволяющая подготовиться к проведению Стадии 1 Сертификационного аудита. Вы должны оценить документированную информацию Типографии «Альфа&Бетта» и решить:

Является ли заявленная область СМИБ достаточной и подходящей;
Рассмотрены ли в документированной информации должным образом требования ISO/IEC 27001 относительно контекста, внутренних и внешних факторов, а также рисков;
Достаточны ли политика и цели ИБ;
Какую дополнительную документированную информацию (документы и записи) вы запросите в течении Стации 1 Сертификационного аудита, позволяющую вам полноценно оценить ситуацию и принять решения относительно перехода к Стадии 2 Сертификационного аудита.

AB Intro Info
AB Information Security_Policy
AB Printig SoA
AB Risk_Management Process
AB Annual_Audit Plan
AB Assignment of Internal_Auditors
AB Audit Plan

Продолжительность

1 час – подготовка презентации в малой группе;
10 минут – демонстрация презентации.

Обязательная документированная информация¶

В ISO/IEC 27001 имеется несколько явных ссылок на документированную информацию. Тем не менее, организация может поддерживать дополнительную документированную информацию, которую она считает необходимой для результативной обеспечения своей системы менеджмента.

Область действия , [пункт 4.3]–Область действия должна быть доступна в виде документированной информации.
Политика , [пункт 5.2]–Политика информационной безопасности должна быть
е) доступна в виде документированной информации;
В различных этапах управления рисками, [Раздел 6]:

Пункт 6.1.2 –Организация должна хранить документированную информацию о процессе оценки рисков информационной безопасности ;
Пункт 6.1.3 –Организация должна хранить документированную информацию о процессе обработки рисков информационной безопасности ;
Пункт 6.1.3 –создать Заявление о применимости.

Цели информационной безопасности, [пункт 6.2] –Организация должна хранить документированную информацию о целях информационной безопасности.
Компетенции [пункт 7.2] – Организация должна d) хранить соответствующую документированную информацию в качестве свидетельства компетентности.
Документированная информация внешнего происхождения, необходимая для СМИБ [пункт 7.5.3] – Документированная информация внешнего происхождения, определенная организацией как необходимая для планирования и функционирования системы менеджмента информационной безопасности, должна быть надлежащим образом определена и управляться
Результаты мониторинга и измерений, анализа и оценки , [пункт 9.1] Организация должна хранить соответствующую документально оформленную информацию в качестве свидетельства результатов.
Программа и результаты аудита, [пункт 9.2] – хранить документально оформленную информацию в качестве свидетельств внедрения программ и результатов аудитов
Результаты анализа со стороны высшего руководства, [пункт 9.3] Организация должна хранить документально оформленную информацию в качестве свидетельства результатов анализа со стороны руководства Несоответствия и корректирующие действия [пункт 10.2] – Организация должна хранить документально оформленную информацию в качестве свидетельства:

f) природа несоответствий и последующих предпринятых
действий, и
g) результатов корректирующих действий.

Иная документированная информация¶

Примерами документированной информации, которая может быть определена организацией как необходимая для обеспечения результативности ее СМИБ, являются:

результаты установления контекста (Раздел 4);
роли, ответственность и полномочия (Раздел 5);
отчеты о различных этапах управления рисками (Раздел 6);
ресурсы определены и предоставлены (пункт 7.1);
ожидаемая компетентность (пункт 7.2);
планы и результаты мероприятий по повышению осведомленности (пункт 7.3);
планы и результаты коммуникации (пункт 7.4)
Процесс управления документированной информацией (раздел 7.5.3);
Политики, правила и директивы для координации и операционной деятельности по обеспечению информационной безопасности (Приложение А);
Процессы и процедуры, используемые для внедрения, обслуживания и улучшения СМИБ и состояния информационной безопасности в целом (раздел 9);
Планы действий, а также свидетельство результатов процессов СМИБ (например, управление инцидентами, контроль доступа, непрерывность информационной безопасности, техническое обслуживание оборудования и т. д.).

Ключевые положения пройденного занятия¶

Стадия 1 Сертификационного аудита, часто называется –«проверкой готовности»;
Устанавливается, достаточность требуемой документированной информации и существование системы:

Наличие планов, политик и процедур верхнего уровня;
Записи о реализации

При отсутствии значительных несоответствий, делается вывод по переходе и проведении Стадии 2 Сертификационного аудита;
Работа органов по сертификации оценивается по стандартам:

ISO/IEC17021 и ISO /IEC27006.

<<Назад В меню Далее>>

Файлы (7)

Обновлено С. Антошкин 1 день назад · 5 изменени(я, ий)

AB_Intro_Info.pdf (268 КБ) AB_Intro_Info.pdf		С. Антошкин, 17.05.2025 11:47
AB_Information_Security_Policy.pdf (100 КБ) AB_Information_Security_Policy.pdf		С. Антошкин, 17.05.2025 11:47
AB_Printig_SoA.pdf (420 КБ) AB_Printig_SoA.pdf		С. Антошкин, 17.05.2025 11:56
AB_Risk_Management_Process.pdf (310 КБ) AB_Risk_Management_Process.pdf		С. Антошкин, 17.05.2025 11:59
AB_Annual_Audit_Plan.pdf (104 КБ) AB_Annual_Audit_Plan.pdf		С. Антошкин, 17.05.2025 11:59
AB_Assignment_of_Internal_Auditors.pdf (133 КБ) AB_Assignment_of_Internal_Auditors.pdf		С. Антошкин, 17.05.2025 11:59
AB_Audit_Plan.pdf (131 КБ) AB_Audit_Plan.pdf		С. Антошкин, 17.05.2025 11:59

Проект

Общее

Профиль

Аудит / Учебный курс

Sidebar¶

Wiki