ГОСТ Р ИСО/МЭК27007 -2014
72
.
3.2 Общие знания и навыки аудиторов систем менеджмента
Применять руководство подпункта 7
.
2.32 ИСО 19011:2011.
7.2.3.3 Знания и навыки аудиторов систем менеджмента,касающиеся особенностей
дисциплины и области ее применения
Применять руководство подпункта 7.2.3.3 ИСО 19011:2011. Дополнительно приме
нять приведенное ниже руководство, ориентированное на СМИБ.
7.2.3.3.1 ИБ 7.2.3.3 Знания и навыки аудиторов систем менеджмента, касающиеся
дисциплины и областей ее применения
Аудиторы СМИБ должны обладать знаниями и навыками в следующих областях:
a) методы менеджмента информационной безопасности: это позволит аудитору
исследовать СМИБ и сформировать соответствующие выводы аудита и рекомендации.
Знания и практические навыки в этой области должны включать:
1) терминологию информационной безопасности;
2) принципы менеджмента информационной безопасности них применение;
3) методы менеджмента риска информационной безопасности и их примене
ние;
b
) общие знания информационной технологии и методы обеспечения информаци
онной безопасности, исходя из реальной ситуации (например, методы физического и ло
гического контроля доступа; обеспечение защиты от вредоносной программы; методы
менеджмента уязвимостей ит. д.) или доступ к ним;
c) существующие угрозы информационной безопасности, уязвимости, меры и
средства контроля и управления, а также основной организационный, правовой и дого
ворной контекст СМИБ (например, меняющиеся процессы бизнеса и взаимоотношения,
технологии или законы).
Если требуются дополнительные специальные знания и/или навыки, следует рас
смотреть вопрос о привлечении экспертов по информационной безопасности (например,
обладающих компетентностью в конкретной области деятельности, компетентностью в
области обеспечения безопасности ИТ или менеджмента непрерывности бизнеса). В слу
чае привлечения экспертов необходимо тщательно оценить их компетентность.
Примечание - Особые требования к аудиторам в отношении сертификации СМИБ приведены в
ИСО/МЭК 27006.
15