ГОСТ Р ИСО/МЗК 27007 - 2014
отражают её деятельность и ограничены сферой деятельности. Аудиторы должны под
твердить, что это отражено в «Положении о применимости».
Аудиторы также должны обеспечить уверенность, что взаимодействие с услугами
или видами деятельности, не полностью входящими в сферу действия СМИБ, рассмат
ривается в рамках СМИБ и включено в оценку риска информационной безопасности про
веряемой организации. Примером такой ситуации является коллективное использование
средств (например, систем ИТ, баз данных и телекоммуникационных систем) вместе с
другими организациями.
5.43 Выбор методов аудита
Применять руководство пункта 5.4.3 ИСО 19011:2011. Дополнительно применять
приведенное ниже руководство, ориентированное на СМИБ.
5.4.3.1 ИБ 5.4.3 Выбор методов аудита
В случае проведения совместного аудита особое внимание должно уделяться со
общению информации во время аудита. Соглашение об этом должно быть достигнуто со
всеми заинтересованными сторонами до начала аудита.
5.4.4 Формирование группы по аудиту
Применять руководство пункта 5.4.4 ИСО 19011:2011. Дополнительно применять
приведенное ниже руководство, ориентированное на СМИБ.
5.4.4.1 ИБ 5.4.4 Формирование группы по аудиту
Общая компетентность аудиторской группы должна включать:
a) адекватные знания и понимание менеджмента риска информационной безопас
ности,являющиеся достаточными для оценки используемых проверяемой организацией
методов; и
b
) адекватные знания и понимание необходимости обеспечения информационной
безопасности и менеджмента информационной безопасности, являющиеся достаточными
для оценки комплекта мер и средств контроля и управления, а также планирования, реа
лизации,поддержки и эффективности СМИБ.
При необходимости, следует позаботиться о том, чтобы аудиторы получили необ
ходимый допуск к информации для получения свидетельств аудита.
8