ГОСТ Р ИСО/МЗК 27007 -2014
Приложение А
(справочное)
Практическое руководство по аудиту СМИБ
В настоящем приложении представлено общее руководство по проведению аудита процессов
СМ ИБ, согласно требованиям ИСО/МЭК 27001. При этом не принимаются во внимание какие-либо особые
требования СМИБ, которые могут существовать у конкретной организации (например. правовые, норматив-
ные и договорные требования, а также иные требования, относящиеся к реализации конкретных мгр и
средств контроля и управления информационной безопасностью).
Это руководство является справочным и предназначено для использования аудиторами, проводя
щим внутренний или внешний аудит СМИБ.
Необязательные дополнительные стандарты могут быть использованы как справочное руководство
для проверяемой организации или аудитора. В приведенной таблице А.1 они перечислены как «Сопутству
ющие стандарты». Аудиторам следует помнить, что выводы о несоответствиях должны основываться ис
ключительно на критериях аудита и требованиях ИСО/МЭК 27001.
Т аблица А.1-Практическое руководство по аудиту СМИБ
А.1 Сфера действия, политика и подход к оценке риска СМИБ (ИСО/МЭК 27001, подраздел 4.1, пере
числения а)-с) пункта 4.2.1)
Критерии аудита
ИСО/МЭК 27001Ч подраздел 4.1, перечисления а), Ь) и с) пункта 4.2.1
Сопутствую щие
стандарты
ИСО/МЭК 17021, перечисления a)-d) пункта 9.2.1
ИСО/МЭК 27005, подразделы 3.1-3.9 (ИСО/МЭКРуководство 73)
ИСО/МЭК 27005. подразделы 7.1,7.2, 7.3 и 7.4
ИСО/МЭК 27006 подразделы 3.1,3.5, пункт 9.1.2 и перечислени яb)-d) подпункта 9.1.4.2
Свидетельства
аудита
Свидетельства аудита включают.
- область действия СМИБ(перечисление Ь) пункта 4.3.1)
- схему организационной структуры;
-стратетю организации;
- формулировку политики бизнеса, бизнес-процессы и виды деятельности;
- документацию, касающуюся ролей и обязанностей;
- конфигурацию сети;
- информацию об объектах, включая список отделений, фирм, офисов и помещений и
ихсхемз! размещения;
15Ссылки без указанной даты относятся к версии стандарта, приведенной в «Нормативных ссылках»
или «Библиографии».
18