Сегодня информационная безопасность является не только требованием бизнеса, но и юридическим, законодательным требованием. Каждая организация должна заботиться о сохранении конфиденциальной информации, персональных данных и другой защищаемой информации. Большое количество государственных и частных организаций приняли решение о внедрении системы менеджмента информационной безопасности (СМИБ) на основе стандарта ISO/IEC 27001, который является одним из самых известных и признанных международных стандартов в отношении требований СМИБ в мире. Если вы еще этого не сделали, IKMJ и наши специалисты готовы помочь вам эффективно управлять информационной безопасностью в вашей организации.
Семейство стандартов ISO/IEC 27000 достаточно обширно, мы сосредоточим свое внимание на относительно недавно обновленном стандарте ISO/IEC 27007:2020 Информационные технологии – Методы обеспечения безопасности – Руководство по аудиту систем управления информационной безопасностью. ISO/IEC 27007 предоставляет руководство по проведению эффективных аудитов систем менеджмента информационной безопасности (ISMS), чтобы гарантировать их надежность и компетентность. Основной причиной обновления является адаптация стандарта ISO/IEC 27007 к изменениям, которые были внесены в стандарт ISO 19011:2018 – Руководство по аудиту систем менеджмента.
Стандарт ISO/IEC 27007 содержит обширные рекомендации по аудиту требований, изложенных в ISO/IEC 27001, и компетентности аудиторов СМИБ. Приложение А содержит руководство по практике проведения аудита СМИБ наряду с требованиями ISO/IEC 27001:2013 (EN ISO/IEC 27001:2017), главы 4-10.
Стандарт ориентирован на внутренние аудиты СМИБ (аудиты первой стороной) и аудиты СМИБ, проводимые организациями у поставщиков или других внешних заинтересованных сторон (аудиты второй стороной). Стандарт также может быть полезен для внешних аудитов СМИБ в целях, отличных от сертификации системы менеджмента третьей стороной. ISO/IEC 27006 определяет требования к аудиту СМИБ для сертификации третьей стороной и он может предоставить полезное дополнительное руководство.
Аудит системы управления информационной безопасностью (СУИБ) может выполняться по ряду критериев аудита, по отдельности или в комбинации, включая, помимо прочего:
- требования, изложенные в ISO/IEC 27001;
- политику и требования, установленные соответствующими заинтересованными сторонами;
- юридические и другие требования;
- процессы и средства управления для СМИБ, определенные организацией или другими сторонами;
- планы системы менеджмента, связанные с получением конкретных результатов СМИБ (например, планы по устранению рисков и возможностей при создании СМИБ, планы по достижению целей информационной безопасности, планы обработки рисков, планы проектов).
Стоит подчеркнуть, что руководящие принципы, содержащиеся в ISO/IEC 27007:2020, должны быть адаптированы к объему, сложности и масштабу программы аудита и должны использоваться совместно с руководящими принципами, содержащимися в ISO 19011:2018. Напомним, что стандарт ISO 19011:2018 содержит рекомендации по управлению программами аудита, проведению внутренних или внешних аудитов систем менеджмента, а также компетентности и оценке аудиторов.
Вам необходимо проверить соответствие вашей системы управления информационной безопасностью?
Воспользуйтесь услугами IKMJ в области аудита СМИБ, аудита соответствия требованиям описаннх в Европейской дерективе о защите персональных данных!
Использованные источники: