Чек-лист аудита
|
ID |
Вопрос |
Методика сбора информации |
Ответы |
Доказательство |
|
4. |
Определены ли в организации внешние и внутренние аспекты, которые имеют отношение к ее цели и влияют на ее способность к достижению ожидаемых результатов от СМИБ? |
Интервью |
Да |
Опросный лист Ген. Директор А. Р. |
|
4. |
Определены ли заинтересованные стороны, которые имеют отношение к СМИб? |
Интервью |
Да |
Опросный лист Ген. Директор А. Р. |
|
4. |
Учитывает ли СМИБ характеристики бизнеса, организации, ее расположения, активы и технологии? |
Интервью |
Да |
Опросный лист Ген. Директор А. Р. |
|
4. |
Разработано ли в организации Положение о применимости? |
Интервью |
Нет |
Опросный лист Ген. Директор А. Р. |
|
4. |
Содержит ли Положение о применимости обоснование выбора исключения целей и средств управления из Приложения А стандарта ISO 27001? |
Анализ документов |
Нет |
Положение о применимости |
|
4. |
Был ли издан приказ о формировании и внедрении СМИБ? |
Интервью |
Нет |
Опросный лист Ген. Директор А. Р. |
|
5. |
Приняты ли руководством компании документы по разработке, внедрению, обеспечению функционирования, мониторингу, анализу, поддержке и улучшению СМИБ? |
Анализ документов |
Нет |
Приказы: Формальное утверждение политики СМИБ руководством; Четко определенные роли и сферы ответственности в области информационной безопасности; |
|
5. |
Доступны ли ресурсы необходимые СМИБ? |
Интервью |
Да |
Опросный лист Руководитель отдела ИБ системный администратор Р. |
|
5. |
Разработана ли политика ИБ? |
Интервью |
Да |
Опросный лист Ген. Директор А. Р. |
|
5. |
Совместимы ли цели политики ИБ со стратегическими целями? |
Анализ документов |
Нет |
Политика ИБ, Записи аудитора |
|
5. |
Учитывает ли политика основные характеристики организации? |
Анализ документов |
Нет |
Политика ИБ, Записи аудитора |
|
5. |
Устанавливает ли политика цели, основные направления и принципы деятельности в области информационной безопасности? |
Анализ документов |
Да |
Политика ИБ, Записи аудитора |
|
5. |
Учитывает ли политика бизнес-требования, правовые или другие обязательные требования, а также контрактные обязательства по обеспечению безопасности? |
Анализ документов |
Нет |
Политика ИБ, Записи аудитора |
|
5. |
Согласована ли политика со стратегией менеджмента рисков организации? |
Интервью |
Нет |
Опросный лист Ген. Директор А. Р. |
|
5. |
Пересматривалась ли политика ИБ с момента ее создания? |
Анализ документов |
Нет |
Политика ИБ, Записи аудитора |
|
5. |
Осведомлены ли сотрудники о целях ИБ? |
Интервью |
Нет |
Опросный лист Сотрудник отдела ПО Д. |
|
5. |
Определены ли и документально оформлены в соответствии с политикой ИБ организации роли и ответственность сотрудников, подрядчиков и пользователей третьей стороны по обеспечению безопасности? Четко ли определена в организации вся ответственность в области информационной безопасности? |
Анализ документов |
Нет |
Приказы о возложении отвественности за обеспечение ИБ |
|
6. |
Проводится ли в организации оценка рисков ИБ? |
Интервью |
Нет |
Опросный лист Ген. Директор А. Р. |
|
6. |
Обновлялся ли подход к оценке рисков в организации? |
Интервью |
Нет |
Опросный лист Ген. Директор А. Р. |
|
6. |
Разработан ли в организации План обработки рисков? |
Интервью |
Нет |
Опросный лист Ген. Директор А. Р. |
|
6. |
Существуют ли в организации принятые риски? Формализованы ли они? |
Интервью |
Нет |
Опросный лист Ген. Директор А. Р. |
|
6. |
Знакомы ли Вы с понятием остаточного риска? Одобрены ли Вами остаточные риски ИБ компании? |
Интервью |
Нет |
Опросный лист Ген. Директор А. Р. |
|
6. |
Разработан ли План обработки рисков? |
Интервью |
Нет |
Опросный лист Ген. Директор А. Р. |
|
6. |
Проводятся ли в компании совещания по анализу СМИБ? |
Интервью |
Нет |
