ГОСТР ИСО 27799—2015
даст некоторое представление об эффективности СМИБ. Тем не менее такой подход часто может быть
скомпрометирован лояльностью и личными и организационными обязательствами коллег.
6.6.2.2 Рецензирование
Очень похожим, но альтернативным вариантом является проведение рецензирования, при ко
тором различные организационные связи рецензентов способны привести к росту объективности и,
следовательно, обеспечению гарантии.
Этот вариант также может быть осуществлен бесплатно, если он организован на взаимной ос
нове. например, между лицами, ответственными за защиту информации. Тем не менее, это. конечно,
может означать, что присутствует возможность договоренности о взаимно положительных отчетах.
6.6.2.3 Независимый аудит
Независимые аудиты могут быть по определенной стоимости проведены различными организаци
ями. такими как аудиторские и консалтинговые компании или собственные внутренние аудиторы орга
низации. Вероятно, итоговый отчет будет надежным и более высокого качества, отражая, как правило,
более высокий уровень компетентности. Такие проверки дают «сравнительную оценку», поскольку во
влеченный персонал, скорее всего, уже проводил другие подобные независимые аудиты, на основе
которых они могут проводить сравнения.
6.6.2 4 Сертификационный аудит на соответствие ИСО/МЭК 27001
Сертификационные аудиты обычно включают в себя совещание по определению объемов работ,
обзор документа, а затем саму проверку соответствия.
Основываясь на опыте, накопленном другими сертифицированными организациями, медицин
ские организации должны привлекать аудиторов этих организаций, сразу после принятия решения о
проведении сертификации. Затем аудитор становится скорее партнером по проведению аудита, а со
ответствие может быть достигнуто постепенно, например, по предварительной договоренности о том,
что описание области применения, оговоренное в 6.4.1, правильно сформулировано и может быть
предоставлено. Тем не менее, также стоит рассмотреть возможность проведения рецензирования или
независимого аудита на промежуточном этапе для дальнейшего предотвращения любой возможности
возникновения сбоя.
Распространенным заблуждением является то. что сертификация осуществляется, только если
наблюдаемая защита информации, так или иначе, является «идеальной». Требованием является лишь
наличие уже функционирующей СМИБ. четкое понимание рисков и воздействий, и план управления
для снижения этих воздействий до приемлемого уровня. На самом деле, в процессе аудита может быть
выявлено ограниченное число неисправностей, которые, в зависимости от их значимости, не помеша ют
успешному проведению сертификации.
Существует также ошибочное мнение, что сертификация требует много времени. Тем не менее,
опыт показывает, что сертификационные аудиты медицинских организаций не занимают у аудитора по
сертификации более 5—6 рабочих дней.
Окончательным независимым аудитом является аудит, проведенный компетентным, независи
мым аудиторским органом в соответствии с руководствами ИСО 27001, как это установлено во многих
странах. Данный вид аудита является наилучшим из перечисленных здесь вариантов, так как он
осу ществляется профессиональным аудитором. Такой аудитор должен также быть компетентен в
области IT и защиты информации. Следовательно, уровень тщательности проведенного аудита и
сравнитель ной оценки методик, которые можно ожидать от такого аудита, высок. Тем не менее, опыт
показывает, что стоимость такого аудита все равно является приемлемой.
Пользователям настоящего международного стандарта, которые решили использовать этот вари
ант. настоятельно рекомендуется привлекать таких аудиторов при запуске своей программы так. чтобы
их поддержка и участие проявлялись постепенно и так. чтобы их окончательное утверждение было
более вероятным, учитывая, что не возникнет никаких «неожиданностей» на заключительном этапе
аудита.
6.7 Улучшение. Обслуживание и улучшение СМИБ
Результаты мониторинга, описанного в 6.6, должны быть переданы ISMF для дальнейшего рас
смотрения. так как именно ISMF отвечает за обеспечение исправления недостатков, и за то. что СМИБ
остается эксплуатационно-эффективным.
SOA. описанное в 6.4.7, может быть эффективным инструментом для информирования лиц. от
ветственных за управление клинической практикой и компанией, о текущем состоянии СМИБ. Формат.
17