ЗАНЯТИЕ 6 » История » Версия 1
С. Антошкин, 17.05.2025 12:50
| 1 | 1 | С. Антошкин | h1. ЗАНЯТИЕ 6 |
|---|---|---|---|
| 2 | |||
| 3 | |||
| 4 | _*Планирование Стадии 2 Сертификационного аудита*_ |
||
| 5 | |||
| 6 | h2. Цели занятия |
||
| 7 | |||
| 8 | К концу занятия вы усвоите: |
||
| 9 | * Цель и важность плана аудита; |
||
| 10 | * Важность предварительного контакта с проверяемой организацией; |
||
| 11 | * Типовые содержание и структура плана аудита; |
||
| 12 | * Цель «вступительного совещания» |
||
| 13 | * Обсуждение коммуникаций и логистики |
||
| 14 | |||
| 15 | |||
| 16 | h2. Вопросы для размышления |
||
| 17 | |||
| 18 | Кто должен ознакомиться с планом? |
||
| 19 | Почему план должен быть передан заинтересованным сторонам заранее? |
||
| 20 | Какие запланированные мероприятия должен включать план? |
||
| 21 | * Помните, если вы не планируете, чтобы что-то случилось, то, скорее всего, это не случится. (СОВЕТ: планируйте коммуникации) |
||
| 22 | |||
| 23 | План должен быть всесторонним, соответствовать масштабу и критериям аудита, эффективным по времени. |
||
| 24 | * Какие практические и логистические соображения существуют? |
||
| 25 | * Охватывает ли план события, с которых начинаются и заканчиваются этапы аудита. |
||
| 26 | |||
| 27 | |||
| 28 | h2. Вступительное совещание и сопровождение |
||
| 29 | |||
| 30 | Что такое «вступительное совещание»? |
||
| 31 | * Почему это важно? |
||
| 32 | * Участники? |
||
| 33 | * Что разбирается на повестке? |
||
| 34 | * Как долго это должно продолжаться? |
||
| 35 | * Почему требуется сохранять записи о вступительном совещании? |
||
| 36 | |||
| 37 | Когда аудитору может понадобиться сопровождение? |
||
| 38 | * Что следует делать/не делать сопровождающему? |
||
| 39 | |||
| 40 | h2. Упражнение 7 |
||
| 41 | |||
| 42 | *Планирование Стадии 2 Сертификационного аудита* |
||
| 43 | |||
| 44 | *_Задание:_* |
||
| 45 | |||
| 46 | Сформировать план аудита в соответствии с инструкциями: |
||
| 47 | |||
| 48 | {{collapse(Задание) |
||
| 49 | |||
| 50 | Вы завершили Стадию 1 Сертификационного аудита Типографии «Альфа&Бета» и приняли решение перейти к Стадии 2 Сертификационного аудита. Следовательно, вам нужен план. Руководствуясь требованиями стандарта ISO/IEC 27006, вы выяснили, что для организации такого размера (40 человек) рекомендовано отводить 6 дней на аудит. Из этого времени, вы уже использовали 2 дня на Стадию 1 Сертификационного аудита, что означает что у вас остается 4 человеко-дня на Стадию 2 Сертификационного аудита (с выездом на территорию компании). Ваша команда состоит из 2 аудиторов (включая Ведущего аудитора), как следствие вы планируете выездной (On-site) аудит на два дня. Вы должны представить сводный план, охватывающий деятельность обоих аудиторов покрывающий два дня аудита. |
||
| 51 | В ваш план следует включить положения, описывающие область, цели и критерии аудита, которые охватят аудит. Типичная форма плана представлена в заметках слушателя (файл - ISMSLA_Student_Notes, СТР.: 49). Аудит намечен на 2 февраля. |
||
| 52 | |||
| 53 | Информация о площадке: |
||
| 54 | Типография «Альфа&Бета» создана из двух отдельных организаций Альфа и Бета. История двух компаний и их услуг включена в документацию (AB_basic_Info). Поскольку у обеих компаний была своя площадь, у Типографии «Альфа&Бета» два офиса (придумать адреса площадок самостоятельно). Каждая площадка выполняет свои соответствующие функции (услуги печати), как и раньше, со следующим отличием: ИТ-отдел единый и размещается на площадке «Бета», а управление и другие административные задачи (например, бухгалтерский учет, управление персоналом) размещаются на площадке «Альфа». Следующая информация будет вам полезна при составлении плана: |
||
| 55 | − Общая численность персонала составляет 40 человек, из них 20 на площадке «Альфа» и 20 на площадке «Бета». В IT работают два человека. |
||
| 56 | − Вы также можете использовать любую информацию о Типографии «Альфа&Бета», которую рассмотрели ранее, чтобы помочь вам разработать свой план. |
||
| 57 | |||
| 58 | |||
| 59 | _*Пример:*_ |