Опросный лист Ген. Директор А. Р. |
|
6. |
Находятся ли цели ИБ в соответствии с политикой ИБ? |
Интервью |
Да |
Опросный лист Руководитель отдела ИБ системный администратор Р. |
|
6. |
Разработаны ли планы по достижению целей ИБ? |
Интервью |
Нет |
Опросный лист Руководитель отдела ИБ системный администратор Р. |
|
7. |
Надлежащим ли образом финансируется СМИБ на практике? Достаточно ли средств, выделяемых руководством для решения вопросов информационной безопасности в разумные сроки и на надлежащем уровне качества? |
Интервью |
Да |
Опросный лист Руководитель отдела ИБ системный администратор Р. |
|
7. |
Идентифицированы ли компетенции для персонала, участвующего в процессе СМИБ? |
Интервью |
Нет |
Опросный лист Руководитель отдела ИБ системный администратор Р. |
|
7. |
Проводится ли подготовка персонала и повышение осведомленности в области информационной безопасности? |
Интервью |
Нет |
Опросный лист Руководитель отдела ИБ системный администратор Р., начальник кадрового отдела Пименова А. |
|
7. |
Разработан ли план по повышению квалификации персонала в области ИБ |
Интервью |
Нет |
Опросный лист Руководитель отдела ИБ системный администратор Р., начальник кадрового отдела Пименова А. |
|
7. |
Определены ли необходимые внутренние и внешние коммуникации, относящиеся к СМИБ? |
Интервью |
Нет |
Опросный лист Руководитель отдела ИБ системный администратор Р. |
|
8. |
Выполняются ли запланированные мероприятия для выполнения требований ИБ? |
Анализ документов |
Да |
Планы по внедрению систем безопасности |
|
8. |
Выполняется ли оценка рисков организации через запланированные интервалы времени? |
Интервью |
Нет |
Опросный лист Руководитель отдела ИБ системный администратор Р. |
|
8. |
Реализован ли план обработки рисков? |
Интервью |
Нет |
Опросный лист Руководитель отдела ИБ системный администратор Р. |
|
9. |
Проводились ли в организации внутренние аудиты СМИБ. |
Интервью |
Нет |
Опросный лист Руководитель отдела ИБ системный администратор Р. |
|
10. |
Разработан ли план по реагированию на инциденты в ИБ? |
Интервью |
Нет |
Опросный лист Руководитель отдела ИБ системный администратор Р. |
|
10. |
Сохранены ли документы о произошедших инцидентах и корректирующих действиях? |
Интервью |
Да |
Опросный лист Руководитель отдела ИБ системный администратор Р. |
|
А 6.1.5 |
Разработаны ли в организации регламенты по обеспечению ИБ при управлении проектами? |
Интервью |
Нет |
Опросный лист Руководитель НТЦ Садовников А. |
|
А 6.1.5 |
Донесено ли содержание регламентов до всех сотрудников, учавствующих в реализации проектов. |
Интервью |
Нет |
Опросный лист Руководитель НТЦ Садовников А. |
|
А 7.2.1 |
Проводит ли менеджемент мероприятия по повышению осведомленности сотрудников в сфере ИБ? |
Интервью |
Нет |
Опросный лист Тим лидер команды Форсаж Хасанов Д. |
|
А 7.2.1 |
Проводит ли менеджмент беседы при выявлении нарушений/инцидентов? |
Интервью |
Да |
Тим лидер команды Форсаж Хасанов Д. |
|
А 7.2.3 |
Установлен ли формализованный дисциплинарный процесс для сотрудников, нарушивших требования безопасности? |
Интервью |
Да |
Опросный лист, Начальник отдела ПО В., разработчик Д. |
|
А 7.2.3 |
Предпринимались ли меры согласно данному процессу к нарушителям ИБ? |
Интервью |
Да |
Опросный лист, Начальник отдела ПО В., сотрудник отдела ПО Д. |
|
А 7.3.1 |
Разработано ли соглашение о конфиденциальности? |
Интервью |
Да |
Опросный лист Сотрудник отдела ПО Д. |
|
А 7.3.1 |
Осведомлены ли сотрудники, что после увольнения, на них остается ответственность за разглашение конфиденциальной информации? |
Интервью |
Да |
Опросный лист Сотрудник отдела ПО Д. |
|
А 8.3.1 |
Существует ли в организации схема классификации носителей информации? Разработана ли и внедрена совокупность процедур маркировки и обращения с информацией в соответствии с принятой в организации схемой классификации? |
