ЗАНЯТИЕ 6¶
Планирование Стадии 2 Сертификационного аудита
Цели занятия¶
К концу занятия вы усвоите:
- Цель и важность плана аудита;
- Важность предварительного контакта с проверяемой организацией;
- Типовые содержание и структура плана аудита;
- Цель «вступительного совещания»
- Обсуждение коммуникаций и логистики
Вопросы для размышления¶
Кто должен ознакомиться с планом?
Почему план должен быть передан заинтересованным сторонам заранее?
Какие запланированные мероприятия должен включать план?
- Помните, если вы не планируете, чтобы что-то случилось, то, скорее всего, это не случится. (СОВЕТ: планируйте коммуникации)
План должен быть всесторонним, соответствовать масштабу и критериям аудита, эффективным по времени.
- Какие практические и логистические соображения существуют?
- Охватывает ли план события, с которых начинаются и заканчиваются этапы аудита.
Вступительное совещание и сопровождение¶
Что такое «вступительное совещание»?
- Почему это важно?
- Участники?
- Что разбирается на повестке?
- Как долго это должно продолжаться?
- Почему требуется сохранять записи о вступительном совещании?
Когда аудитору может понадобиться сопровождение?
- Что следует делать/не делать сопровождающему?
Упражнение 7¶
Планирование Стадии 2 Сертификационного аудита
Задание:
Сформировать план аудита в соответствии с инструкциями:
ЗаданиеЗадание
Вы завершили Стадию 1 Сертификационного аудита Типографии «Альфа&Бета» и приняли решение перейти к Стадии 2 Сертификационного аудита. Следовательно, вам нужен план. Руководствуясь требованиями стандарта ISO/IEC 27006, вы выяснили, что для организации такого размера (40 человек) рекомендовано отводить 6 дней на аудит. Из этого времени, вы уже использовали 2 дня на Стадию 1 Сертификационного аудита, что означает что у вас остается 4 человеко-дня на Стадию 2 Сертификационного аудита (с выездом на территорию компании). Ваша команда состоит из 2 аудиторов (включая Ведущего аудитора), как следствие вы планируете выездной (On-site) аудит на два дня. Вы должны представить сводный план, охватывающий деятельность обоих аудиторов покрывающий два дня аудита.
В ваш план следует включить положения, описывающие область, цели и критерии аудита, которые охватят аудит. Типичная форма плана представлена в заметках слушателя (файл - ISMSLA_Student_Notes, СТР.: 49). Аудит намечен на 2 февраля.
Информация о площадке:
Типография «Альфа&Бета» создана из двух отдельных организаций Альфа и Бета. История двух компаний и их услуг включена в документацию (AB_basic_Info). Поскольку у обеих компаний была своя площадь, у Типографии «Альфа&Бета» два офиса (придумать адреса площадок самостоятельно). Каждая площадка выполняет свои соответствующие функции (услуги печати), как и раньше, со следующим отличием: ИТ-отдел единый и размещается на площадке «Бета», а управление и другие административные задачи (например, бухгалтерский учет, управление персоналом) размещаются на площадке «Альфа». Следующая информация будет вам полезна при составлении плана:
− Общая численность персонала составляет 40 человек, из них 20 на площадке «Альфа» и 20 на площадке «Бета». В IT работают два человека.
− Вы также можете использовать любую информацию о Типографии «Альфа&Бета», которую рассмотрели ранее, чтобы помочь вам разработать свой план.
Пример:
План аудита (простой пример, 1 аудитор, 2 календарных дня)
| ОРГАНИЗАЦИЯ |
ACME Ltd. |
| ДАТА АУДИТА |
2-3 сентября |
| КРИТЕРИИ АУДИТА |
ISO 27001:2022 |
| ОБЛАСТЬ АУДИТА |
СУИБ, охватывающая услуги компании |
| АУДИТОР |
Иванов И.И. |
| ЦЕЛЬ АУДИТА |
Определить и сообщить о степени соответствия системы менеджмента ACME Ltd. требованиям ISO 27001 |
| ПЛАН АУДИТА |
| 2 сентября |
3 сентября |
| 08:45-09:00 |
Встреча |
08:45-09:30 |
Разделение обязанностей в рамках ключевых ролей СМИБ
Контакты с органами власти и группами Мобильные устройства и удаленная работа (собеседование с менеджерами по ИТ и информационной безопасности и любым другим
соответствующим персоналом) |
| 09:00-09:30 |
Вступительная встреча с руководством ACME Ltd. |
| 09:30-10:30 |
Деятельность высшего руководства и управление рисками, информация о соответствии
(интервью с генеральным директором и менеджером по информационной безопасности) |
09:30-10:30 |
Управление активами
(включая классификацию информации)
Криптографический контроль
(Интервью с менеджерами по ИТ и информационной безопасности и любым другим соответствующим персоналом). |
| 10:30-10:45 |
Перерыв |
10:30-10:45 |
Перерыв |
| 10:45-12:30 |
Роли, компетенции, обязанности и полномочия
Функции отдела кадров, имеющие отношение к информационной безопасности (например, отбор, адаптация, обучение, увольнение) (собеседование с менеджером по кадрам и
любым другим соответствующим персоналом) |
10:45-12:30 |
Управление контролем доступа. Управление сетевой безопасностью (собеседование с менеджерами по ИТ и информационной безопасности, а также любым другим соответствующим персоналом) |
| 12:30-13:15 |
Обед |
12:30-13:15 |
Обед |
| 13:15-14:00 |
Управление изменениями как часть
работы системы.
