Внутренние аудиты СМЗИ

Подготовка, осведомленность и компетентность

Обеспечение ресурсами

Менеджмент ресурсов

Организация должна выделять и обеспечивать ресурсы, необходимые для:

a) создания, внедрения, эксплуатации, постоянного контроля, анализа, поддержки в рабочем состоянии и улучшения СМЗИ;

b) гарантирования, что процедуры защиты информации поддерживают бизнес требования;

c) выявления и рассмотрения законодательных и нормативных требований, договорных обязательств по защите;

d) поддержания в рабочем состоянии адекватной защиты путем правильного применения всех реализованных средств управления;

e) проведения при необходимости анализа и соответствующего реагирования на результаты этого анализа; и

f) где необходимо, улучшения эффективности СМЗИ.

Организация должна гарантировать, что весь персонал, которому назначена ответственность, определенная в СМЗИ, компетентен для выполнения требуемых задач, путем следующего:

a) определять необходимую компетентность для персонала, выполняющего работу, влияющую на СМЗИ;

b) обеспечивать подготовку или предпринимая другие действия (например, нанимая на работу компетентный персонал), с целью удовлетворить эти потребности;

c) оценивать эффективность предпринятых действий; и

d) поддерживать в актуальном состоянии записи об образовании, подготовке, мастерстве, опыте и квалификации (см. п.4.3.3).

Организация должна также гарантировать, что весь имеющий отношение к бизнесу персонал отдает себе отчет в значимости и важности их деятельности в области защиты информации и в том, какой вклад они вносят в достижение целей СМЗИ.

Организация должна проводить внутренние аудиты СМЗИ через определенные интервалы времени, с целью определения:

a) соответствия требованиям этого международного стандарта, законам и нормам;

b) соответствия требованиям защиты информации;

c) эффективности реализации и поддержания в рабочем состоянии; и

d) выполнения целей управления, средств управления, процессов и процедур СМЗИ организации.

Программа аудита должна быть спланирована с учетом статуса и важности процессов и областей, которые нужно проверять, а также результатов предыдущих аудитов. Должны быть определены критерии, область приложения, частота и методы аудита. Выбор аудиторов и проведение аудитов должны гарантировать объективность и беспристрастность процесса аудита. Аудиторы не должны проверять свою собственную работу.

Ответственность за планирование, проведение аудитов, требования для планирования и проведения аудитов, а также для сообщения результатов и поддержания записей в рабочем состоянии (см. п.4.3.3), должны быть определены в документированной процедуре.

Руководство, ответственное за проверяемую область, должно гарантировать, что устранение обнаруженных несоответствий и их причин осуществляются без задержек. Последующая деятельность должна включать в себя верификацию предпринятых действий и составление отчета по результатам верификации (см. раздел 8).

ПРИМЕЧАНИЕ: Документ ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing, может предоставить полезные руководящие указания по проведению внутренних аудитов СМЗИ.