ГОСТ РИСО 19011—2012
- оценку адекватности и результативности систем записей {включая бизнес-системы для создания и управле
ния записями), пригодность используемых технологических средств, технических приспособлений и оборудования;
- различные уровни компетентности в области управления записями на всех уровнях организации и проведе
ние оценки данной компетентности.
- значение содержания, рассматриваемого контекста, структуры, представления и управления информаци
ей (обмена данных) для определения и управления записями и системами записей;
- методы для разработки специальных инструментов для ведения и поддержания записей,
- технологии, используемые для создания, сохранения, преобразования и передачи, а также для обеспече
ния допгосрочной сохранности электронных/цифровых записей;
- идентификацию и значение документации, связанной с авторизацией, для процессов, связанных с записями.
П р и м е ч а н и е — Дополнительную информацию см. в соответствующих стандартах в области управле
ния записями, разработанных ИСОЯК 46/ПК 11.
А.6 Пояснительный пример в отношении специальных знаний и навыков аудиторов в области
менеджмента по обеспечению безопасности, постоянной готовности, устойчивого и непрерывного
организационного управления
Знания и навыки, относящиеся к этой дисциплине менеджмента и к применению методов, технических прие
мов. процессов и практике этой области, должны бытьдостаточными для того, чтобы позволить аудитору надлежа
щим образом изучить данную систему менеджмента и сделать соответствующие выводы и заключения по
результатам аудита.
Примеры знаний и навыков в этой области включают в себя;
- процессы, научные подходы и практические приемы, лежащие а основе менеджмента обеспечения безо
пасности. постоянной готовности, устойчивого и непрерывного организационного управления.
- методы разведывательного характера по сбору информации и мониторингу в области безопасности;
- управление рисками, связанными с чрезвычайными и аварийными ситуациями (прогнозирование, предот
вращение. защита и уменьшение негативных последствий, принятие мер оперативного реагирования и устранение
последствий чрезвычайной ситуации).
- оценку рисков (идентификацию и оценку стоимости имущества, идентификацию, анализ и оценку рисков)
и анализ негативного воздействия (на людей, материальные и нематериальные активы, а также на окружающую
среду):
- принятие мер по рискам (адаптивного, упреждающего и противодействующего характера).
- методы и практики по обеспечению сохранения целостности информации и по ее защите в случае несан
кционированных попыток внести изменения;
- методы для обеспечения безопасности и защиты людей.
- методы и практики для защиты имущества и физической безопасности;
- методы и практики по управлению деятельностью в области профилактики, предупреждения и обеспече
ния мер безопасности;
- методы и практики по управлению в кризисных ситуациях, по адекватному реагированию и минимизации
последствий происшествий;
- методы и практики по управлению действиями в чрезвычайных и аварийных ситуациях, по поддержанию
непрерывности организационного управления и по восстановлению нормального режима работы;
- методы и практики по мониторингу, измерению и регистрации показателей деятельности (включая методо
логии в области исследований и тестирования).
П р и м е ч а н и е — Дополнительную информацию см. в соответствующих стандартах в области менед
жмента обеспечения безопасности, постоянной готовности, устойчивого и непрерывного организационного управ
ления. разработанных ИСО/ТК 8. ИСОЯК 223 и ИСОЯК 247.
А.7 Пояснительный пример в отношении специальных знаний и навыков аудиторов в области
менеджмента информационной безопасности
Знания и навыки, относящиеся к этой дисциплине менеджмента и к применению методов, технических прие
мов. процессов и практик в этой области, должны бытьдостаточными для того, чтобы позволить аудитору надлежа
щим образом изучить данную систему менеджмента и сделать соответствующие выводы и заключения по
результатам аудита.
Примеры знаний и навыков в этой области включают в себя:
- руководящие указания стандартов, таких как ИСО/МЭК 27000. ИСО/МЭК 27001. ИСО/МЭК 27002,
ИСО/МЭК 27003. ИСО/МЭК 27004 и ИСО/МЭК 27005;
- идентификацию и оценку требований потребителей и других заинтересованных сторон;
- законы и правила, касающиеся информационной безопасности (например, интеллектуальная собствен
ность; содержание, защита исохранение организационных записей; защита и конфиденциальность данных, приме
нение средств в области шифрования, антитеррористические меры, электронная коммерция, электронные и
28