Аудит / Учебный курс

h1. ЗАНЯТИЕ 5

_*Стадия 1 Сертификационного аудита*_

h2.  Цели занятия

К концу занятия вы усвоите:

* Цель и задачи Стадии 1 Сертификационного аудита

* Содержание Стадии 1 Сертификационного аудита, связанные критерии ISO/IEC27001

* Типовые документы, рассматриваемые в рамках Стадии 1  Сертификационного аудита

* Возможные результаты Стадии 1 Сертификационного аудита

h2.  Вопросы для размышления

Стадия 1 Сертификационного аудита представляет собой краткий *предварительный анализ*

* Задачей стадии не является рассмотреть все вопросы аудита

* Стадию часто называют «настольной» и проводят вне площадок клиента, но также возможно проведение на территории проверяемой организации

* Цель является подтверждение, что система располагает необходимой документированной информацией и внедрена;

*В чем смысл деления процесса на две стадии?*

Какую документированную информацию (документы/записи) следует изучить во время предварительной «настольной» стадии?

Каковы потенциальные результаты Стадии 1 Сертификационного аудита?

h2. Упражнение 7

*Проведение Стадии 1 Сертификационного аудита*

*_Задание:_* 

Сформируйте решение в соответствии с инструкциями:

{{collapse(Задание)

Вы член команды аудиторов, которые работают на аккредитованный независимый орган по сертификации. Вы получили заявку на аудит международной полиграфической компании – Типографии «Альфа&Бетта». Компания была создана недавно путем слияния двух компаний (Альфа и Бета) в одну. Обе компании предоставляли полиграфические услуги, хотя тип печати был разным. Предлагаемые услуги в целом, следующие: офсетная печать, печать шаблонов форм, печать книг и газет, печать различных данных, включая печать конфиденциальных и чувствительных данных.

Новая компания только недавно создала свою систему менеджмента в соответствии с ISO/IEC 27001 для покрытия области спектра услуг, упомянутых выше, несмотря на то, что обе компании (Альфа и Бета), из которых была создана новая, ранее внедрили различные процедуры и политики во время своей операционной деятельности. 

Учитывая обстоятельства, компания планирует ISO/IEC 27001 сертификацию по следующим причинам:

-	Два значимых банка-клиента организации теперь требуют сертификат для продолжения контракта на полиграфические услуги;

-	Осведомлены о том, что наличие соответствующего сертификата повысит их шансы на получение контрактов в государственном секторе;

-	Созданная компания желает подтвердить, что объединение несет в себе все знания и опыт двух предшествующих компаний.

Компания создала проект еще до официального слияния компаний и под руководством консультанта привела в соответствие все необходимые системы для прохождения сертификации. Теперь они считают, что готовы и представили верхне-уровневые документы СМИБ для рассмотрения на Стадии 1 Сертификационного аудита.

В раздаточном материале есть учебный пример содержащую документированную информацию компании Альфа&Betta. Учтите, что это не единственная документированная информация, которой обладает компания, но информация позволяющая подготовиться к проведению Стадии 1 Сертификационного аудита. Вы должны оценить документированную информацию Типографии «Альфа&Бетта» и решить:

*	Является ли заявленная область СМИБ достаточной и подходящей;

*	Рассмотрены ли в документированной информации должным образом требования ISO/IEC 27001 относительно контекста, внутренних и внешних факторов, а также рисков;

*	Достаточны ли политика и цели ИБ;

*	Какую дополнительную документированную информацию (документы и записи) вы запросите в течении Стации 1 Сертификационного аудита, позволяющую вам полноценно оценить ситуацию и принять решения относительно перехода к Стадии 2 Сертификационного аудита.

"AB Intro Info":https://wiki.tescar.ru/attachments/1164

"AB Information Security_Policy":https://wiki.tescar.ru/attachments/1165

}}

*_Продолжительность_*

*	1 час – подготовка презентации в малой группе;

*	10 минут – демонстрация презентации.

h2. Обязательная документированная информация

В ISO/IEC 27001 имеется несколько явных ссылок на документированную информацию. Тем не менее, организация может поддерживать дополнительную  документированную информацию, которую она считает необходимой для результативной обеспечения своей системы менеджмента.

*Область действия* , [пункт 4.3]–Область действия должна быть доступна в виде документированной информации.

Политика, [пункт 5.2]–Политика информационной безопасности должна быть

 е) доступна в виде документированной информации;

В различных этапах управления рисками, [Раздел 6]:

* Пункт 6.1.2 –Организация должна хранить документированную информацию о  *процессе оценки рисков информационной безопасности* ; 

* Пункт 6.1.3 –Организация должна хранить документированную информацию о  *процессе обработки рисков информационной безопасности* ;

* Пункт 6.1.3 –создать Заявление о применимости.

*Цели информационной безопасности*, [пункт 6.2] –Организация должна хранить документированную информацию о целях информационной безопасности.

*Компетенции* [пункт 7.2] – Организация должна d) хранить  соответствующую документированную информацию в качестве  свидетельства компетентности.

*Документированная информация внешнего происхождения,  необходимая для СМИБ* [пункт 7.5.3] – Документированная  информация внешнего происхождения, определенная организацией как  необходимая для планирования и функционирования системы  менеджмента информационной безопасности, должна быть  надлежащим образом определена и управляться

*Результаты мониторинга и измерений, анализа и оценки* , [пункт 9.1] Организация должна хранить соответствующую документально оформленную информацию в качестве свидетельства результатов.