3. Открытие аудита – 9.00 22.03.2016 г.
4. Аудит – 9.00 23.03.2016 – 18.00 25.03.2016
5. Совещание аудиторской группы – 9.00 28.03.2016
6. Предоставление отчета по аудиту – 12.00 29.03.2016
7. Закрытие аудита – 12.00 30.03.2016
Обязанности членов аудиторской группы
1. Лица, участвующие в проведении аудита, должны выполнять обязанности (нести ответственность) в соответствии с лучшими практиками по аудиту.
План аудита
|
ID аудируемого показателя |
Название аудируемого показателя |
Методика оценки |
Представители аудируемой области |
Дата |
|
Вступительное совещание |
Руководитель отдела ПО |
09.00 23.03.2016 |
||
|
4. |
Контекст организации, область применения и границы распространения СМИБ. |
Интервью, Анализ документов |
Ген. Директор А. Р. |
10.00 23.03.2016 |
|
5. |
Лидерство |
Интервью, Анализ документов |
Ген. Директор А. Р., Начальник отдела ПО В. |
11.30 23.03.2016 |
|
6. |
Планирование (Действия по обработке рисков, Цели ИБ) |
Интервью, анализ документов |
Ген. Директор А. Р., Руководитель отдела ИБ системный администратор Р. |
12.30 23.03.2016 |
|
7. |
Поддержка (Ресурсы, Компетенции, Осведомленность, Коммуникации, Документация) |
Интервью |
Руководитель отдела ИБ системный администратор Р. |
15.00 23.03.2016 |
|
8. |
Эксплуатация |
Анализ документов |
9.00 24.03.2016 |
|
|
9. |
Оценка результативности |
Анализ документов |
10.00 24.03.2016 |
|
|
10. |
Улучшение |
Анализ документов |
10.30 24.03.2016 |
|
|
А 6.1.5 |
Выяснить как реализуется информационная безопасность при управлении проектами |
Интервью, Анализ документов |
Руководитель НТЦ Садовников А. |
11.30 24.03.2016 |
|
А 7.2.1 |
Выяснить как менеджмент контролирует соблюдение правил информационной безопасности в соответствии с установленными политиками и процедурами организации. |
Интервью |
Начальник отдела ПО В., Тим лидер команды Форсаж Хасанов Д. |
12.30 24.03.2016 |
|
Обед |
||||
|
А 7.2.3 |
Выяснить существует ли формализованный дисциплинарный процесс, известный персоналу, на основании которого предпринимаются меры в отношении сотрудников, совершивших нарушение в поле информационной безопасности. |
Интервью, Анализ документов |
Начальник отдела ПО В., сотрудник отдела ПО Д. |
14.00 24.03.2016 |
|
А 7.3.1 |
Выяснить осведомленность сотрудников об ответственности и обязанностях в поле информационной безопасности, которые остаются в силе после увольнения или изменения профессиональных обязанностей. |
Интервью |
Сотрудник отдела ПО Д. |
14.30 24.03.2016 |
|
А 8.3.1 |
Выяснить наличие схемы классификации носителей информации и процедур управления ими. |
Интервью |
Системный администратор А. |
15.30 24.03.2016 |
|
А 8.3.2 |
Выяснить наличие документированных процедур по утилизации носителей информации. |
Интервью |
Системный администратор А. |
15.50 24.03.2016 |
|
А 8.3.3 |
Выяснить наличие документированных процедур по транспортировке носителей информации. |
Интервью |
Системный администратор А. |
16.00 24.03.2016 |
|
А 9.1.2 |
Изучить процесс доступа к сетевым сервисам компании. |
Интервью, Прослеживание процесса |
Системный администратор А. |
16.10 24.03.2016 |
|
А 9.2.2 |
Рассмотреть процесс инициализации прав доступа пользователя. |
Прослеживание процесса |
Системный администратор А. |
16.30 24.03.2016 |
|
А 9.2.6 |
Ознакомиться с процедурами удаления или изменения прав доступа и их выполнением. |
Интервью |
Системный администратор А. |
17.00 24.03.2016 |
|
A.9.4.3 |
Ознакомиться с процедурами генерации и выдачи паролей. |
Интервью |
Системный администратор А. |
17.30 24.03.2016 |
|
А 11.1.1 |
Изучить меры защиты зон, которые содержат чувствительную, критическую информацию или средства обработки информации. |
Наблюдение |
9.00 25.03.2016 |
|
|
А 11.1.2 |
Изучить механизмы управления физическим доступом. |
Наблюдение, самостоятельное выполнение операции |
9.20 25.03.2016 |
|
|
А 11.1.3 |
Изучить элементы физической безопасности помещений. |
Наблюдение |
9.40 25.03.2016 |
|
|
А 11.2.9 |
Выяснение осведомленности сотрудников о политиках чистого рабочего стола и экрана. |
Интервью, наблюдение. |
Сотрудник отдела ПО Д. |
10.00 25.03.2016 |
|
А 12.2.1 |
Рассмотреть меры защиты от вредоносного ПО |
Интервью, анализ документов |
Системный администратор А. |
11.00 25.03.2016 |
|
А 12.6.2 |
Выяснить наличие правил ограничений на установку ПО |
Интервью |
Системный администратор А., сотрудник отдела ПО Д. |
11.30 25.03.2016 |
|
А 13.2.4 |
Выяснить наличие соглашения о неразглашении информации |
Интервью, анализ документов |
Начальник отдела ПО В. |
12.30 25.03.2016 |
|
Обед |
||||
|
А 14.2.1 |
Выяснить наличие и изучить политику безопасности при разработки ПО |
Интервью, анализ документов |
Начальник отдела ПО В. |
14.00 25.03.2016 |
|
А 18.1.2 |
Изучить вопрос о праве интеллектуальной собственности |
Интервью, анализ документов |
Начальник отдела ПО В. |
15.00 25.03.2016 |
|
Заключительное совещание |
Руководитель отдела ПО |
09.00 28.03.2016 |
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.