Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Национальный стандарт РФ ГОСТ Р ИСО/МЭК 27006-2008 "Информационная технология. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 18 декабря 2008 г. N 524-ст) (документ утратил силу)
- Приложение В (справочное)/ Примерные области компетентности аудитора
Приложение В (справочное)/ Примерные области компетентности аудитора
Приложение В
(справочное)
Примерные области компетентности аудитора
В.1 Общая оценка компетентности
Существует несколько способов, с помощью которых аудитор может продемонстрировать свои знания и опыт, например, посредством использования общепризнанных квалификаций, регистрации под IRCA или любой другой признанной формы регистрации аудитора. Требуемый уровень компетентности для аудиторской группы должен быть установлен, согласуясь с промышленной/технологической областью организации и фактором сложности.
В.2 Специфическая оценка компетентности
В.2.1 Знание мер управления из приложения А ИСО/МЭК 27001:2005
Ниже изложены типовые вопросы проведения аудита СМИБ. Кроме знания мер управления из приложения А ИСО/МЭК 27001:2005, которые перечислены ниже, аудиторы должны быть осведомлены о других стандартах из серии ИСО/МЭК 27000.
Таблица В.1 - Меры управления
|
Типовые вопросы аудита |
Источники, определяющие меры управления |
|
Знание и опыт в политиках и требованиях деловой деятельности к информационной безопасности |
Политика безопасности |
|
Общее знание и опыт в бизнес-процессах, практиках и организационных структурах |
Организация информационной безопасности |
|
Знание оценки активов, материально-производственных запасов, классификаций и приемлемого использования политик |
Управление активами |
|
Общее знание и опыт в процессах и процедурах, используемых департаментами трудовых ресурсов |
Безопасность трудовых ресурсов |
|
Знание физической безопасности окружающей среды |
Физическая безопасность и безопасность окружающей среды |
|
Знание новейших стандартов, процессов, техник и методов, использованных для информационной безопасности, включая мероприятия менеджмента, а также наличие соответствующего уровня и опыта проведения технической экспертизы. Это включает в себя современные знания некоторых общих практик бизнеса |
Управление коммуникациями и операциями Управление доступом Приобретение, разработка и обслуживание информационных систем |
|
Современные знания и опыт в процессах и процедурах менеджмента инцидентов |
Менеджмент инцидентов информационной безопасности |
|
Современные знания и опыт в стандартах, процессах, планах и методах испытаний непрерывности бизнеса |
Управление непрерывностью бизнеса |
|
Современное знание вопросов контрактов бизнеса и общих законов и положений, связанных со СМИБ |
Соответствие |
В.2.2 Типичные знания, связанные с системой менеджмента информационной безопасности
Аудиторы должны знать и понимать следующие процессы проведения ауд