ЗАНЯТИЕ 7 » История » Версия 2
С. Антошкин, 19.05.2025 06:31
| 1 | 1 | С. Антошкин | h1. ЗАНЯТИЕ 7 |
|---|---|---|---|
| 2 | |||
| 3 | |||
| 4 | _*Техники сбора информации*_ |
||
| 5 | |||
| 6 | h2. Цели занятия |
||
| 7 | |||
| 8 | К концу занятия вы усвоите: |
||
| 9 | * Компетенции аудитора (ISO 19011); |
||
| 10 | * Методы сбора информации и техники коммуникации; |
||
| 11 | * Профессиональное поведение на территории проверяемой организации; |
||
| 12 | * Важность аккуратных заметок и информирование во время аудита; |
||
| 13 | * Важность поддержания прозрачности; |
||
| 14 | * Важность достижения достоверных заключений. |
||
| 15 | |||
| 16 | h2. Вопросы для размышления |
||
| 17 | |||
| 18 | У большинства из нас два уха и один рот, хороший аудитор должен понимать важность этого соотношения. Почему? |
||
| 19 | * Информация из одного источника уязвима! |
||
| 20 | ** Что мы можем с этим поделать? |
||
| 21 | * Заключается ли работа аудитора в поиске ошибок? |
||
| 22 | |||
| 23 | h2. Треугольник свидетельств |
||
| 24 | |||
| 25 | !clipboard-202505171553-gmatj.png! |
||
| 26 | |||
| 27 | h2. Обработка свидетельств аудита |
||
| 28 | |||
| 29 | !clipboard-202505171554-b2u0q.png! |
||
| 30 | |||
| 31 | h2. Ключевые положения процесса |
||
| 32 | |||
| 33 | Аудитор *собирает информацию, относящуюся к целям, области и критериям аудита* , включая информацию, касающуюся взаимодействия между функциями, деятельностью и процессами |
||
| 34 | Эта *информация должна быть проверена* –только информация, которая поддается проверке, должна приниматься в качестве свидетельств аудита. |
||
| 35 | Свидетельства аудита должны быть *оценены* по критериям аудита, чтобы определить выявления аудита. |
||
| 36 | Выявления аудита могут указывать на *соответствие или несоответствие* критериям аудита. |
||
| 37 | *Несоответствия и подтвержденные ими свидетельства аудита должны быть записаны.* |
||
| 38 | |||
| 39 | h2. Поведенческие характеристики в разговоре |
||
| 40 | |||
| 41 | *_ Давайте повеселимся)_* |
||
| 42 | |||
| 43 | * Давайте посмотрим следующие видео. Представьте, что ситуация описана в интервью аудита. С одной стороны клиент, а с другой стороны аудитор. |
||
| 44 | * Определите различные модели поведения аудитора. Сохраняйте заметки: |
||
| 45 | ** Что было правильно? |
||
| 46 | ** Что было не так? |
||
| 47 | |||
| 48 | |||
| 49 | "Парень, который слушает, перебивая вас":https://www.youtube.com/watch?v=TChRv8m79zs&feature=youtu.be |
||
| 50 | "Парень, который заканчивает за вас предложения":https://www.youtube.com/watch?v=65GbpVZTgAk&ab_channel=Dropout |
||
| 51 | "IT-сообщество –Самый правдивый момент о техподдержке":https://www.youtube.com/watch?v=rksCTVFtjM4&ab_channel=johnnyricoMC |
||
| 52 | |||
| 53 | h2. Требования к аудитору |
||
| 54 | |||
| 55 | Каковы требования к эффективному аудитору? |
||
| 56 | * Требования к знаниям? |
||
| 57 | * Поведенческие (социальные) качества? |
||
| 58 | * Физические/личные качества? |
||
| 59 | |||
| 60 | Каковы ожидания от профессионального поведения? |
||
| 61 | * Общее манеры поведения на месте? |
||
| 62 | * Этическое навыки? |
||
| 63 | |||
| 64 | |||
| 65 | h2. Обязательные компетенции аудитора |
||
| 66 | |||
| 67 | *_(ISO/IEC 27006)_* |
||
| 68 | |||
| 69 | Члены команды аудиторов должны иметь как минимум: |
||
| 70 | # Знание в области информационной безопасности; |
||
| 71 | # Технические знания проверяемой деятельности; |
||
| 72 | # Знание в области систем управления; |
||
| 73 | # Знание принципов аудита; |
||
| 74 | # Знание мониторинга, измерения, анализа и оценки СМИБ; |
||
| 75 | # Профессиональное высшее образование или подготовка на эквивалентном уровне; |
||
| 76 | # Имеет не менее четырех лет практического опыта работы в области информационных технологий, из которых не менее двух лет на должности, связанной с информационной безопасностью; |
||
| 77 | # Успешно прошел как минимум пятидневный курс обучения, объем которого охватывает аудит СМИБ и управление аудитом; |
||
| 78 | # Получил опыт аудита СМИБ до того, как стал аудитором, выполняющим аудит СМИБ. Этот опыт должен быть получен в качестве аудитора стажера, работающего под наблюдением оценщика СМИБ, по крайней мере, в одном сертификационном аудите СМИБ (Стадии 1 и 2) или повторной сертификации и, по крайней мере, в одном надзорном аудите. Этот опыт должен быть получен как минимум за 10 дней выездного аудита СМИБ на месте проверки и выполнен в течение последних 5 лет. Участие должно включать обзор документации и оценку рисков, оценку реализации и подготовку отчетности по аудиту; |
||
| 79 | # Имеет уместный актуальный опыт; |
||
| 80 | # Поддерживает актуальные знания и навыки в области информационной безопасности и аудита благодаря постоянному профессиональному развитию; |
||
| 81 | # Обладает компетенцией в области аудита СМИБ в соответствии с ISO/IEC 27001. |
||
| 82 | |||
| 83 | h2. Упражнение 9 (Часть 2) |
||
| 84 | |||
| 85 | *Проведение интервью с высшим руководством* |
||
| 86 | |||
| 87 | *_Задание:_* |
||
| 88 | |||
| 89 | Провести интервью с высшим руководством на основе сформированных в предыдущей части упражнения чек-листов. |
||
| 90 | |||
| 91 | *_Продолжительность_* |
||
| 92 | * 10-15 минут – интервью между участниками разных групп |
||
| 93 | |||
| 94 | h2. Ключевые положения пройденного занятия |
||
| 95 | |||
| 96 | *«Когда аудитор говорит, информация не собирается»* |
||
| 97 | * Хороший аудитор знает, когда нужно перестать говорить и начать слушать. |
||
| 98 | |||
| 99 | *«Информация, которая получена из нескольких источников и согласуется, дает большую уверенность в объективности свидетельств»* |
||
| 100 | * Спросите нескольких людей, проверьте несколько записей, наблюдайте процессы. |
||
| 101 | |||
| 102 | *«Будьте профессионалом, играйте по правилам, ведите себя прилично»* |
||
| 103 | * Возможно, в конечном итоге вам придется сделать неблагоприятный вывод. «Не дразни собаку, та не укусит». |
||
| 104 | 2 | С. Антошкин | |
| 105 | |||
| 106 | |||
| 107 | |||
| 108 | |||
| 109 | |||
| 110 | |||
| 111 | |||
| 112 | ----- |
||
| 113 | |||
| 114 | |||
| 115 | |||
| 116 | [[ЗАНЯТИЕ_6|<<Назад]] [[ISO_27001|В меню]] [[ЗАНЯТИЕ_8|Далее>>]] |