Аудит на соответствие требованиям международного стандарта ISO/IEC 27001

Аудит на соответствие требованиям международного стандарта ISO/IEC 27001

Группа стандартов по системам управления информационной безопасности ISO/IEC 27000 получает все большее распространение в мире. Первоначально группа стандартов содержала всего лишь 2 документа, требования к системе управления информационной безопасностью (СУИБ) и рекомендации по выполнению требований. В настоящее время в этой группе уже 8 стандартов, находящихся в статусе действующих или проектов. Все большее количество компаний из различных секторов экономики присоединяются к стандарту.

Аудит на соответствие требованиям ISO может потребоваться Организации в следующих случаях:

  • Если организация решила внедрить СУИБ. В этом случае проведение аудита поможет корректно выбрать область действия, сократив тем самым затраты не реализацию СУИБ. Так же по результатам работ покажет, в каких областях в организации необходимо будет принимать меры по повышению уровня информационной безопасности.
  • Если организация проводила реализацию СУИБ самостоятельно, то независимая оценка соответствия поможет организации, при необходимости, внести необходимые коррективы в СУИБ.
  • Если организация проводила реализацию СУИБ самостоятельно и планирует получение сертификата на СУИБ. В этом случае перед проведением сертификационного аудита, возможно проведение так называемого преаудита, который поможет устранить критические и некритические недостатки СУИБ (при их наличии).
  • Если в организации уже действует СУИБ, то организация может для проведения требуемых периодических аудитов обращаться к внешним организациям.

Компания ДиалогНаука обладает необходимым квалифицированным персоналом, статутом партнера BSI CIS и опытом проведения работ в области СУИБ. В настоящее время в штате компании состоит 5 консультантов, обладающих статусом ISO 27001 ISMS Lead Auditor.

При проведении аудита на соответствие ISO/IEC 27001 наши специалисты ориентируются на требования, изложенные в следующих стандартах:

  • ISO/IEC 17021 Conformity assessment — Requirements for bodies providing audit and certification of management systems
  • ISO/IEC 27006 Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management system
  • ISO/IEC 27007 Information technology - Security techniques - Guidelines for Information security management systems auditing.

Работы по проведении оценки соответствия проводятся, как правило, в один этап. При этом, в ходе проекта, выполняются следующие работы:

  • Проводится вступительное совещание с участием представителей Заказчика и нашей Компании с целью определения состава и порядка проведения работ. Основная задача совещания заключается в определении регламента проведения работ.
  • Проводится документальный аудит. При этом осуществляется сбор документов и документальных свидетельств, которые могут быть источниками свидетельств для оценки соответствия. Перечень данных документов формируется при проведении совещания. По результатам анализа предоставленной документации по согласованию с Заказчиком разрабатывается «План проведения аудита на месте» и определяется область действия СУИБ (если она не определена).
  • Проводится оценка на месте. Данные работы включают в себя оценивание:
      - Оценку выполнения основных требований стандарта ISO/IEC 27000;
      - Оценку выполнения требований Приложения А стандарта ISO/IEC 27000.
  • Формирование отчетных материалов. При этом осуществляется:
      - Разработка отчета об обследовании;
      - Разработка рекомендаций по устранению выявленных несоответствий и повышению уровня соответствия требованиям стандарта.

Стадии работ по оценке соответствия и отчетные материалы представлены в таблице:

№ п/п Перечень работ Отчетные документы
1 Подготовка к проведению оценки соответствия
  • Регламент проведения работ
  • Описание области действия СУИБ (при необходимости)
  • 2 Документальная проверка
  • План проведения оценки соответствия на месте
  • 3 Проведение оценки соответствия на месте
  • Заполненные опросные формы
  • 4 Формирование отчетных материалов
  • Разработка отчета об обследовании
  • Разработка рекомендаций по устранению выявленных несоответствий и повышению уровня соответствия требованиям стандарта.
  • В случае появления вопросов или интереса к описанной услуге, пожалуйста, свяжитесь с нами по телефону +7 (495) 980-67-76 или через форму обратной связи, адресовав вопрос в «Коммерческий отдел».