ГОСТ Р ИСО/МЗК 27007 -2014
Продолжение таблицы А.1
кации рисков бизнес-процессов и деятельности и принятия соответствующих мер вот
ношении рисков.
ИСОУМЭК 27005 предоставляет руководство по оценке риска и менеджменту риска.
Аудитор должен сознавать, что для оценки риска существуют количественные и каче
ственные методы или любые их комбинации и решение о том, какой подход использо
вать, зависит от организации.
Процессы и процедуры, приведенные в перечисленияхс)—j) пункта 4.2.1
ИСОУМЭК 27001:2005, должны быть определены, реализованы и документально оформ
лены как подход к оценке риска в соответствии с заявлением руководства, описанным в
политнке СМИБор ганизации (см. перечис ление Ь) 4) пункта 4.2.1 ИСОУМЭК27001:200 5-
критерпи оценки рисков). В определение подхода включается рассмотрение соответ
ствия правовыми договорным требованиям, а также иным требованиям, важным вот
ношении рисков и активов, которыми организация должна стратегически управлять, в
контексте бизнеса и оценивания риска. Во время аудита должно быть подтверждено, что
подход реализован и выполняется, как требуют перечисления b)—j) пункта 4.2.1
ИСО
IM
ЭК 27001:2005.
Аудитор должен подтвердить, что результаты оценок риска, полученные в соответ
ствии с подходом к оценке риска, сопоставим.! и воспроизводим.!.
Иными словами, аудитор должен подтвердить, что подход позволяет любым сотруд
никам. отвечающим за оценку риска, придти к одинаковым результатам независимо от
того, кто и когда проводит оценку риска, при условии, что они обладают определенным
уровнем компетентности в сфере оценки риска и проводят оценки одних и тех же акти
вов в соответствии с процессами и процедурами, определенными в подходе. Если полу
чается иной результат, должна быть возможность идентифицировать, где и когда воз
никло различие в оценке риска. Также для организации необходимо, чтобы существовал
подход, способный приводить к одинаковому выбору мер и средств контроля и управле
ния для обработки риска, если оцененные риски одинаковы, т. е. с одними тем же уров
нем риска и свойствами (активы и требования безопасности).
Такое подтверждение должно проводиться путём отбора записей из отчетов об оцен
ке риска, для прослеживания в прямом и обратном направлении последовательности
процесса оценки риска, вмгсте с аудитами активов на месте.
На критерии принятия риска часто влияют политики менеджмента риска организации,
цели, технология, денежные средства, соответствующие законы и предписания и заин
тересованные стороны, и в итоге они определяются организацией. Поэтому аудиторам
необходимо с должным вниманием проверять эффективность критериев сточки зрения
вышеуказанных объекгов, подтверждая также, что они определены и существуют. За
22