Интервью |
Нет |
Опросный лист Системный администратор А. |
|
А 8.3.2 |
Существуют ли процедуры по утилизации носителей? Все ли компоненты оборудования, содержащие носители данных, проверяются, чтобы обеспечить, что любые конфиденциальные данные и лицензионное программное обеспечение были удалены или безопасно замещены другими данными до утилизации? |
Интервью |
Нет |
Опросный лист Системный администратор А. |
|
А 8.3.3 |
Существуют ли процедуры по транспортировке носителей? Защищены ли носители, содержащие информацию, от несанкционированного доступа, ненадлежащего использования или повреждения при транспортировании за пределами территории организации? |
Интервью |
Нет |
Опросный лист Системный администратор А. |
|
А 9.1.2 |
Принята ли в организации политика, касающаяся использования сетей и сетевых услуг? |
Интервью, Прослеживание процесса |
Да |
Опросный лист Системный администратор А., Записи аудитора |
|
А 9.2.2 |
Внедрен ли в организации формализованный процесс инициализации доступа? |
Интервью, Прослеживание процесса |
Да |
Опросный лист Системный администратор А., Записи аудитора |
|
А 9.2.6 |
Существуют ли формализованные процедуры пересмотра прав доступа? |
Интервью |
Да |
Опросный лист Системный администратор А. |
|
A.9.4.3 |
Автоматизирован ли процесс генерации паролей? |
Интервью |
Нет |
Опросный лист Системный администратор А. |
|
A.9.4.3 |
Придерживаются ли пользователи надлежащих практик безопасности при выборе и использовании паролей? |
Интервью |
Да |
Программист Д. |
|
А 11.1.1 |
Определены ли периметры физической безопасности и применена ли защита зон, которые содержат чувствительную, критическую информацию или средства обработки информации. |
Наблюдение |
Да |
Фотографии, Заметки аудитора |
|
А 11.1.2 |
Защищены ли зоны безопасности соответствующими средствами управления, чтобы доступ был разрешен только уполномоченному персоналу? |
Наблюдение, самостоятельное выполнение операции |
Да |
Фотографии, Заметки аудитора |
|
А 11.1.3 |
Внедрена ли физическая безопасность для помещений? |
Наблюдение |
Да |
Фотографии, Заметки аудитора |
|
А 11.2.9 |
Внедрена ли Политика чистого рабочего стола и Политика чистого экрана? |
Интервью, наблюдение. |
Нет |
Опросный лист Сотрудник отдела ПО Д., Фотографии |
|
А 12.2.1 |
Применяются ли средства управления для обнаружения, предотвращения и восстановления в целях защиты от вредоносного кода, а также соответствующие процедуры обеспечения осведомленности пользователей? |
Интервью, анализ документов |
Нет |
Опросный лист Системный администратор А, Выгрузки из антивирусного ПО, Регламент обновления вирусной базы |
|
А 12.6.2 |
Применяются ли процедуры для управления установкой программного обеспечения в операционных системах? |
Интервью |
Нет |
Опросные листы Системный администратор А., сотрудник отдела ПО Д. |
|
А 13.2.4 |
Определяются ли и регулярно анализируются требования к конфиденциальности или соглашения о неразглашении информации в соответствии с потребностями организации в защите информации? |
Интервью, анализ документов |
Нет |
Опросный лист Начальник отдела ПО В., Договор о коммерческой тайне |
|
А 14.2.1 |
Разработана ли политика безопасности при разработке программного обеспечения? |
Интервью |
Нет |
Опросный лист Начальник отдела ПО В. |
|
А 14.2.1 |
Доступна ли она для сотрудников отдела ПО? |
Интервью |
Нет |
Опросный лист Начальник отдела ПО В. |
|
А 18.1.2 |
Внедрены ли соответствующие процедуры для применения требований относительно использования материалов с учетом прав интеллектуальной собственности? |
Интервью, анализ документов |
Да |
Опросный лист Начальник отдела ПО В., Процедуры, договоры о коммерческой тайне |
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.