Проект

Общее

Профиль

Действия
История

Wiki » ISO 27001 »

ЗАНЯТИЕ 5 » История » Редакция 3

« Предыдущее | Редакция 3/5 (Разница(diff)) | Следующее »
С. Антошкин, 17.05.2025 11:59

ЗАНЯТИЕ 5

Стадия 1 Сертификационного аудита

Цели занятия

К концу занятия вы усвоите:
  • Цель и задачи Стадии 1 Сертификационного аудита
  • Содержание Стадии 1 Сертификационного аудита, связанные критерии ISO/IEC27001
  • Типовые документы, рассматриваемые в рамках Стадии 1 Сертификационного аудита
  • Возможные результаты Стадии 1 Сертификационного аудита

Вопросы для размышления

Стадия 1 Сертификационного аудита представляет собой краткий предварительный анализ
  • Задачей стадии не является рассмотреть все вопросы аудита
  • Стадию часто называют «настольной» и проводят вне площадок клиента, но также возможно проведение на территории проверяемой организации
  • Цель является подтверждение, что система располагает необходимой документированной информацией и внедрена;

В чем смысл деления процесса на две стадии?
Какую документированную информацию (документы/записи) следует изучить во время предварительной «настольной» стадии?

Каковы потенциальные результаты Стадии 1 Сертификационного аудита?

Упражнение 7

Проведение Стадии 1 Сертификационного аудита

Задание:

Сформируйте решение в соответствии с инструкциями:

Задание

Продолжительность
  • 1 час – подготовка презентации в малой группе;
  • 10 минут – демонстрация презентации.

Обязательная документированная информация

В ISO/IEC 27001 имеется несколько явных ссылок на документированную информацию. Тем не менее, организация может поддерживать дополнительную документированную информацию, которую она считает необходимой для результативной обеспечения своей системы менеджмента.

Область действия , [пункт 4.3]–Область действия должна быть доступна в виде документированной информации.
Политика , [пункт 5.2]–Политика информационной безопасности должна быть
е) доступна в виде документированной информации;
В различных этапах управления рисками, [Раздел 6]:
  • Пункт 6.1.2 –Организация должна хранить документированную информацию о процессе оценки рисков информационной безопасности ;
  • Пункт 6.1.3 –Организация должна хранить документированную информацию о процессе обработки рисков информационной безопасности ;
  • Пункт 6.1.3 –создать Заявление о применимости.
Цели информационной безопасности, [пункт 6.2] –Организация должна хранить документированную информацию о целях информационной безопасности.
Компетенции [пункт 7.2] – Организация должна d) хранить соответствующую документированную информацию в качестве свидетельства компетентности.
Документированная информация внешнего происхождения, необходимая для СМИБ [пункт 7.5.3] – Документированная информация внешнего происхождения, определенная организацией как необходимая для планирования и функционирования системы менеджмента информационной безопасности, должна быть надлежащим образом определена и управляться
Результаты мониторинга и измерений, анализа и оценки , [пункт 9.1] Организация должна хранить соответствующую документально оформленную информацию в качестве свидетельства результатов.
Программа и результаты аудита, [пункт 9.2] – хранить документально оформленную информацию в качестве свидетельств внедрения программ и результатов аудитов
Результаты анализа со стороны высшего руководства, [пункт 9.3] Организация должна хранить документально оформленную информацию в качестве свидетельства результатов анализа со стороны руководства Несоответствия и корректирующие действия [пункт 10.2] – Организация должна хранить документально оформленную информацию в качестве свидетельства:
  • f) природа несоответствий и последующих предпринятых
    действий, и
  • g) результатов корректирующих действий.

Обновлено С. Антошкин 4 дня назад · 3 изменени(я, ий)