Проект

Общее

Профиль

Действия
История

Wiki » ISO 27001 »

ЗАНЯТИЕ 7

Техники сбора информации

Цели занятия

К концу занятия вы усвоите:
  • Компетенции аудитора (ISO 19011);
  • Методы сбора информации и техники коммуникации;
  • Профессиональное поведение на территории проверяемой организации;
  • Важность аккуратных заметок и информирование во время аудита;
  • Важность поддержания прозрачности;
  • Важность достижения достоверных заключений.

Вопросы для размышления

У большинства из нас два уха и один рот, хороший аудитор должен понимать важность этого соотношения. Почему?
  • Информация из одного источника уязвима!
    • Что мы можем с этим поделать?
  • Заключается ли работа аудитора в поиске ошибок?

Треугольник свидетельств

Обработка свидетельств аудита

Ключевые положения процесса

Аудитор собирает информацию, относящуюся к целям, области и критериям аудита , включая информацию, касающуюся взаимодействия между функциями, деятельностью и процессами
Эта информация должна быть проверена –только информация, которая поддается проверке, должна приниматься в качестве свидетельств аудита.
Свидетельства аудита должны быть оценены по критериям аудита, чтобы определить выявления аудита.
Выявления аудита могут указывать на соответствие или несоответствие критериям аудита.
Несоответствия и подтвержденные ими свидетельства аудита должны быть записаны.

Поведенческие характеристики в разговоре

_ Давайте повеселимся)_

  • Давайте посмотрим следующие видео. Представьте, что ситуация описана в интервью аудита. С одной стороны клиент, а с другой стороны аудитор.
  • Определите различные модели поведения аудитора. Сохраняйте заметки:
    • Что было правильно?
    • Что было не так?

Парень, который слушает, перебивая вас
Парень, который заканчивает за вас предложения
IT-сообщество –Самый правдивый момент о техподдержке

Требования к аудитору

Каковы требования к эффективному аудитору?
  • Требования к знаниям?
  • Поведенческие (социальные) качества?
  • Физические/личные качества?
Каковы ожидания от профессионального поведения?
  • Общее манеры поведения на месте?
  • Этическое навыки?

Обязательные компетенции аудитора

(ISO/IEC 27006)

Члены команды аудиторов должны иметь как минимум:
  1. Знание в области информационной безопасности;
  2. Технические знания проверяемой деятельности;
  3. Знание в области систем управления;
  4. Знание принципов аудита;
  5. Знание мониторинга, измерения, анализа и оценки СМИБ;
  6. Профессиональное высшее образование или подготовка на эквивалентном уровне;
  7. Имеет не менее четырех лет практического опыта работы в области информационных технологий, из которых не менее двух лет на должности, связанной с информационной безопасностью;
  8. Успешно прошел как минимум пятидневный курс обучения, объем которого охватывает аудит СМИБ и управление аудитом;
  9. Получил опыт аудита СМИБ до того, как стал аудитором, выполняющим аудит СМИБ. Этот опыт должен быть получен в качестве аудитора стажера, работающего под наблюдением оценщика СМИБ, по крайней мере, в одном сертификационном аудите СМИБ (Стадии 1 и 2) или повторной сертификации и, по крайней мере, в одном надзорном аудите. Этот опыт должен быть получен как минимум за 10 дней выездного аудита СМИБ на месте проверки и выполнен в течение последних 5 лет. Участие должно включать обзор документации и оценку рисков, оценку реализации и подготовку отчетности по аудиту;
  10. Имеет уместный актуальный опыт;
  11. Поддерживает актуальные знания и навыки в области информационной безопасности и аудита благодаря постоянному профессиональному развитию;
  12. Обладает компетенцией в области аудита СМИБ в соответствии с ISO/IEC 27001.

Упражнение 9 (Часть 2)

Проведение интервью с высшим руководством

Задание:

Провести интервью с высшим руководством на основе сформированных в предыдущей части упражнения чек-листов.

Продолжительность
  • 10-15 минут – интервью между участниками разных групп

Ключевые положения пройденного занятия

«Когда аудитор говорит, информация не собирается»
  • Хороший аудитор знает, когда нужно перестать говорить и начать слушать.
«Информация, которая получена из нескольких источников и согласуется, дает большую уверенность в объективности свидетельств»
  • Спросите нескольких людей, проверьте несколько записей, наблюдайте процессы.
«Будьте профессионалом, играйте по правилам, ведите себя прилично»
  • Возможно, в конечном итоге вам придется сделать неблагоприятный вывод. «Не дразни собаку, та не укусит».

<<Назад В меню Далее>>

Обновлено С. Антошкин 1 день назад · 2 изменени(я, ий)