ЗАНЯТИЕ 5 » История » Версия 4
С. Антошкин, 17.05.2025 12:04
| 1 | 1 | С. Антошкин | h1. ЗАНЯТИЕ 5 |
|---|---|---|---|
| 2 | |||
| 3 | _*Стадия 1 Сертификационного аудита*_ |
||
| 4 | |||
| 5 | h2. Цели занятия |
||
| 6 | |||
| 7 | К концу занятия вы усвоите: |
||
| 8 | * Цель и задачи Стадии 1 Сертификационного аудита |
||
| 9 | * Содержание Стадии 1 Сертификационного аудита, связанные критерии ISO/IEC27001 |
||
| 10 | * Типовые документы, рассматриваемые в рамках Стадии 1 Сертификационного аудита |
||
| 11 | * Возможные результаты Стадии 1 Сертификационного аудита |
||
| 12 | |||
| 13 | h2. Вопросы для размышления |
||
| 14 | |||
| 15 | Стадия 1 Сертификационного аудита представляет собой краткий *предварительный анализ* |
||
| 16 | * Задачей стадии не является рассмотреть все вопросы аудита |
||
| 17 | * Стадию часто называют «настольной» и проводят вне площадок клиента, но также возможно проведение на территории проверяемой организации |
||
| 18 | * Цель является подтверждение, что система располагает необходимой документированной информацией и внедрена; |
||
| 19 | |||
| 20 | *В чем смысл деления процесса на две стадии?* |
||
| 21 | Какую документированную информацию (документы/записи) следует изучить во время предварительной «настольной» стадии? |
||
| 22 | |||
| 23 | Каковы потенциальные результаты Стадии 1 Сертификационного аудита? |
||
| 24 | |||
| 25 | |||
| 26 | h2. Упражнение 7 |
||
| 27 | |||
| 28 | *Проведение Стадии 1 Сертификационного аудита* |
||
| 29 | |||
| 30 | *_Задание:_* |
||
| 31 | |||
| 32 | Сформируйте решение в соответствии с инструкциями: |
||
| 33 | |||
| 34 | {{collapse(Задание) |
||
| 35 | |||
| 36 | Вы член команды аудиторов, которые работают на аккредитованный независимый орган по сертификации. Вы получили заявку на аудит международной полиграфической компании – Типографии «Альфа&Бетта». Компания была создана недавно путем слияния двух компаний (Альфа и Бета) в одну. Обе компании предоставляли полиграфические услуги, хотя тип печати был разным. Предлагаемые услуги в целом, следующие: офсетная печать, печать шаблонов форм, печать книг и газет, печать различных данных, включая печать конфиденциальных и чувствительных данных. |
||
| 37 | Новая компания только недавно создала свою систему менеджмента в соответствии с ISO/IEC 27001 для покрытия области спектра услуг, упомянутых выше, несмотря на то, что обе компании (Альфа и Бета), из которых была создана новая, ранее внедрили различные процедуры и политики во время своей операционной деятельности. |
||
| 38 | Учитывая обстоятельства, компания планирует ISO/IEC 27001 сертификацию по следующим причинам: |
||
| 39 | - Два значимых банка-клиента организации теперь требуют сертификат для продолжения контракта на полиграфические услуги; |
||
| 40 | - Осведомлены о том, что наличие соответствующего сертификата повысит их шансы на получение контрактов в государственном секторе; |
||
| 41 | - Созданная компания желает подтвердить, что объединение несет в себе все знания и опыт двух предшествующих компаний. |
||
| 42 | Компания создала проект еще до официального слияния компаний и под руководством консультанта привела в соответствие все необходимые системы для прохождения сертификации. Теперь они считают, что готовы и представили верхне-уровневые документы СМИБ для рассмотрения на Стадии 1 Сертификационного аудита. |
||
| 43 | В раздаточном материале есть учебный пример содержащую документированную информацию компании Альфа&Betta. Учтите, что это не единственная документированная информация, которой обладает компания, но информация позволяющая подготовиться к проведению Стадии 1 Сертификационного аудита. Вы должны оценить документированную информацию Типографии «Альфа&Бетта» и решить: |
||
| 44 | * Является ли заявленная область СМИБ достаточной и подходящей; |
||
| 45 | * Рассмотрены ли в документированной информации должным образом требования ISO/IEC 27001 относительно контекста, внутренних и внешних факторов, а также рисков; |
||
| 46 | * Достаточны ли политика и цели ИБ; |
||
| 47 | * Какую дополнительную документированную информацию (документы и записи) вы запросите в течении Стации 1 Сертификационного аудита, позволяющую вам полноценно оценить ситуацию и принять решения относительно перехода к Стадии 2 Сертификационного аудита. |
||
| 48 | |||
| 49 | |||
| 50 | 2 | С. Антошкин | "AB Intro Info":https://wiki.tescar.ru/attachments/1164 |
| 51 | "AB Information Security_Policy":https://wiki.tescar.ru/attachments/1165 |
||
| 52 | 3 | С. Антошкин | "AB Printig SoA":https://wiki.tescar.ru/attachments/1166 |
| 53 | 4 | С. Антошкин | "AB Risk_Management Process":https://wiki.tescar.ru/attachments/1167 |
| 54 | "AB Annual_Audit Plan":https://wiki.tescar.ru/attachments/1168 |
||
| 55 | "AB Assignment of Internal_Auditors":https://wiki.tescar.ru/attachments/1169 |
||
| 56 | "AB Audit Plan":https://wiki.tescar.ru/attachments/1170 |
