ГОСТ Р ИСО/МЭК27007 -2014
1) общее количество сотрудников, работающих на каждом объекте, и взаимо
отношения со сторонними организациями, регулярно работающими на прове
ряемом объекте;
2) количество информациоиных систем;
3) количество объектов, охваченных СМИБ;
b
) сложность СМИБ (включая количество и критичность процессов и видов дея
тельности);
c) значимость рисков информационной безопасности, идентифицированных для
СМИБ;
d) важность информации и связанных с ней активов в области действия СМИБ;
e) сложность информационных систем, подлежащих аудиту на объекте, включая
сложность использованной информационной технологии (ИТ);
f) наличие многих сходных объектов;
д) изменения сложности объектов, находящихся в области действия СМИБ.
В программе аудита следует уделить внимание установлению приоритетов на ос
нове рисков информационной безопасности итребований бизнеса в отношении областей
СМИБ, требующих более детального изучения.
Дополнительную информацию о выборке нескольких объектов можно найти в
ИСО/МЭК27006:20071> и IAF MD 1:2007 [7], информация в которых относится только к
сертификационным аудитам.
5.3.4 Идентификация и оценка рисков программы аудита
Применять руководство пункта 5.3.4 ИСО 19011:2011.
5.3.5 Разработка процедур по программе аудита
Применять руководство пункта 5.3.5 ИСО 19011:2011.
11Отменен. Действует ИСО/МЭК27006:2011. Для однозначного соблюдения требований настоящего
стандарта, выраженных в датированных ссылках, рекомендуется использовать только указанный ссылоч
ный стандарт.
5