Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 27007-2014 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Руководства по аудиту систем менеджмента информационной безопасности

     6.4 Проведение аудита

6.4.1 Общие положения

Применять руководство пункта 6.4.1 ИСО 19011:2011.

6.4.2 Проведение предварительного совещания

Применять руководство пункта 6.4.2 ИСО 19011:2011.

6.4.3 Выполнение анализа документов во время проведения аудита

Применять руководство пункта 6.4.3 ИСО 19011:2011. Дополнительно применять приведенное ниже руководство, ориентированное на СМИБ.

6.4.3.1 ИБ 6.4.3 Выполнение анализа документов во время проведения аудита

Аудиторы должны проверить наличие документации и ее соответствие требованиям ИСО/МЭК 27001.

Аудиторы должны подтвердить, что выбранные меры и средства контроля и управления связаны с результатом процесса оценки и обработки риска и могут быть впоследствии прослежены до политики и целей СМИБ.

Примечание - В приложении А настоящего стандарта представлено руководство по проведению аудита процессов СМИБ и документации СМИБ.

6.4.4 Обмен информацией в процессе проведения аудита

Применять руководство пункта 6.4.4 ИСО 19011:2011.

6.4.5 Роль и обязанности сопровождающих лиц и наблюдателей

Применять руководство пункта 6.4.5 ИСО 19011:2011.

6.4.6 Сбор и верификация информации

Применять руководство пункта 6.4.6 ИСО 19011:2011. Дополнительно применять приведенное ниже руководство, ориентированное на СМИБ.

6.4.6.1 ИБ 6.4.6 Сбор и верификация информации

Сбор информации и свидетельств о реализации и эффективности процессов СМИБ, а также о мерах и средствах контроля и управления является важной частью аудита СМИБ. Возможные методы сбора соответствующей информации во время аудита включают:

a) проверку информационных активов и процессов СМИБ, а также мер и средств контроля и управления, реализуемых для них;

b) использование автоматизированных инструментальных средств аудита.

Примечание - В приложении А настоящего стандарта представлено руководство по проведению аудита процессов СМИБ.


Аудиторы СМИБ должны обеспечивать надлежащее обращение со всей информацией, полученной от проверяемой организации в соответствии с соглашением между проверяемой организацией и аудиторской группой.

6.4.7 Формирование выводов аудита

Применять руководство пункта 6.4.7 ИСО 19011:2011.

6.4.8 Подготовка заключений по результатам аудита

Применять руководство пункта 6.4.8 ИСО 19011:2011.

6.4.9 Проведение заключительного совещания

Применять руководство пункта 6.4.9 ИСО 19011:2011.