||
| 57 | 1 | С. Антошкин | }} |
| 58 | |||
| 59 | *_Продолжительность_* |
||
| 60 | * 1 час – подготовка презентации в малой группе; |
||
| 61 | * 10 минут – демонстрация презентации. |
||
| 62 | |||
| 63 | 2 | С. Антошкин | |
| 64 | h2. Обязательная документированная информация |
||
| 65 | |||
| 66 | В ISO/IEC 27001 имеется несколько явных ссылок на документированную информацию. Тем не менее, организация может поддерживать дополнительную документированную информацию, которую она считает необходимой для результативной обеспечения своей системы менеджмента. |
||
| 67 | |||
| 68 | 1 | С. Антошкин | *Область действия* , [пункт 4.3]–Область действия должна быть доступна в виде документированной информации. |
| 69 | 3 | С. Антошкин | *Политика* , [пункт 5.2]–Политика информационной безопасности должна быть |
| 70 | 2 | С. Антошкин | е) доступна в виде документированной информации; |
| 71 | В различных этапах управления рисками, [Раздел 6]: |
||
| 72 | * Пункт 6.1.2 –Организация должна хранить документированную информацию о *процессе оценки рисков информационной безопасности* ; |
||
| 73 | * Пункт 6.1.3 –Организация должна хранить документированную информацию о *процессе обработки рисков информационной безопасности* ; |
||
| 74 | * Пункт 6.1.3 –создать Заявление о применимости. |
||
| 75 | |||
| 76 | *Цели информационной безопасности*, [пункт 6.2] –Организация должна хранить документированную информацию о целях информационной безопасности. |
||
| 77 | *Компетенции* [пункт 7.2] – Организация должна d) хранить соответствующую документированную информацию в качестве свидетельства компетентности. |
||
| 78 | *Документированная информация внешнего происхождения, необходимая для СМИБ* [пункт 7.5.3] – Документированная информация внешнего происхождения, определенная организацией как необходимая для планирования и функционирования системы менеджмента информационной безопасности, должна быть надлежащим образом определена и управляться |
||
| 79 | 1 | С. Антошкин | *Результаты мониторинга и измерений, анализа и оценки* , [пункт 9.1] Организация должна хранить соответствующую документально оформленную информацию в качестве свидетельства результатов. |
| 80 | 3 | С. Антошкин | *Программа и результаты аудита*, [пункт 9.2] – хранить документально оформленную информацию в качестве свидетельств внедрения программ и результатов аудитов |
| 81 | *Результаты анализа со стороны высшего руководства*, [пункт 9.3] Организация должна хранить документально оформленную информацию в качестве свидетельства результатов анализа со стороны руководства Несоответствия и корректирующие действия [пункт 10.2] – Организация должна хранить документально оформленную информацию в качестве свидетельства: |
||
| 82 | * f) природа несоответствий и последующих предпринятых |
||
| 83 | действий, и |
||
| 84 | 1 | С. Антошкин | * g) результатов корректирующих действий. |
| 85 | 4 | С. Антошкин | |
| 86 | |||
| 87 | h2. Иная документированная информация |
||
| 88 | |||
| 89 | Примерами документированной информации, которая может быть определена организацией как необходимая для обеспечения результативности ее СМИБ, являются: |
||
| 90 | * результаты установления контекста (Раздел 4); |
||
| 91 | * роли, ответственность и полномочия (Раздел 5); |
||
| 92 | * отчеты о различных этапах управления рисками (Раздел 6); |
||
| 93 | * ресурсы определены и предоставлены (пункт 7.1); |
||
| 94 | * ожидаемая компетентность (пункт 7.2); |
||
| 95 | * планы и результаты мероприятий по повышению осведомленности (пункт 7.3); |
||
| 96 | * планы и результаты коммуникации (пункт 7.4) |
||
| 97 | * Процесс управления документированной информацией (раздел 7.5.3); |
||
| 98 | * Политики, правила и директивы для координации и операционной деятельности по обеспечению информационной безопасности (Приложение А); |
||
| 99 | * Процессы и процедуры, используемые для внедрения, обслуживания и улучшения СМИБ и состояния информационной безопасности в целом (раздел 9); |
||
| 100 | * Планы действий, а также свидетельство результатов процессов СМИБ (например, управление инцидентами, контроль доступа, непрерывность информационной безопасности, техническое обслуживание оборудования и т. д.). |
||
| 101 | |||
| 102 | h2. Ключевые положения пройденного занятия |
||
| 103 | |||
| 104 | Стадия 1 Сертификационного аудита, часто называется –«проверкой готовности»; |
||
| 105 | Устанавливается, достаточность требуемой документированной информации и существование системы: |
||
| 106 | * Наличие планов, политик и процедур верхнего уровня; |
||
| 107 | * Записи о реализации |
||
| 108 | |||
| 109 | При отсутствии значительных несоответствий, делается вывод по переходе и проведении Стадии 2 Сертификационного аудита; |
||
| 110 | Работа органов по сертификации оценивается по стандартам: |
||
| 111 | * ISO/IEC17021 и ISO /IEC27006. |