Аудит системы менеджмета информационной безопасности. Cтандарт ISO/IEC 27007: 2020_RU

Сегодня информационная безопасность является не только требованием бизнеса, но и юридическим, законодательным требованием. Каждая организация должна заботиться о сохранении конфиденциальной информации, персональных данных и другой защищаемой информации. Большое количество государственных и частных организаций приняли решение о внедрении системы менеджмента информационной безопасности (СМИБ) на основе стандарта ISO/IEC 27001, который является одним из самых известных и признанных международных стандартов в отношении требований СМИБ в мире. Если вы еще этого не сделали, IKMJ и наши специалисты готовы помочь вам эффективно управлять информационной безопасностью в вашей организации.

Семейство стандартов ISO/IEC 27000 достаточно обширно, мы сосредоточим свое внимание на относительно недавно обновленном стандарте ISO/IEC 27007:2020 Информационные технологии – Методы обеспечения безопасности – Руководство по аудиту систем управления информационной безопасностью. ISO/IEC 27007 предоставляет руководство по проведению эффективных аудитов систем менеджмента информационной безопасности (ISMS), чтобы гарантировать их надежность и компетентность. Основной причиной обновления является адаптация стандарта ISO/IEC 27007 к изменениям, которые были внесены в стандарт ISO 19011:2018 – Руководство по аудиту систем менеджмента.

Zobacz podobne  Уязвимости и их раскрытие. Обзор ISO/IEC 29147 и ISO 30111. Часть 2

Стандарт ISO/IEC 27007 содержит обширные рекомендации по аудиту требований, изложенных в ISO/IEC 27001, и компетентности аудиторов СМИБ. Приложение А содержит руководство по практике проведения аудита СМИБ наряду с требованиями ISO/IEC 27001:2013 (EN ISO/IEC 27001:2017), главы 4-10.

Стандарт ориентирован на внутренние аудиты СМИБ (аудиты первой стороной) и аудиты СМИБ, проводимые организациями у поставщиков или других внешних заинтересованных сторон (аудиты второй стороной). Стандарт также может быть полезен для внешних аудитов СМИБ в целях, отличных от сертификации системы менеджмента третьей стороной. ISO/IEC 27006 определяет требования к аудиту СМИБ для сертификации третьей стороной и он может предоставить полезное дополнительное руководство.

Аудит системы управления информационной безопасностью (СУИБ) может выполняться по ряду критериев аудита, по отдельности или в комбинации, включая, помимо прочего:

  • требования, изложенные в ISO/IEC 27001;
  • политику и требования, установленные соответствующими заинтересованными сторонами;
  • юридические и другие требования;
  • процессы и средства управления для СМИБ, определенные организацией или другими сторонами;
  • планы системы менеджмента, связанные с получением конкретных результатов СМИБ (например, планы по устранению рисков и возможностей при создании СМИБ, планы по достижению целей информационной безопасности, планы обработки рисков, планы проектов).
Zobacz podobne  Планирование обеспечения непрерывности бизнеса в организациях, часть 1

Стоит подчеркнуть, что руководящие принципы, содержащиеся в ISO/IEC 27007:2020, должны быть адаптированы к объему, сложности и масштабу программы аудита и должны использоваться совместно с руководящими принципами, содержащимися в ISO 19011:2018. Напомним, что стандарт ISO 19011:2018 содержит рекомендации по управлению программами аудита, проведению внутренних или внешних аудитов систем менеджмента, а также компетентности и оценке аудиторов.

Вам необходимо проверить соответствие вашей системы управления информационной безопасностью?

Воспользуйтесь услугами IKMJ в области аудита СМИБ, аудита соответствия требованиям описаннх в Европейской дерективе о защите персональных данных!

 

Использованные источники:

Прокрутить вверх