Публикация была переведена автоматически. Исходный язык: Русский
Стандарт ISO/IEC 27007:2020 Информационная безопасность, кибербезопасность и защита конфиденциальности — Руководство по аудиту систем управления информационной безопасностью содержит рекомендации по управлению программой аудита системы управления информационной безопасностью (СУИБ), по проведению аудитов и по компетенции аудиторов СУИБ в дополнение к рекомендациям, содержащимся в стандарте ISO 19011.
Этот стандарт предназначен для тех, кому необходимо понимать или проводить внутренние или внешние аудиты системы управления информационной безопасностью (СУИБ), а также для управления программой аудита СУИБ.
Аудит системы управления информационной безопасностью (СУИБ) может проводиться по ряду критериев аудита, как по отдельности, так и в сочетании, включая, помимо прочего:
- — требования, определенные в ISO/IEC 27001;
- — политики и требования, установленные заинтересованными сторонами;
- — законодательные и нормативные требования;
- — Процессы и средства управления информационной безопасностью, определенные организацией или другими сторонами;
- — План(ы) системы управления, касающиеся обеспечения конкретных результатов системы управления информационной безопасностью (например, планы по учету рисков и возможностей при создании системы управления информационной безопасностью, планы достижения целей информационной безопасности, планы обработки рисков, планы проектов).
Данный стандарт содержит рекомендации для организаций всех размеров и типов, а также для аудитов систем управления информационной безопасностью (СУИБ) различного масштаба и сложности, включая аудиты, проводимые крупными аудиторскими группами, как правило, в крупных организациях, и аудиты, проводимые отдельными аудиторами, независимо от размера организации. Данные рекомендации следует адаптировать в соответствии с масштабом, сложностью и сложностью программы аудита СУИБ.
Данный стандарт посвящен внутренним аудитам СУИБ (собственная проверка) и аудитам СУИБ, проводимым организациями в отношении своих внешних поставщиков и других заинтересованных внешних сторон (вторая проверка). Этот стандарт также может быть полезен для внешних аудитов СУИБ, проводимых в целях, отличных от сертификации систем менеджмента третьими сторонами. Стандарт ISO/IEC 27006 устанавливает требования к аудиту СУИБ для сертификации третьими сторонами; данный стандарт может предоставить полезные дополнительные рекомендации.
Этот стандарт следует использовать совместно с рекомендациями, содержащимися в стандарте ISO 19011:2018 и он соответствует его структуре.
Стандарт ISO 19011:2018 содержит рекомендации по управлению программами аудита, проведению внутренних или внешних аудитов систем менеджмента, а также по компетентности и оценке аудиторов систем менеджмента.
В Приложении А стандарта представлены рекомендации по проведению аудита систем управления информационной безопасностью, а также требования стандарта ISO/IEC 27001.
К сожалению, кому необходимо понимать и проводить внутренние или внешние аудиты систем управления информационной безопасностью (СУИБ) или обладать компетенцией аудиторов (как выстроено в развитых странах), во всех странах ЕАЭС не имеется, т.к. этот стандарт не принят и соответственно не используется. Соответственно можно задать себе риторический вопрос- а как возможно получить сертификат соответствия на на ISO 27001, если не приняты требования к компетентности аудиторов.
Стандарт ISO/IEC 27007:2020 Информационная безопасность, кибербезопасность и защита конфиденциальности — Руководство по аудиту систем управления информационной безопасностью содержит рекомендации по управлению программой аудита системы управления информационной безопасностью (СУИБ), по проведению аудитов и по компетенции аудиторов СУИБ в дополнение к рекомендациям, содержащимся в стандарте ISO 19011.
Этот стандарт предназначен для тех, кому необходимо понимать или проводить внутренние или внешние аудиты системы управления информационной безопасностью (СУИБ), а также для управления программой аудита СУИБ.
Аудит системы управления информационной безопасностью (СУИБ) может проводиться по ряду критериев аудита, как по отдельности, так и в сочетании, включая, помимо прочего:
- — требования, определенные в ISO/IEC 27001;
- — политики и требования, установленные заинтересованными сторонами;
- — законодательные и нормативные требования;
- — Процессы и средства управления информационной безопасностью, определенные организацией или другими сторонами;
- — План(ы) системы управления, касающиеся обеспечения конкретных результатов системы управления информационной безопасностью (например, планы по учету рисков и возможностей при создании системы управления информационной безопасностью, планы достижения целей информационной безопасности, планы обработки рисков, планы проектов).
Данный стандарт содержит рекомендации для организаций всех размеров и типов, а также для аудитов систем управления информационной безопасностью (СУИБ) различного масштаба и сложности, включая аудиты, проводимые крупными аудиторскими группами, как правило, в крупных организациях, и аудиты, проводимые отдельными аудиторами, независимо от размера организации. Данные рекомендации следует адаптировать в соответствии с масштабом, сложностью и сложностью программы аудита СУИБ.
Данный стандарт посвящен внутренним аудитам СУИБ (собственная проверка) и аудитам СУИБ, проводимым организациями в отношении своих внешних поставщиков и других заинтересованных внешних сторон (вторая проверка). Этот стандарт также может быть полезен для внешних аудитов СУИБ, проводимых в целях, отличных от сертификации систем менеджмента третьими сторонами. Стандарт ISO/IEC 27006 устанавливает требования к аудиту СУИБ для сертификации третьими сторонами; данный стандарт может предоставить полезные дополнительные рекомендации.
Этот стандарт следует использовать совместно с рекомендациями, содержащимися в стандарте ISO 19011:2018 и он соответствует его структуре.
Стандарт ISO 19011:2018 содержит рекомендации по управлению программами аудита, проведению внутренних или внешних аудитов систем менеджмента, а также по компетентности и оценке аудиторов систем менеджмента.
В Приложении А стандарта представлены рекомендации по проведению аудита систем управления информационной безопасностью, а также требования стандарта ISO/IEC 27001.
К сожалению, кому необходимо понимать и проводить внутренние или внешние аудиты систем управления информационной безопасностью (СУИБ) или обладать компетенцией аудиторов (как выстроено в развитых странах), во всех странах ЕАЭС не имеется, т.к. этот стандарт не принят и соответственно не используется. Соответственно можно задать себе риторический вопрос- а как возможно получить сертификат соответствия на на ISO 27001, если не приняты требования к компетентности аудиторов.
Поделиться