(Интервью с менеджерами по ИТ и информационной безопасности). |
13:15-14:00 |
Безопасность операций
(Собеседование с менеджерами по ИТ и информационной безопасности и любым другим соответствующим персоналом). |
| 14:15-15:00 |
Аутсорсинг процессов и управления поставщиками
(Интервью с менеджерами по закупкам, ИТ и информационной безопасности). |
14:15-15:00 |
Информационная безопасность в управлении проектами
(Интервью с командой управления проектами) |
| 15:00-15:15 |
Перерыв |
15:00-15:15 |
Перерыв |
| 15:15-16:30 |
Осведомленность персонала
Физическая и экологическая безопасность (экскурсия по объекту и интервью с выборкой сотрудников организации) |
15:15-16:30 |
Управление инцидентами информационной безопасности
Аспекты информационной безопасности управления непрерывностью бизнеса
(Интервью с менеджерами по ИТ и информационной безопасности и любым другим
соответствующим персоналом). |
| 16:45-17:00 |
Обновление на конец дня
(Обсуждение с менеджером по информационной безопасности) |
16:45-17:00 |
Заключительная встреча с высшим руководством |
- 1 час – подготовка презентации в малой группе;
- 30 мин –обсуждение.
План аудита¶
С какими трудностями вы столкнулись при разработке плана аудита?
Какую информацию вы должны знать перед составлением эффективного план аудита?
- Конкретные процессы, политики и меры управления установленные
- организацией;
- Подробная инфраструктура;
- Распространение системы;
- Сложность системы и элементов управления.
Это позволит вам:
- Оценить общее время;
- Выбрать проверяемых (ответственных для интервью или демонстрации);
- Подобрать команды аудиторов
- План является рабочим документом как для команды аудита, так и для проверяемой организации;
- Потери времени в пути должны быть сведены к минимуму;
- По возможности следует соблюдать рациональную последовательность действий, основанную на процессах.
- Интервью с Высшим руководством должно быть проведено как можно раньше;
- Должно быть установлено подходящее время;
- Планирование –важная часть ответственности ведущего аудитора:
- Подумайте о других возможных обязанностях ведущего аудитора
Упражнение 9 (Часть 1)¶
Подготовка чек-листа для проведения Стадии 2 Сертификационного аудита
Задание:
Сформировать план аудита в соответствии с инструкциями:
ЗаданиеЗадание
Вы подготовили план аудита для Типографии «Альфа&Бета». Стадия 2 Сертификационного аудита будет рассматривать всю СМИБ. Для всех частей этого плана аудита потребуется контрольный лист, однако в этом упражнении мы рассмотрим процессы, которые поддерживаются высшим руководством, а также процессы улучшения. По завершении этого аудита у вас будет возможность взять интервью у высшего руководства Типографии «Альфа&Бета» (г-н Хай Вижн) относительно требований к высшему руководству (раздел 5 ISO/IEC 27001:2022), а затем у вас будет возможность взять интервью у менеджера по информационной безопасности (г-н Эври Си), по вопросам, касающимся мероприятий по улучшению (разделы 9 и 10 ISO/IEC 27001:2022).
Каждый член группы должен взять на себя ответственность за часть процесса (например, один человек может просматривать политику и цели, другой — внутренние аудиты и корректирующие действия и т.д.). Важно, чтобы каждый принимал активное участие, иначе нельзя будет оценить ваш прогресс.
Пример:
| ЧЕКЛИСТ |
| ДАТА |
3 сентября |
| КОМПАНИЯ |
ACME Ltd. |
| ТЕМА |
Управление изменениями как часть функционирования системы. |
| АУДИТОР |
Иванов И.И. |
| Опрашиваемый |
Петров П.П |
| ВОПРОСЫ ОЦЕНКИ |
СООТВЕТСТВИЕ |
КОММЕНТАРИИ |
| Существует ли конкретная процедура для управления изменениями в системе управления информационной безопасностью? Сопровождается ли процедура конкретными формами или другими записями, которые необходимо сохранять? (8.1., A.12.1.2.) |
|
|
| Была ли соблюдена процедура для выборки конкретных изменений? (8.1., A.12.1.2.) |
|
|
| Правильно ли заполнены и поддерживаются соответствующие файлы? (7.5.) |
|
|
| Были ли какие-либо непреднамеренные изменения? Рассмотрела ли организация последствия этих изменений? Предприняла ли организация действия по смягчению любых неблагоприятных последствий по мере необходимости? (8.1.,A.12.1.2.) |
|
|
| Возникли ли какие-либо инциденты информационной безопасности из-за внедрения изменений? (A.16) |
|
|
| Обсуждались ли существенные изменения, влияющие на информационную безопасность, в ходе управленческого анализа? (9.3.) |
|
|
| Подпись аудитора: |
|
Продолжительность
* 30 мин -1 час – работа в группах;
* Результаты обсуждаются при выполнении Части 2
Ключевые положения пройденного занятия¶
- Руководитель команды аудита должен подготовить план аудита на основе информации, содержащейся в программе аудита и в документации, предоставленной проверяемой организацией.
- План способствует эффективному планированию и координации аудиторской деятельности для результативного достижения целей.
- Уровень детализации плана аудита, должен отражать объем и сложность аудита.
- Контрольные списки (чек-листы) создаются для того, чтобы помочь аудитору результативно провести аудит.
<<Назад В меню Далее>>