СТ РК 34.030-2008
Информационная технология
Аудит систем управления информационной безопасностью организации
Содержание
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Область применения СУИБ
5. Оценка выполнения требований стандарта СТ РК ИСО/МЭК 27001
6. Аудит целей и средств управления, предусмотренных стандартом СТ РК ИСО/МЭК 27001
Приложение. Библиография
Введение
Настоящий стандарт ориентирован, в основном, на сотрудников организации, ответственных за внедрение информационной безопасности, таких, как специалистов по информационной безопасности, а также лиц, занимающихся оценкой уже внедренных средств управления СТ РК ИСО/МЭК 27001-2008, например, для проверки степени соответствия этому стандарту, либо в целях внутреннего аудита. Руководство также может быть полезным для разработчиков в процессе настройки систем управления информационной безопасности (СУИБ) и внутренних аудиторов, проводящих оценку.
1. Область применения
Настоящий стандарт предназначен для использования в организациях, желающих самостоятельно проверить, соответствует ли их система управления информационной безопасностью (СУИБ) стандарту СТ РК ИСО/МЭК 27001:2005, и призван помочь организациям в подготовке к сертификации на соответствие стандарту СТ РК ИСО/МЭК 27001, Проверки на соответствие рекомендуется проводить под наблюдением сотрудника организации, ответственного за информационную безопасность, или силами собственных аудиторов.
Цель настоящего стандарта - предоставить организациям возможность оценить степень соответствия их СУИБ требованиям стандарта СТ РК ИСО/МЭК 27001. В настоящем стандарте приведена информация по подготовке и выполнению проверки на соответствие стандарту. Проверка на соответствие представляет собой заполнение анкеты.
Фактическая проверка описана в разделах 5 и 6 данного стандарта:
- Раздел 5 Оценка выполнения требований стандарта СТ РК ИСО/МЭК 27001 - данная анкета позволяет проверить соответствие состояния организации в области информационной безопасности.
- Раздел 6 Аудит целей и средств управления, предусмотренных стандартом СТ РК ИСО/МЭК 27001.
Настоящий стандарт призван помочь организациям в проведении проверки их СУИБ на соответствие требованиям стандарта СТ РК ИСО/МЭК 27001 с использованием рабочей книги для проверки процессов СУИБ с целью достичь соответствия СУИБ требованиям.
Анализ несоответствий служит лишь средством подтверждения того, что средства управления соответствуют требованиям стандарта СТ РК ИСО/МЭК 27001. Если некоторые средства не полностью соответствуют стандарту, организация должна документировать причины несоответствия. Аудиторы, годные к проведению оценки соответствия стандарту СТ РК ИСО/МЭК 27001, должны уметь анализировать эти причины и их обоснования.
Следует отметить, что настоящий стандарт служит информативным пособием и не является средством определения меры соответствия стандарту СТ РК ИСО/МЭК 27001.