||
| 60 | |||
| 61 | План аудита (простой пример, 1 аудитор, 2 календарных дня) |
||
| 62 | |||
| 63 | |ОРГАНИЗАЦИЯ| ACME Ltd.| |
||
| 64 | |ДАТА АУДИТА| 2-3 сентября| |
||
| 65 | |КРИТЕРИИ АУДИТА| ISO 27001:2022| |
||
| 66 | |ОБЛАСТЬ АУДИТА| СУИБ, охватывающая услуги компании| |
||
| 67 | |АУДИТОР|Иванов И.И.| |
||
| 68 | |ЦЕЛЬ АУДИТА| Определить и сообщить о степени соответствия системы менеджмента ACME Ltd. требованиям ISO 27001| |
||
| 69 | |||
| 70 | |_\4.ПЛАН АУДИТА| |
||
| 71 | |_\2.2 сентября|_\2.3 сентября| |
||
| 72 | |08:45-09:00|Встреча|/2.08:45-09:30|/2.Разделение обязанностей в рамках ключевых ролей СМИБ |
||
| 73 | Контакты с органами власти и группами Мобильные устройства и удаленная работа (собеседование с менеджерами по ИТ и информационной безопасности и любым другим |
||
| 74 | соответствующим персоналом)| |
||
| 75 | |09:00-09:30|Вступительная встреча с руководством ACME Ltd.| |
||
| 76 | |09:30-10:30|Деятельность высшего руководства и управление рисками, информация о соответствии |
||
| 77 | (интервью с генеральным директором и менеджером по информационной безопасности)|09:30-10:30|Управление активами |
||
| 78 | (включая классификацию информации) |
||
| 79 | Криптографический контроль |
||
| 80 | (Интервью с менеджерами по ИТ и информационной безопасности и любым другим соответствующим персоналом).| |
||
| 81 | |10:30-10:45|Перерыв|10:30-10:45|Перерыв| |
||
| 82 | |10:45-12:30|Роли, компетенции, обязанности и полномочия |
||
| 83 | Функции отдела кадров, имеющие отношение к информационной безопасности (например, отбор, адаптация, обучение, увольнение) (собеседование с менеджером по кадрам и |
||
| 84 | любым другим соответствующим персоналом)|10:45-12:30|Управление контролем доступа. Управление сетевой безопасностью (собеседование с менеджерами по ИТ и информационной безопасности, а также любым другим соответствующим персоналом)| |
||
| 85 | |12:30-13:15|Обед|12:30-13:15|Обед| |
||
| 86 | |13:15-14:00|Управление изменениями как часть |
||
| 87 | работы системы. |
||
| 88 | (Интервью с менеджерами по ИТ и информационной безопасности).|13:15-14:00|Безопасность операций |
||
| 89 | (Собеседование с менеджерами по ИТ и информационной безопасности и любым другим соответствующим персоналом).| |
||
| 90 | |14:15-15:00|Аутсорсинг процессов и управления поставщиками |
||
| 91 | (Интервью с менеджерами по закупкам, ИТ и информационной безопасности).|14:15-15:00|Информационная безопасность в управлении проектами |
||
| 92 | (Интервью с командой управления проектами)| |
||
| 93 | |15:00-15:15|Перерыв|15:00-15:15|Перерыв| |
||
| 94 | |15:15-16:30|Осведомленность персонала |
||
| 95 | Физическая и экологическая безопасность (экскурсия по объекту и интервью с выборкой сотрудников организации)|15:15-16:30|Управление инцидентами информационной безопасности |
||
| 96 | Аспекты информационной безопасности управления непрерывностью бизнеса |
||
| 97 | (Интервью с менеджерами по ИТ и информационной безопасности и любым другим |
||
| 98 | соответствующим персоналом).| |
||
| 99 | |16:45-17:00| |
||
| 100 | Обновление на конец дня |
||
| 101 | (Обсуждение с менеджером по информационной безопасности)|16:45-17:00|Заключительная встреча с высшим руководством| |
||
| 102 | |||
| 103 | }} |
||
| 104 | |||
| 105 | *_Продолжительность_* |
||
| 106 | * 1 час – подготовка презентации в малой группе; |
||
| 107 | * 30 мин –обсуждение. |
||
| 108 | |||
| 109 | h2. План аудита |
||
| 110 | |||
| 111 | С какими трудностями вы столкнулись при разработке плана аудита? |
||
| 112 | Какую информацию вы должны знать перед составлением эффективного план аудита? |
||
| 113 | * Конкретные процессы, политики и меры управления установленные |
||
| 114 | * организацией; |
||
| 115 | * Подробная инфраструктура; |
||
| 116 | * Распространение системы; |
||
| 117 | * Сложность системы и элементов управления. |
||
| 118 | |||
| 119 | Это позволит вам: |
||
| 120 | * Оценить общее время; |
||
| 121 | * Выбрать проверяемых (ответственных для интервью или демонстрации); |
||
| 122 | * Подобрать команды аудиторов |
||
| 123 | |||
