ГОСТ Р ИСО/МЭК27007 -2014
b) оценивание актуальности целей СМИБ, определенных руководством; и
c) оценивание процессов поддержки и эффективного совершенствования СМИБ.
Практическая помощь - примеры критериев аудита
Ниже приведены темы, которые могут быть рассмотрены в качестве критериев
аудита;
1) методика оценки риска информационной безопасности и результаты оцен
ки и обработки риска проверяемой организации и учет ими всех соответству
ющих требований;
2) версия «Положения о применимости» и его связь с результатами оценки
риска;
3) готовность к вводу в действие мер и средств контроля и управления для
снижения риска;
4) параметры эффективности реализованных мер и средств контроля и
управления и применение этих параметров, как определено для измерения
эффективности мер и средств контроля и управления (см. ИСО/МЭК27004);
5) деятельность по мониторингу и проверке процессов СМИБ и мер и средств
контроля и управления;
6) внутренние аудиты и проводимые руководством проверки СМИБ и коррек
тирующие меры, принимаемые организацией;
7) информация об адекватности и соблюдении политик, целей и процедур,
принятых проверяемой организацией;
8) соответствие конкретным правовым и договорным требованиям, а также
иным требованиям, важным для проверяемой организации, и их значение для
информационной безопасности.
Аудиторская группа должна обеспечить уверенность, что область действия и гра
ницы СМИБ проверяемой организации четко определены с точки зрения характеристик
деятельности организации, ее месторасположения, активов и технологий, включая дета
ли и обоснование каких-либо недопущений в области действия. Аудиторская группа
должна подтвердить, что проверяемая организация в области действия СМИБ учитывает
требования, изложенные в пункте 1.2 ИСО/МЭК27001:2005.
Следовательно аудиторы должны обеспечить уверенность, что оценка и обработка
риска информационной безопасности проверяемой организации надлежащим образом
7