The post has been translated automatically. Original language: Russian
The ISO/IEC 27007:2020 Information Security, Cybersecurity and Privacy Protection Standard — The Information Security Management Systems Audit Manual contains recommendations on managing the Information Security Management System (ISMS) audit program, conducting audits and on the competence of ISMS auditors in addition to the recommendations contained in the ISO 19011 standard.
This standard is intended for those who need to understand or conduct internal or external audits of an information security management system (ISMS), as well as to manage the ISMS audit program.
An information security management system (ISMS) audit can be conducted according to a number of audit criteria, either individually or in combination, including, but not limited to:
- — requirements defined in ISO/IEC 27001;
- — policies and requirements set by stakeholders;
- — legal and regulatory requirements;
- — Information security management processes and tools defined by the organization or other parties;
- — The management system plan(s) related to ensuring the specific results of the information security management system (for example, plans for taking risks and opportunities into account when creating an information security management system, plans for achieving information security goals, risk management plans, project plans).
This standard contains recommendations for organizations of all sizes and types, as well as for audits of information security management systems (ISMS) of various scales and complexity, including audits conducted by large audit teams, usually in large organizations, and audits conducted by individual auditors, regardless of the size of the organization. These recommendations should be adapted according to the scale, complexity, and complexity of the ISMS audit program.
This standard is dedicated to internal ISMS audits (in-house audit) and ISMS audits conducted by organizations in relation to their external suppliers and other interested external parties (second audit). This standard may also be useful for external ISMS audits conducted for purposes other than certification of management systems by third parties. The ISO/IEC 27006 standard defines the requirements for ISMS audit for certification by third parties; this standard can provide useful additional recommendations.
This standard should be used in conjunction with the recommendations contained in the ISO 19011:2018 standard and corresponds to its structure.
The ISO 19011:2018 standard contains recommendations on the management of audit programs, conducting internal or external audits of management systems, as well as on the competence and evaluation of management system auditors.
Appendix A of the standard provides recommendations for auditing information security management systems, as well as the requirements of the ISO/IEC 27001 standard.
Unfortunately, those who need to understand and conduct internal or external audits of information security management systems (ISMS) or have the competence of auditors (as is the case in developed countries) are not available in all EAEU countries, as this standard has not been adopted and, accordingly, is not used. Accordingly, you can ask yourself a rhetorical question - how is it possible to obtain an ISO 27001 certificate of conformity if the requirements for the competence of auditors are not accepted.
Стандарт ISO/IEC 27007:2020 Информационная безопасность, кибербезопасность и защита конфиденциальности — Руководство по аудиту систем управления информационной безопасностью содержит рекомендации по управлению программой аудита системы управления информационной безопасностью (СУИБ), по проведению аудитов и по компетенции аудиторов СУИБ в дополнение к рекомендациям, содержащимся в стандарте ISO 19011.
Этот стандарт предназначен для тех, кому необходимо понимать или проводить внутренние или внешние аудиты системы управления информационной безопасностью (СУИБ), а также для управления программой аудита СУИБ.
Аудит системы управления информационной безопасностью (СУИБ) может проводиться по ряду критериев аудита, как по отдельности, так и в сочетании, включая, помимо прочего:
- — требования, определенные в ISO/IEC 27001;
- — политики и требования, установленные заинтересованными сторонами;
- — законодательные и нормативные требования;
- — Процессы и средства управления информационной безопасностью, определенные организацией или другими сторонами;
- — План(ы) системы управления, касающиеся обеспечения конкретных результатов системы управления информационной безопасностью (например, планы по учету рисков и возможностей при создании системы управления информационной безопасностью, планы достижения целей информационной безопасности, планы обработки рисков, планы проектов).
Данный стандарт содержит рекомендации для организаций всех размеров и типов, а также для аудитов систем управления информационной безопасностью (СУИБ) различного масштаба и сложности, включая аудиты, проводимые крупными аудиторскими группами, как правило, в крупных организациях, и аудиты, проводимые отдельными аудиторами, независимо от размера организации. Данные рекомендации следует адаптировать в соответствии с масштабом, сложностью и сложностью программы аудита СУИБ.
Данный стандарт посвящен внутренним аудитам СУИБ (собственная проверка) и аудитам СУИБ, проводимым организациями в отношении своих внешних поставщиков и других заинтересованных внешних сторон (вторая проверка). Этот стандарт также может быть полезен для внешних аудитов СУИБ, проводимых в целях, отличных от сертификации систем менеджмента третьими сторонами. Стандарт ISO/IEC 27006 устанавливает требования к аудиту СУИБ для сертификации третьими сторонами; данный стандарт может предоставить полезные дополнительные рекомендации.
Этот стандарт следует использовать совместно с рекомендациями, содержащимися в стандарте ISO 19011:2018 и он соответствует его структуре.
Стандарт ISO 19011:2018 содержит рекомендации по управлению программами аудита, проведению внутренних или внешних аудитов систем менеджмента, а также по компетентности и оценке аудиторов систем менеджмента.
В Приложении А стандарта представлены рекомендации по проведению аудита систем управления информационной безопасностью, а также требования стандарта ISO/IEC 27001.
К сожалению, кому необходимо понимать и проводить внутренние или внешние аудиты систем управления информационной безопасностью (СУИБ) или обладать компетенцией аудиторов (как выстроено в развитых странах), во всех странах ЕАЭС не имеется, т.к. этот стандарт не принят и соответственно не используется. Соответственно можно задать себе риторический вопрос- а как возможно получить сертификат соответствия на на ISO 27001, если не приняты требования к компетентности аудиторов.
Share