| 124 | * План является рабочим документом как для команды аудита, так и для проверяемой организации; |
||
| 125 | * Потери времени в пути должны быть сведены к минимуму; |
||
| 126 | * По возможности следует соблюдать рациональную последовательность действий, основанную на процессах. |
||
| 127 | * Интервью с Высшим руководством должно быть проведено как можно раньше; |
||
| 128 | * Должно быть установлено подходящее время; |
||
| 129 | * Планирование –важная часть ответственности ведущего аудитора: |
||
| 130 | ** Подумайте о других возможных обязанностях ведущего аудитора |
||
| 131 | |||
| 132 | |||
| 133 | h2. Упражнение 9 (Часть 1) |
||
| 134 | |||
| 135 | _*Подготовка чек-листа для проведения Стадии 2 Сертификационного аудита*_ |
||
| 136 | |||
| 137 | *_Задание:_* |
||
| 138 | |||
| 139 | Сформировать план аудита в соответствии с инструкциями: |
||
| 140 | |||
| 141 | {{collapse(Задание) |
||
| 142 | |||
| 143 | Вы подготовили план аудита для Типографии «Альфа&Бета». Стадия 2 Сертификационного аудита будет рассматривать всю СМИБ. Для всех частей этого плана аудита потребуется контрольный лист, однако в этом упражнении мы рассмотрим процессы, которые поддерживаются высшим руководством, а также процессы улучшения. По завершении этого аудита у вас будет возможность взять интервью у высшего руководства Типографии «Альфа&Бета» (г-н Хай Вижн) относительно требований к высшему руководству (раздел 5 ISO/IEC 27001:2022), а затем у вас будет возможность взять интервью у менеджера по информационной безопасности (г-н Эври Си), по вопросам, касающимся мероприятий по улучшению (разделы 9 и 10 ISO/IEC 27001:2022). |
||
| 144 | |||
| 145 | Каждый член группы должен взять на себя ответственность за часть процесса (например, один человек может просматривать политику и цели, другой — внутренние аудиты и корректирующие действия и т.д.). Важно, чтобы каждый принимал активное участие, иначе нельзя будет оценить ваш прогресс. |
||
| 146 | |||
| 147 | _*Пример:*_ |
||
| 148 | |||
| 149 | |_\2.ЧЕКЛИСТ| |
||
| 150 | |.ДАТА| 3 сентября| |
||
| 151 | |.КОМПАНИЯ|ACME Ltd.| |
||
| 152 | |.ТЕМА|. Управление изменениями как часть функционирования системы.| |
||
| 153 | |.АУДИТОР|Иванов И.И.| |
||
| 154 | |.Опрашиваемый|Петров П.П| |
||
| 155 | |||
| 156 | |ВОПРОСЫ ОЦЕНКИ|СООТВЕТСТВИЕ|КОММЕНТАРИИ| |
||
| 157 | |Существует ли конкретная процедура для управления изменениями в системе управления информационной безопасностью? Сопровождается ли процедура конкретными формами или другими записями, которые необходимо сохранять? (8.1., A.12.1.2.)||| |
||
| 158 | |Была ли соблюдена процедура для выборки конкретных изменений? (8.1., A.12.1.2.)||| |
||
| 159 | |Правильно ли заполнены и поддерживаются соответствующие файлы? (7.5.)||| |
||
| 160 | |Были ли какие-либо непреднамеренные изменения? Рассмотрела ли организация последствия этих изменений? Предприняла ли организация действия по смягчению любых неблагоприятных последствий по мере необходимости? (8.1.,A.12.1.2.)||| |
||
| 161 | |Возникли ли какие-либо инциденты информационной безопасности из-за внедрения изменений? (A.16)||| |
||
| 162 | |Обсуждались ли существенные изменения, влияющие на информационную безопасность, в ходе управленческого анализа? (9.3.)||| |
||
| 163 | |_.Подпись аудитора:|\2.| |
||
| 164 | |||
| 165 | }} |
||
| 166 | |||
| 167 | *_Продолжительность_* |
||
| 168 | * 30 мин -1 час – работа в группах; |
||
| 169 | * Результаты обсуждаются при выполнении Части 2 |
||
| 170 | |||
| 171 | h2. Ключевые положения пройденного занятия |
||
| 172 | |||
| 173 | * Руководитель команды аудита должен подготовить план аудита на основе информации, содержащейся в программе аудита и в документации, предоставленной проверяемой организацией. |
||
| 174 | * План способствует эффективному планированию и координации аудиторской деятельности для результативного достижения целей. |
||
| 175 | * Уровень детализации плана аудита, должен отражать объем и сложность аудита. |
||
| 176 | * Контрольные списки (чек-листы) создаются для того, чтобы помочь аудитору результативно провести аудит. |