Заключение аудита: поставленная цель по проведению аудита на соответствие ИСО 27001-2013 в компании ООО «Производственное объединение «» была достигнута в поставленные сроки. Было выявлено, что информационная безопасность в организации развита очень формально, следует уделять ей больше внимания и подводить под интересы и цели бизнеса. Особенно критичными и слабыми зонами являются:
· Управление рисками ИБ;
· Управление проектами;
· Разработка ПО.
Отсутствие управления ИБ в данных областях может привести к нарушению актуальности информации, потере данных или нарушению непрерывности бизнеса, что грозит не только финансовыми потерями, но и ухудшением репутации компании.
В ходе проведенного аудита удалось более детально рассмотреть аспекты безопасности и соотвествия требованиям ISO 27001 компании ООО «ПО «». На практике удалось провести наблюдение за физической безопасностью отдела ПО, узнать осведомленность сотрудников в различных аспектах ИБ. Хотелось бы проанализировать документы по безопасности, но почти все они отсутствуют в компании либо разработаны очень формально.
Для определения контекста компании и оценки рисков была рассмотрена организационная структура и основные виды деятельности организации. Оценка рисков позволила увидеть наиболее критичные области: разработка ПО, защита интеллектуальной собственности, взаимодействие с заказчиком.
Далее в соответствии с выявленными рисками и основными требованиями ИСО 27001 по управлению СМИБ был составлен план проведения аудита. Для его составления были предварительно определены сотрудники, которые предоставят необходимую информацию и будут интервьюироваться.
Для выполнения поставленных задач аудита был составлен чек-лист, который позволил оценить соответствие требованиям ИСО СМИБ компании «ПО «» путем ответа на вопросы.
Далее на основании полученных результатов были выявлены несоответствия и разработаны рекомендации по их устранению.
1. ISO 27001-2013 “Information technology — Security techniques — Information security management systems —Requirements”, 2013 г.;
2. IS Audit and Assurance Standard 1201 Engagement Planning, ISACA, 2014 г.;
3. IS Audit and Assurance Guideline 2201 Engagement Planning, ISACA, 2014 г.;
4. IS Audit and Assurance Standard 1204 Materiality, ISACA, 2014 г.;
5. IS Audit and Assurance Guideline 2204 Materiality, ISACA, 2014 г.;
6. IS Audit and Assurance Standard 1205 Evidence, ISACA, 2014 г.;
7. В.В. Аксёнов, Аудит системы менеджмента информационной безопасности;
8. Н. Куканова, Практические аспекты применения международного стандарта безопасности информационных систем iso 27001:2005: Журнал «Защита информации. Инсайд», URL: http://www.inside-zi.ru/pages/1_2007/42.html, 2007 г.;
9. А. Захаров, Как оценить риски информационной безопасности: Jet Info №3, URL: http://www.jetinfo.ru/stati/risk-delo-popravimoe, 2015 г.
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.