Начало сбора информации (не для информационных технологий)
Ведущий аудитор ИБ должен выделить отдельного аудитора с соответствующим уровнем компетенции и опытом для оценки каждой области ИБ.
Ниже приводятся примерные вопросы, которые могут быть заданы соответствующим сотрудникам организации (список не является исчерпывающим).
А.1 Общая информация
А.1.1 Безопасность, связанная с персоналом
a) Чувствует ли персонал себя ответственным и/или подотчетным за свои действия?
b) Доступны ли на рабочих местах специалисты, обладающие знаниями по безопасности и ИБ, для ответа на вопросы, мотивации персонала и предоставления необходимых инструкций?
c) Являются ли применяемые политики и процедуры четкими, конкретными, измеримыми, приемлемыми, реалистичными и привязанными ко времени?
d) Учитывается ли уровень функциональных знаний при приеме сотрудников на работу?
e) Надежен ли персонал, работающий с конфиденциальной информацией и системами, которые могут поставить под угрозу существование организации?
f) Можно ли полностью доверять персоналу?
g) Как определяется и каким образом измеряется степень доверия?
h) Производится ли оценка анкетно-биографических данных сотрудников?
А.1.2 Политики
a) Стратегическая согласованность
1) Заложены ли в основу политик безопасности коммерческие задачи и общая политика безопасности?
2) Каким образом взаимосвязаны политики в области информационных технологий, кадров и приобретений?
b) Полнота
1) Имеются ли политики информационной безопасности во всех секторах коммерческой деятельности (кадры, физические активы, информационные технологии, продажи, производство, НИОКР, контакты и т.п.)?
2) Являются ли политики достаточно полными и охватывающими вопросы стратегии, тактики и коммерческих операций?
c) Построение
1) Являются ли политики простыми выдержками из стандарта ИСО 27002 или меры обеспечения ИБ и их задачи адаптированы к конкретным условиям?
2) Содержат ли документы политики четкое определение ответственных лиц?
3) Политики или процедуры должны предопределять ожидаемые действия, отвечая на "основополагающие" вопросы: "кто", "когда", "зачем", "что", "где", "каким образом":
- Если лицо, ответственное за выполнение действия, не определено, кто будет достигать поставленных целей?
- Если целевое время (когда) для выполнения действия не определено, будет ли оно начато или закончено в назначенное время?
- Если цель действия не определена (зачем), будет ли действие правильно понято и его важность адекватно рассмотрена?