Аудит на соответствие требованиям международного стандарта ISO/IEC 27001

Группа стандартов по системам управления информационной безопасности ISO/IEC 27000 получает все большее распространение в мире. Первоначально группа стандартов содержала всего лишь 2 документа, требования к системе управления информационной безопасностью (СУИБ) и рекомендации по выполнению требований. В настоящее время в этой группе уже 8 стандартов, находящихся в статусе действующих или проектов. Все большее количество компаний из различных секторов экономики присоединяются к стандарту.

Аудит на соответствие требованиям ISO может потребоваться Организации в следующих случаях:

• Если организация решила внедрить СУИБ. В этом случае проведение аудита поможет корректно выбрать область действия, сократив тем самым затраты не реализацию СУИБ. Так же по результатам работ покажет, в каких областях в организации необходимо будет принимать меры по повышению уровня информационной безопасности.
• Если организация проводила реализацию СУИБ самостоятельно, то независимая оценка соответствия поможет организации, при необходимости, внести необходимые коррективы в СУИБ.
• Если организация проводила реализацию СУИБ самостоятельно и планирует получение сертификата на СУИБ. В этом случае перед проведением сертификационного аудита, возможно проведение так называемого преаудита, который поможет устранить критические и некритические недостатки СУИБ (при их наличии).
• Если в организации уже действует СУИБ, то организация может для проведения требуемых периодических аудитов обращаться к внешним организациям.

Компания ДиалогНаука обладает необходимым квалифицированным персоналом, статутом партнера BSI CIS и опытом проведения работ в области СУИБ. В настоящее время в штате компании состоит 5 консультантов, обладающих статусом ISO 27001 ISMS Lead Auditor.

При проведении аудита на соответствие ISO/IEC 27001 наши специалисты ориентируются на требования, изложенные в следующих стандартах:

• ISO/IEC 17021 Conformity assessment — Requirements for bodies providing audit and certification of management systems
• ISO/IEC 27006 Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management system
• ISO/IEC 27007 Information technology - Security techniques - Guidelines for Information security management systems auditing.

Работы по проведении оценки соответствия проводятся, как правило, в один этап. При этом, в ходе проекта, выполняются следующие работы:

• Проводится вступительное совещание с участием представителей Заказчика и нашей Компании с целью определения состава и порядка проведения работ. Основная задача совещания заключается в определении регламента проведения работ.
• Проводится документальный аудит. При этом осуществляется сбор документов и документальных свидетельств, которые могут быть источниками свидетельств для оценки соответствия. Перечень данных документов формируется при проведении совещания. По результатам анализа предоставленной документации по согласованию с Заказчиком разрабатывается «План проведения аудита на месте» и определяется область действия СУИБ (если она не определена).
• Проводится оценка на месте. Данные работы включают в себя оценивание:
  - Оценку выполнения основных требований стандарта ISO/IEC 27000;
  - Оценку выполнения требований Приложения А стандарта ISO/IEC 27000.
  
• Формирование отчетных материалов. При этом осуществляется:
  - Разработка отчета об обследовании;
  - Разработка рекомендаций по устранению выявленных несоответствий и повышению уровня соответствия требованиям стандарта.
  

Стадии работ по оценке соответствия и отчетные материалы представлены в таблице:

В случае появления вопросов или интереса к описанной услуге, пожалуйста, свяжитесь с нами по телефону +7 (495) 980-67-76 или через форму обратной связи, адресовав вопрос в «Коммерческий отдел».