21. Этапы планирования:
назначение руководителя группы аудиторов;
уточнение состава группы аудиторов из числа работников Оператора, установление ролей и обязанностей для выполнения и использования результатов внутреннего аудита ИБ;
разработка Программы внутреннего аудита ИБ, содержащего описание цели, критериев и объема аудита (приложение 2 к Правилам);
обеспечение группы аудиторов необходимой документацией и формами;
проверку выполнения и результативности корректирующих действий предыдущих аудитов и дополнение разрабатываемого плана внутреннего аудита по результатам этой проверки (при наличии).
22. Руководителем аудиторской группы назначается работник ИБ. Работник ИБ несет ответственность за все этапы аудита.
23. Состав группы внутренних аудиторов утверждается и согласовывается с:
руководством Оператора;
руководителем подразделения Оператора, обеспечивающим функционирование ИС ЭВАК.
24. Аудиторы выбираются исходя из принципов:
- аудитор не должен проверять своего непосредственного начальника;
- лицо(а), выполняющий аудит, должен быть независимым от проверяемой деятельности.
25. При определении размера и состава группы аудиторов для проведения ВА учитывается компетентность проверяющей группы, в основе которой лежит уровень квалификации ее участников.
26. Производится распределение ролей и обязанностей между членами аудиторской группы. Формируются основные группы, непосредственно занимающиеся аудитом (проверкой) знаний работников и выполнений ими требований нормативных документов по ИБ и непосредственно аудитом нормативных документов, определяющих ИБ ИС ЭВАК.
27. В Программу проведения внутреннего аудита ИБ входит:
1) цель внутреннего аудита ИБ;
2) объекты и деятельность, подвергающиеся внутреннему аудиту ИБ;
3) даты и продолжительность проведения внутреннего аудита ИБ;
4) порядок и сроки выполнения мероприятий по анализу документов;
5) порядок и сроки выполнения мероприятий по подготовке отчета внутреннего аудита ИБ.
28. Программа проведения ВА согласовывается со всеми заинтересованными сторонами и утверждается руководством Оператора.
29. Группа аудиторов обеспечивается рабочими местами, всей необходимой НТД (политика, НТД, акты, протоколы, договора и пр.).
30. Аудиторской группой производится проверка предыдущих отчетов аудита, выявление факта корректировки, указанных в этих отчетах замечаний и предложений (при наличии).
31. Если указанные замечаний предыдущих отчетов не устранены и отсутствуют адекватные обоснования невыполнения корректировки, такие замечания фиксируются повторно.
32. В целях … аудиторская группа может руководствоваться методическими рекомендациями по проведению аудита ИБ (приложение 3 к Правилам).
Достарыңызбен бөлісу: |