Please enable JavaScript.

Coggle requires JavaScript to display documents.

ISO/ІЕС 27006 Часть 3 - Coggle Diagram

- - - - Важливо відзначити, що всі ці фактори повинні братися до уваги при визначенні тривалості аудиту і що таблиця часу аудитора в пункті С.З не може використовуватися окремо. Наступні приклади ілюструють фактори, які можуть вплинути на тривалість аудиту, і конкретизують перелік чинників. даних в пункті ІБ 9.1.3. а саме
        
        • чинники, що стосуються розміру області дії СМІБ
        
        • обсяг і різноманітність технологій, використаних в реалізації різних компонентів СМІБ
        
        • вид (и) діяльності, здійснюваної а області дії СМІБ. вимоги безпеки, правові, регулюючі. договірні і вимоги, що стосуються цих видів діяльності
        
        • кількість об'єктів в межах області дії СМІБ. наскільки вони ідентичні або різні і чи буде перевірятися вся сукупність об'єктів або вибірка з них
        
        • чинники, що стосуються складності СМІБ
        
        • обсяг аутсорсингу і заходів третьої сторони, використаних в області дії СМІБ і залежність від цих послуг
        
        • стандарти, закони та нормативи, що застосовуються до сертифікації, і специфічні для сектора вимоги, які можуть застосовуватися
        
        • раніше продемонстроване функціонування СМІБ
      - Сертифікація СМІБ зазвичай займає більше часу, ніж сертифікація системи менеджменту якості або системи екологічного менеджменту, через зрослі вимоги до СМІБ. таких як вимоги до політики СМІБ. менеджменту ризику, цілям управління СМІБ і засобів контролю. Орган сертифікації повинен
        
        перевірити правильність і послідовність методу, за допомогою якого організація-клієнт визначає значимість ризиків інформаційної безпеки і впливів на неї
        
        підтвердити, що система, призначена для досягнення відповідності
        
        підтвердити виконання вимог документації СМІБ організації-клієнта
        
        підтвердити, що цілі управління і засоби контролю обрані і реалізовані правильно, їх результативність оцінюється і що процес досягнення «запобігання і відповідного реагування на порушення безпеки» є правильним і дотримується
        
        реагувати на зрослі вимоги, що з'явилися в результаті першого етапу аудиту
  - - - У таблиці часу аудитора (таблиця С.1) встановлено середня кількість днів для початкового аудиту (тут і надалі воно включає в себе дні аудиту першого і другого етапів), яке, як показав досвід, цепесообразно для області дії СМІБ з заданим числом співробітників
    - - Термін «співробітники», що згадується в таблиці часу аудитора, відноситься до всіх осіб, чия робоча діяльність має відношення до області дії СМІБ. Загальна кількість співробітників всіх змін є відправною точкою для визначення тривалості аудиту
        
        Зразками факторів, які вимагають додаткового часу аудитора, можуть бути
        
        • висока ступінь регулювання
        
        • СМІБ охоплює дуже складні процеси або відносно велика кількість видів діяльності, або унікальну в своєму роді діяльність
        
        • штат, що говорить на декількох мовах
        
        • процедури, що передбачають використання комбінації апаратних засобів, програмного забезпечення процесів та послуг
        
        • складне матеріально-технічне забезпечення, що включає більше однієї будівлі або приміщення в області дії СМІБ
        
        • дії, що вимагають інспекції тимчасових об'єктів для підтвердження правильності дії постійного об'єкта (ів). чия система менеджменту підлягає сертифікації
        
        Прикладами факторів, що дозволяють скорочувати час аудитора, можуть бути
        
        • готовність організації-клієнта до сертифікації
        
        • процеси, що використовують один загальний вид діяльності
        
        • апріорне знання організації-клієнта
        
        • зрілість системи менеджменту
        
        • процесси / продукти з низьким ступенем ризику
        
        • високий відсоток співробітників, що виконують аналогічні прості завдання
- - - - будь-яка інша комерційно секретна / важлива інформація, така як науково-дослідних, дослідно-. подробиці про організацію-клієнта, фінансові результати і прогнози, бізнес-плани, права на інтелектуальну власність, виробничі процеси і т.д
      - • будь-яка інша особисто ідентифікується інформація
      - зарплати, пенсії, здоров'я і безпеку, документи організації-клієнта, внутрішня і міжвідомча інформація, і т.д
    - - для громадськості
      - для електронного уряду
      - про громадян (наприклад, здоров'я, доходи, податки, документи і т.д.
      - якою оперують урядові постачальники і виробники, така як проекти ІКТ
      - • обладнання, продукти, послуги і т.д
    - - корпоративне управління - перераховані компанії (можливо, також інші великі економічні об'єкти
    - - авіакосмічна промисловість
      - телекомунікації
      - освіта
      - фінансові послуги
      - охорона здоров'я
      - благодійні установи і некомерційні організації
- - - - Таблиця В.1 - Заходи управління
    - - Аудитори повинні знати і розуміти такі процеси проведення аудиту та об'єкти СМІБ
        
        • аудиторський ризик
        
        • аналіз процесів інформаційної безпеки
        
        • тип і методологія аудиту СМІБ
        
        • цикл Демінга (РDСА) для постійного вдосконалення
        
        • програмування і планування аудиту СМІБ
        
        • проведення внутрішнього аудиту інформаційної безпеки
      - Аудитори повинні знати і розуміти такі процеси проведення аудиту та об'єкти СМІБ
        
        • регулювання криптографічних засобів контролю
        
        • попередження тероризму
        
        • захист даних і конфіденційність
        
        • електронна комерція
        
        • зміст, захист і збереження документів організації-клієнта
        
        • електронні та цифрові підписи
        
        • інтелектуальна власність
        
        • інспекція робочих місць
        
        • перехоплення в телекомунікаціях і моніторинг даних
        
        • зловживання комп'ютером
        
        • збір електронних даних
        
        • випробування на проникнення
        
        • міжнародні та національні, конкретні для сектора, вимоги
        
        • обробка ризиків інформаційної безпеки
        
        • ризики безпеки аутсорсингу ICT
        
        • ризики інформаційної безпеки для ланцюжка поставок
- - - - D.1.1 Свідоцтво аудиту
        
        Найкраще свідчення аудиту може бути отримано в процесі візуального спостереження аудитора
  - - - «X» у відповідній колонці показує, чи є контроль організаційним або технічним. Так як деякі засоби контролю є як організаційними, так і технічними, для таких засобів контролю ставляться відмітки в обох колонках
    - - «Випробування системи» означає пряму перевірку систем
    - - «Візуальна перевірка» означає, що зазвичай засоби контролю для оцінки їх ефективності вимагають візуального огляду на місці. Це означає, що недостатньо перевірити відповідну документацію на папері або за допомогою опитувань - аудитор повинен перевірити цей засіб контролю на місці його експлуатації
    - - У колонці «Вказівки щодо аналізу аудиту» представлені можливі області підвищеної уваги для оцінки класифікуємого заходу управління в якості подальшого керівництва для аудитора