Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АрхитектураБиологияГеографияДругоеИностранные языки
ИнформатикаИсторияКультураЛитератураМатематика
МедицинаМеханикаОбразованиеОхрана трудаПедагогика
ПолитикаПравоПрограммированиеПсихологияРелигия
СоциологияСпортСтроительствоФизикаФилософия
ФинансыХимияЭкологияЭкономикаЭлектроника

Организация проведения аудита

Глава 4 Инструментальные средства анализа рисков | Справочные и методические материалы | RA Software Tool | Средства полного анализа рисков | Метод CRAMM | Пример использования метода CRAMM | Средства компании MethodWare | RiskWatch | Актуальность аудита безопасности | Сертификация и аудит: организационные аспекты |


Читайте также:
  1. I. Организация класса (2-3 мин.)
  2. II ГЛАВА. МЕТОДИКА ПРОВЕДЕНИЯ ЗАНЯТИЙ
  3. II. МЕСТО И СРОКИ ПРОВЕДЕНИЯ
  4. II. ОБЩИЕ УСЛОВИЯ ПРОВЕДЕНИЯ ЭЛЕКТРОННОГО АУКЦИОНА
  5. II. Организация взаимодействия должностных лиц территориального органа МВД России по Вологодской области
  6. II. Организация и проведение стрельб
  7. II. Организация обучения

Работы по аудиту безопасности должны начинаться с официального вступительного собрания. На собрании до сведения сотрудников, занимающихся вопросами безопасности, и руководства среднего и верхнего звена (ТОР-менеджеров компании) доводится следующее:

– предоставляется план проведения аудита с описанием, что и когда планируется проверять;

– поясняются методы оценки рисков, намеченные для использования в процессе проверки;

– объясняется процедура определения несоответствий, их квалификация и действия по их устранению;

– разъясняются причины, по которым в результате проверки могут быть сделаны замечания, и возможная реакция на них;

– перечисляются руководящие документы аудитора и компании и правила доступа к ним;

– выясняется, какие трудности могут возникнуть в процессе работы (к примеру, отсутствие ведущих специалистов и т.д.);

– обговаривается организация работы с конфиденциальными сведениями компании, необходимыми для выполнения аудита, включая отчет о проведении аудита и замечания о несоответствиях.

Администрация компании должна быть готова к тому, что аудитору потребуется обратиться к потенциально уязвимым участкам компьютерной информационной системы и конфиденциальной информации компании, например к спискам паролей и учетных записей корпоративных пользователей, личным делам сотрудников, результатам проверки лояльности сотрудников и пр. По завершении аудита проводится заключительное собрание с руководителями верхнего звена, на которое выносится:

– подтверждение заявленных перед проверкой объема проверок и рамок аудита;

– краткое изложение найденных несоответствий и согласованных изменений;

– ознакомление присутствующих с замечаниями и предложениями по их устранению;

– общие замечания по ходу аудита и комментарии к отчету;

– оглашение выводов - положительное заключение, отказ в сертификации или продолжение аудита;

– подтверждение взятых обязательств по сохранению конфиденциальности сведений, полученных в ходе аудита.

Участники вступительного и заключительного собраний должны быть официально зарегистрированы. Главным результатом аудита является официальный отчет, в котором:

– отражена степень соответствия проверяемой компьютерной информационной системы стандарту BS 7799 и собственным требованиям компании в области информационной безопасности согласно плану проведения аудита и ведомости соответствия;

– приведена подробная ссылка на основные документы предприятия, включая политику безопасности, ведомость соответствия, описания процедур обеспечения информационной безопасности, дополнительные обязательные и необязательные стандарты и нормы, применяемые к данной компании;

– представлены общие замечания по выводам проведения аудита;

– указаны количество и категории полученных несоответствий и замечаний;

– обоснована необходимость дополнительных действий по аудиту (если таковая имеется) и составлен их общий план;

– приведен список сотрудников, принимавших участие в тестировании.

Этот отчет является официальным документом проведения аудита. Оригинал отчета должен быть доступен сертифицирующему органу. В документе необходимо определить установленные проверяемой организацией и стандартами BS (ISO/ IEC) аспекты обеспечения безопасности, которые будут рассматриваться при любой проверке. Отчет будет обновляться при каждом аудите.

Отметим, что в случае сертификации компании по стандартам ISO 9001 или ISO 9002 стандарт BS 7799 разрешает совместить сертификацию системы информационной безопасности с сертификацией на соответствие стандартам ISO 9001 или 9002 как на первоначальном этапе, так и при контрольных проверках. Для этого необходимо выполнить условие участия в совмещенной сертификации зарегистрированного аудитора по стандарту BS 7799. При этом в планах совместного тестирования надлежит четко указать процедуры проверки системы информационной безопасности, а сертифицирующие органы обязаны гарантировать тщательность проверки информационной безопасности.

Дата добавления: 2015-09-02; просмотров: 48 | Нарушение авторских прав

<== предыдущая страница | следующая страница ==>
Методика проведения аудита| Аудит информационной системы: рекомендации COBIT 3rd Edition
mybiblioteka.su - 2015-2024 год. (0.006 сек.)