Аудит системы управления информационной безопасностью на соответствие стандарту ISO 27001:2013

Казанский национальный исследовательский технический университет им. А.Н. Туполева-КАИ

Институт компьютерных технологий и защиты информации

Кафедра систем информационной безопасности

Курсовая работа

по дисциплине

«Аудит информационной безопасности на предприятии»

на тему

«Аудит системы управления информационной безопасностью на соответствие стандарту ISO 27001:2013»

Выполнила

студентка группы 4406

Казань 2016

Оглавление

Введение. 3

Практические аспекты применения стандарта ISO 27001-2013. 5

Описание организации. 6

Программа аудита. 13

Отчет по аудиту. 27

Выводы по проделанной работе. 33

Список источников и литературы.. 34

Приложение 1. 35

Введение

Для эффективного функционирования любого предприятия требуется постоянный контроль деятельности и взаимодействия всех его подразделений. Особенно это важно при введении новых технологий, средств обработки информации или реорганизации структуры компании. Для проведения качественной и объективной оценки деятельности на предприятии должны проводиться периодические (не менее 1 раза в год) аудиты всей организации, подразделений или отдельных бизнес-процессов. Под аудитом понимают независимый, объективный и документированный процесс получения доказательств соответствия требованиям законодательных актов и внутренних документов. Руководство компании может проводить как внутренний аудит, так и внешний. Внутренний аудит представляет собой непрерывную деятельность, которая осуществляется на основании документа, обычно носящего название “Положение о внутреннем аудите“, и в соответствии с планом, подготовка которого осуществляется подразделением внутреннего аудита и утверждается руководством организации. [3] Внешний аудит проводится независимой лицензированной компанией, привлекаемый по договору об оказании услуг. Результатом любого аудита должен быть подробный отчет о выявленных соответствиях и несоответствиях деятельности предъявленным требованиям с указанием рекомендаций по устранению недостатков.

Целью данной курсовой работы является приведение действующей в ООО «ПО «» (далее ) системы управления информационной безопасности в соответствие требованиям стандарта ISO 27001:2013.

Для достижения данной цели должны быть выполнены следующие задачи:

1.  Определить организационную структуру предприятия, сферу деятельности, предоставляемые услуги, информационные системы и системы информационной безопасности;

2.  Составить программу аудита;

3.  Составить чек-лист аудита;

4.  Провести аудит системы менеджмента информационной безопасности (далее СМИБ) Зарницы в соответствии с составленной программой;

5.  Сформировать аудиторский отчет.

Практические аспекты применения стандарта ISO 27001-2013

Согласно ISACA официальная сертификация на соответствие ИСО 27001 дает независимую гарантию того, что система управления информационной безопасностью организации реализуется и действует в соответствии с авторитетными требованиями международных стандартов. Внедрение ISO 27001 в качестве стандарта организации формально вынуждает организации "навести порядок" своих внутренних процессов, следовать эффективным процедурам и постоянно управлять рисками информационной безопасности.

Настоящий  Международный  стандарт  был  подготовлен  для  реализации  требований  по  созданию, внедрению,  поддержанию  и  постоянному  улучшению  системы  менеджмента  информационной безопасности.  Принятие  системы  менеджмента  информационной  безопасности  является стратегическим  решением  для  организации.  Разработка  и  внедрение  системы  менеджмента информационной  безопасности  организации  зависит  от  потребностей  и  целей  организации, требований  по  безопасности,  существующих  процессов  организации,  размера  и  структуры организации. Все эти факторы влияния, как ожидается, со временем изменяются. [1]

Внедрение ISO 27001 может дать предприятиям преимущество перед конкурентами и возможность предоставлять соответствующую информацию об ИТ-безопасности поставщикам и клиентам, а также может позволить руководству продемонстрировать должную осмотрительность. К тому же это может способствовать эффективному управлению затратами безопасности,  улучшению ИТ-системы информационной безопасности и повышению осведомленности среди сотрудников, клиентов, поставщики и т.д.

Описание организации

Общество с ограниченной ответственностью «Производственное объединение «» (далее ПО «») специализируется на производстве учебного оборудования.

Основные виды деятельности:

1.  Производство оборудования и прочей продукции учебно-лабораторного назначения;

2.  Производство электронных вычислительных машин и прочего оборудования для обработки информации;

3.  Производство и реализация специального оборудования и тренажеров – симуляторов;

4.  Производство стульев и другой мебели для сидения, мебели для офисов и предприятий торговли, кухонной мебели, прочей мебели, офисного оборудования, игр и игрушек, спортивных товаров и музыкальных инструментов;

5.  Оптового-розничная торговля офисной мебелью;