Правила проведения внутреннего аудита информационной безопасности информационной системы «Система экстренного вызова при авариях и катастрофах на базе технологий gps/глонасс, umts/gsm»
Обработка и анализ результатов аудита
жүктеу/скачать 82,41 Kb.
|
- Бұл бет үшін навигация:
- Составление и утверждение отчёта о результатах внутренней проверки
Обработка и анализ результатов аудита50. Члены рабочей группы проводят оценку проделанной работы и выявленных несоответствий и уведомлений, с целью представления и разъяснения результатов внутреннего аудита. 51. При вынесении заключения аудита констатируется, достигнуты ли цели аудита в соответствии с его планом. Составление и утверждение отчёта о результатах внутренней проверки52. По результатам внутреннего аудита руководитель группы составляет отчёт. Информация, необходимая для отражения в отчете приведена в приложении 5 к Правилам. 53. Отчет должен содержать полную, точную и однозначно понимаемую информацию по проведенному аудиту. Этот отчет является систематизированной информацией по степени выполнения требований ТД по ИБ. 54. В течении двух недель после проведения ВА, руководитель группы аудиторов направляет руководству Оператора отчет для согласования и дальнейшего утверждения. После утверждения отчет доводится до сведения руководителей подразделений, участвовавших в аудите, для сведения и разработки корректирующих действий (при необходимости). 55. В целях устранения выявленных несоответствий разрабатывается План корректирующих действий, утверждаемый руководителем Оператора. 56. План корректирующих действий составляется в произвольной форме, но должен содержать следующую информацию:
выявленное несоответствие; действия по его устранению; срок исполнения; ответственный работник. 57. Отчет об исполнении Плана корректирующих действий представляется руководителю Оператора, на утверждение не позднее 5 рабочих дней, следующих за отчетной датой. Утвержденный Отчет доводится до сведения руководителя группы ВА в течение трех рабочих дней с даты утверждения. 58. В случае невозможности устранения выявленных несоответствий руководитель подразделения Оператора, отвечающий за функционирование ИС ЭВАК готовит служебную записку на имя руководителя Оператора или лица, его замещающего, с подробным обоснованием причин невозможности устранения несоответствий, а также предложений по внесению корректировок в ТД по ИБ и/или существующие бизнес-процессы для корректировки. После получения резолюции на служебную записку руководитель аудируемого подразделения Оператора доводит ее до сведения руководителя группы ВА. 59. Если в результате ВА выявляется, что существующий подход по управлению ИБ является недостаточным или не соответствует принципам информационной безопасности, определенным в Политике ИБ ИС ЭВАК, руководством Оператора предпринимаются корректирующие действия, а именно инициируется: - пересмотр Политики ИБ ИС ЭВАК; - пересмотр ТД по ИБ; - пересмотр процессов и процедур обеспечения ИБ ИС ЭВАК. жүктеу/скачать 82,41 Kb. Достарыңызбен бөлісу:
|