ЗАНЯТИЕ 8¶
* Формирование заключений аудита
Отчетность по результатам аудита*
Цели занятия¶
К концу занятия вы:
- Оцените ряд ситуаций на соответствие стандарту ISO/IEC27001, сформируете понимание вынесения результативных суждений о соответствии или необходимости проведения дополнительного расследования.
К концу занятия вы усвоите:
- Требования ISO/IEC19011 к отчету и последующим действиям;
- Аудиторское заключение, цель сводного отчета;
- Методы безопасного согласования выявлений.
- Эффективные техники формирования заключения о несоответствии;
- Уровни выявлений –значительное/незначительное несоответствие, возможности для улучшений; разница между ними;
- Цели и процесс заключительного совещания.
Вопросы для размышления¶
- Составляющие повестки заключительного совещания?
- Какую информацию должен включать отчет о несоответствиях?
- Какую информацию должно включать описание несоответствия?
- Если мы не уверены в том, действительно ли несоответствие обосновано, что нам делать?
- Какова цель сводного/обзорного отчета (заключения аудита)?
- Какую информацию он содержит, чего нет в отчетах о несоответствиях?
- Что такое «аудиторское заключение»?
- Урегулирование конфликтных ситуаций:
- Что делать, если вы столкнулись с препятствием во время аудита?
- Какие шаги мы можем предпринять, чтобы уменьшить вероятность того, что наши выводы будут оспорены?
- Кому должны быть официально представлены выявления?
Упражнение 10¶
- Подготовка и распространение выявлений аудита*
Задание:
Подготовить заключение аудита, сформировать повестку заключительного совещания в соответствии с инструкциями
ЗаданиеЗадание
Некоторое время назад вы провели очный аудит с Представителем по качеству Типографии «Альфа&Бета», где вы рассмотрели процесс улучшения, а также с высшим руководством. В ходе этого аудита был установлен ряд фактов, касающихся соответствия этих процессов требованиям ISO/IEC 27001. Группа аудиторов завершила все аудиторские мероприятия по первоначальному плану, и вы готовы подготовить свой аудиторский отчет и рекомендации.
Вы должны подготовить итоговый отчет аудита. Этот отчет должен включать вашу рекомендацию – выдать сертификат или нет. Вы должны подготовить любые несоответствия, для которых, по вашему мнению, у вас есть свидетельства, а также вы можете привести любые наблюдения, которые, по вашему мнению, заслуживают упоминания (хорошие практики, возможности для улучшения).
В дополнение к информации, полученной вами в ходе личного аудита с Представителем по качеству, вы также можете принять во внимание следующую информацию, которая была раскрыта на других стадиях аудита (когда аудиторская группа посещала площадки компании).
- Из выборки из 4 новых сотрудников компании одна запись (г-жи Сунг Ли) о регистрации пользователя не была найдена ни в отделе ИТ, ни в отделе кадров. Хотя вы обнаружили, что пользователь зарегистрирован в Active Directory и работает на бета-сайте;
- Не найдено ни одной заполненной формы об инциденте информационной безопасности. Во время интервью с бухгалтерией, вы были извещены, что менеджер по бухгалтерскому учету получил «письмо, адресованное генеральному директору» (электронное сообщение). В письме у генерального директора запрашивался перевод на конкретный счет определенной суммы денег. Менеджер по бухгалтерскому учету осуществил транзакцию по факсу из-за проблемы с электронными платежами компании. Когда генеральный директор был проинформирован о транзакции, он смог отменить перевод, поэтому деньги не были потеряны;
- Обучение новой политике контроля доступа и паролей все еще ведется. Оно завершено примерно на 70%.
Вы также должны назначить ведущего аудитора. Ведущий аудитор должен подготовить повестку для проведения заключительного совещания.
Пример
Отчет о несоответствии
| СЕРТИФИКАЦИЯ: ОТЧЕТ О НЕСООТВЕТСТВИИ |
| # |
1 |
| ISO 27001 ПУНКТ |
8.1. – Оперативное планирование и контроль |
| НЕСООТВЕТСТВИЕ |
Значительное / Незначительное / Наблюдение |
| МЕСТО НЕСООТВЕТСТВИЯ ИЛИ НАБЛЮДЕНИЯ (Т.Е. ОТДЕЛ/ПЛОЩАДКА) |
Управление изменениями как часть работы системы. ИТ-отдел |
| ОПИСАНИЕ НЕСООТВЕТСТВИЯ |
Пункт 8.1 стандарта ISO 27001 требует, чтобы организация контролировала запланированные изменения и анализировала последствия
непреднамеренных изменений, принимая меры для смягчения любых неблагоприятных последствий по мере необходимости.
Установлено, что ACME Ltd. задокументировала процедуру управления изменениями, подробно описывающую шаги, роли и
записи, которые необходимо соблюдать при необходимости внедрения изменения.
В ходе аудита было установлено, что для изменения, связанного с заменой системы контроля доступа
организации, вышеупомянутая процедура не соблюдалась и соответствующие записи не создавались. В этом
случае менеджер по информационной безопасности организации не был уведомлен, и никаких последствий для информационной безопасности
не было выявлено (как предписано процедурой). |
| Cвидетельства |
Задокументирована процедура управления изменениями
соответствующие записи не были созданы |
| ПОДРОБНОСТИ КОРРЕКТИРУЮЩИХ ДЕЙСТВИЙ И СРОКИ ИХ ВЫПОЛНЕНИЯ |
|
| ВЫДАН (Аудитором) |
|
| ПРИНЯТО (Представителем компании) |
|
- 1 час – в малых группах, на подготовку письменных заключений и повестку заключительного совещания
- 30 мин – обсуждение
Ваши выводы будут рассмотрены, когда вы представите их во время ролевой игры на заключительном собрании. Все члены группы должны представить часть выводов (например, ведущий аудитор председательствует на заключительном собрании, представляет резюме, остальные аудиторы представляют не менее 1 несоответствия каждый).
Это позволит проверить презентационные навыки всех аудиторов.
Ключевые положения пройденного занятия¶
- Сводный отчет демонстрирует:
- Резюме о слабых и сильных местах СМИБ, выявлениях аудита.
- Несоответствия требуют корректирующих действий
- Значительные несоответствия требуют их быстрое планирования и внедрения.
- Наблюдения –это вопросы для рассмотрения, корректирующее действие не обязательно;
- Возможности для улучшения –субъективное мнение аудитора;
- Обоснованные неопровержимые выявления:
- Обсуждаются и согласовываются в момент обнаружения;
- Четкая ссылка на критерии аудита;
- Подтверждено объективными свидетельствами.
- Выводы должны быть представлены руководству
<<Назад В меню Далее>>