50. Члены рабочей группы проводят оценку проделанной работы и выявленных несоответствий и уведомлений, с целью представления и разъяснения результатов внутреннего аудита.
51. При вынесении заключения аудита констатируется, достигнуты ли цели аудита в соответствии с его планом.
Составление и утверждение отчёта о результатах внутренней проверки
52. По результатам внутреннего аудита руководитель группы составляет отчёт. Информация, необходимая для отражения в отчете приведена в приложении 5 к Правилам.
53. Отчет должен содержать полную, точную и однозначно понимаемую информацию по проведенному аудиту. Этот отчет является систематизированной информацией по степени выполнения требований ТД по ИБ.
54. В течении двух недель после проведения ВА, руководитель группы аудиторов направляет руководству Оператора отчет для согласования и дальнейшего утверждения. После утверждения отчет доводится до сведения руководителей подразделений, участвовавших в аудите, для сведения и разработки корректирующих действий (при необходимости).
55. В целях устранения выявленных несоответствий разрабатывается План корректирующих действий, утверждаемый руководителем Оператора.
56. План корректирующих действий составляется в произвольной форме, но должен содержать следующую информацию:
выявленное несоответствие;
действия по его устранению;
срок исполнения;
ответственный работник.
57. Отчет об исполнении Плана корректирующих действий представляется руководителю Оператора, на утверждение не позднее 5 рабочих дней, следующих за отчетной датой. Утвержденный Отчет доводится до сведения руководителя группы ВА в течение трех рабочих дней с даты утверждения.
58. В случае невозможности устранения выявленных несоответствий руководитель подразделения Оператора, отвечающий за функционирование ИС ЭВАК готовит служебную записку на имя руководителя Оператора или лица, его замещающего, с подробным обоснованием причин невозможности устранения несоответствий, а также предложений по внесению корректировок в ТД по ИБ и/или существующие бизнес-процессы для корректировки. После получения резолюции на служебную записку руководитель аудируемого подразделения Оператора доводит ее до сведения руководителя группы ВА.
59. Если в результате ВА выявляется, что существующий подход по управлению ИБ является недостаточным или не соответствует принципам информационной безопасности, определенным в Политике ИБ ИС ЭВАК, руководством Оператора предпринимаются корректирующие действия, а именно инициируется:
- пересмотр Политики ИБ ИС ЭВАК;
- пересмотр ТД по ИБ;
- пересмотр процессов и процедур обеспечения ИБ ИС ЭВАК.
Достарыңызбен бөлісу: | 
