Рубрикатор |
Блоги | Андрей ПРОЗОРОВ |
СУИБ: Рекомендации по подготовке и прохождению сертификационного аудита
11 апреля 2019 |
В прошлый раз я публиковал рекомендации по внедрению СУИБ, а сейчас хочу
поделиться своими мыслями про подготовку и прохождение
сертификационного аудита. Держите!
1. Выберите хороший орган по сертификации. Мне понравилось работать с BSI и Bureau Veritas.
2. Постарайтесь сделать
(запланировать) так чтобы между первой стадией аудита (анализ
документации) и второй (анализ процессов) у вас был запас времени в
несколько недель. В прошлый раз у нас был месяц, мы успели поправить и
устранить несколько потенциальных несоответствий.
3. Помните, что аудиторы в первую
очередь будут смотреть Процедуры (и Записи, подтверждающие их
выполнение), а не Политики/Стандарты. Основная задача показать
аудиторам, что СУИБ управляема и постоянно совершенствуется.
4. Внимательно изучите ISO 27006 и
ISO 27007 чтобы понимать, что будут смотреть аудиторы и как будут
проверять. Об этом писал тут - http://80na20.blogspot.com/2018/11/iso-27001.html
5. Изучите и поработайте с подробным чек-листом «Подготовка к внешнему аудиту ИБ», который я недавно выкладывал - http://80na20.blogspot.com/2019/02/blog-post.html
6. Когда получите план аудита, то
расширьте его поименным перечнем ответственных лиц со стороны вашей
организации и утвердите его внутренним приказом. Перечень лиц согласуйте
заранее с непосредственными руководителями.
7. Полезно сделать отдельную
папку с копиями документов и записей, которые вы будете показывать на
аудите (но вы все равно должны знать где хранятся оригиналы). Рекомендую
документы из doc перевести в формат pdf. Также рекомендую в названии
указывать «copy» (особенно для больших экселек)
8. Моя структура папки для аудита такая:
• 00. Context
• 01. IS Committee + Orders
• 02. ISMS Policy and Plan
• 03. Document and Records Management
• 04. Risk Management
• 05. IS Awareness and HR
• 06. IS Audits
• 07. Incident Management
• 08, ISMS Monitoring, Measurement and Review
• 09. Corrective Actions and Non-Conformity Management
• 10. BCM
• 11. Supplier Relationships
• 12. Information Classification and Handling
• All Standards and Procedures
• By Data Center
• For audit
9. Обязательно проверьте наличие
проставленных версий и дат утверждения документов и записей. Желательно
показать аудитору, что все документы СУИБ актуальные (срок их пересмотра
еще не пришел), а некоторые документы были обновлены. Если у всех наших
документов ревизия 1 – это наталкивает на мысль о плохом внедрении
документов и процессов…
10. Большую часть документов вы
будете показывать на месте во время аудита, но некоторые у вас запросят.
В прошлый раз мы передавали аудитору следующие:
• Копия Устава организации;
• Копия лицензии на вид деятельности;
• Копия документа о регистрации организации;
• Структурная схема организации с подразделениями, включенными в сферу сертификации;
• Перечень законодательных и нормативных требований, применимых к деятельности организации;
• Перечень документов организации по информационной безопасности;
• Копия Заявления о применимости (SoA);
• Письмо на имя руководителя аудита с указанием:
- наименования организации (русский и английский язык),
- адреса организации (русский и английский язык),
- области сертификации (русский и английский язык),
- количества сертификатов (обычно
в стоимость аудита включен один сертификат на русском языке и один
сертификат на английском языке).
11. В целом, постарайтесь
ограничиться в передаче документов аудиторам, лучше их показывать на
своей площадке и на своем оборудовании.
12. Что будут смотреть особенно пристально:
• Описание (границы) области сертификации;
• Описание ролей и ответственности;
• Перечень активов;
• Отчеты по рискам;
• Отчеты по аудитам;
• Отчеты по измерениям ИБ;
• Процедуру предоставления и изменения прав доступа;
• BCP / DRP;
• Отчеты о тестировании резервного копирования и восстановления;
• Отчеты о тестировании BCP / DRP.
13. Если что-то не успели сделать
/ внедрить до аудита, то задокументируйте План этих действий… Это может
помочь избежать несоответствий.
14. За пару дней до аудита
напишите на всех сотрудников письмо о том, что будет проходить аудит,
что стоит вспомнить основные положения документов СУИБ и постараться во
время аудита «не косячить» хотя бы с выполнением политики чистых столов и
экранов.
15. За 1-2 дня до аудита
проведите совещание – инструктаж сотрудников, которых будут
интервьюировать в ходе аудита. Обсудите план аудита, возможные вопросы и
желательные ответы, сильные и слабые стороны, правила взаимодействия с
аудиторами и прочее. Разошлите участникам краткую памятку про СУИБ (у
нас она в виде презентации).
16. Важная мысли, стратегия общения с аудиторами: не спрашивают – не говорить, не просят – не показывать…
17. Довольно странно будет
выглядеть, если вы на аудит привлечете еще и консультантов, которые вам
помогали внедрять СУИБ. Вы что, не знаете свои процессы и документы?
Может вы их плохо внедрили?
18. Перед аудитом пройдите и
осмотрите все помещения, особое внимание уделите общим местам (коридоры,
переговорные комнаты, помещение с МФУ и пр.). Сейфы и запираемые шкафы
должны быть заперты, оставленных ключей быть не должно, документы
(особенно с пометками о конфиденциальности) должны быть убраны,
использованные листы на флипчатах должны быть утилизированы, маркерные
доски – почищены.
19. Сделайте большую вводную презентацию про компанию и СУИБ, которую будете показывать аудитору. Отразите в ней:
• Правильное наименование организации (юридическое);
• Адрес;
• Веб-сайт;
• Краткое описание компании (чем вы занимаетесь?);
• Структура управления компанией;
• Основные заинтересованные стороны и их ожидания;
• Основные требования к СУИБ;
• Scope СУИБ;
• Политика СУИБ;
• Цели СУИБ;
• Ключевые вехи и события СУИБ;
• Команда ИБ (лучше с фото);
• Перечень документов СУИБ;
• Перечень процессов СУИБ;
• Результаты прошлых аудитов и перечень открытых NCR.
20. Будьте добры и заботливы к аудиторам, организуйте им комфортную среду для работы. Запланируйте и организуйте для них:
• Пропуск на территорию;
• Постоянное сопровождение;
• Парковку (при необходимости);
• Переговорные комнаты;
• WiFi;
• Воду, чай/кофе, легкие закуски;
• Обед (от ужина аудиторы обычно отказываются);
• Переводчика (при необходимости);
• Трансфер (при необходимости).
21. Хорошая практика –
присутствие представителя руководства на первом вводном и заключительном
совещаниях. Чем выше будет его уровень, тем лучше.
22. Ведите заметки во время аудита, от хорошего аудитора можно получить много полезных идей…
23. Что необходимо посмотреть и проверить в отчете аудитора, который вы получите:
• Наименование и адрес организации;
• Даты аудита;
• Область действия СУИБ;
• Список несоответствий;
• Наименования и версии документов СУИБ;
• Рекомендации по улучшению.
24. Несущественные несоответствия можно будет закрыть планом, реализацию которого проверят через год в ходе надзорного аудита.
25. При выявлении существенных несоответствий у вас будет 90 дней на их исправление.
26. В целом, выявленные несоответствия можно попробовать оспорить…
Успешного аудита!
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.