Что такое контекст и заинтересованные стороны согл. ISO27001
В этом уроке мы обсудим п.4 стандарта 27001 - контекст организации. Мы будем говорить о том что и как необходимо проверять во время аудиторской проверки. Напоминаю вам, о том чтобы стандарт 27001 вместе с маркером был обязательно перед вами. Вы, как будущий аудитор, конечно не будете помнить все пункты наизусть и никто у вас это не требует. Но восприятие информации и эффективное запоминание всех этих элементов будет гораздо проще, если у вас будет восприятие не только на слух моего курса, а также глазами вы будете смотреть именно в требования стандарта и сравнивать с моими словами.
Что такое контекст организации?Само слово контекст, значит законченная в смысловом отношении часть текста. А контекст организации в значение требования стандарта - это условия, в которых функционирует организация. Кстати, здесь нам в помощь международный стандарт 27000, который имеет общие сведения и словарь. Там вся терминология очень хорошо описана. Организация четко должна понимать и определить внешний контекст и внутренний. Для определения внешнего контекста, организация рассматривает факторы, связанные с политикой, экономикой, законодательством, конкурентами, социальными, экономическими условиями той страны, где находится организация. Внутренний контекст организации включает факторы, связанные с её корпоративной культурой, кадровым потенциалом системой принятия управленческих решений, производительностью, всё что связывает компанию внутри.
Вы, как аудитор, должны знать что стандарт ISO 27001 требует от организации определить внешние и внутренние проблемы, которые влияют на достижение поставленных целей со стороны системы управления информационной безопасности. То есть, именно те проблемы, которые влияют на способность достигать ожидаемых результатов. При этом стоит не забывать и учитывать законодательные и нормативные требования, а также договорные обязательства в отношении информационной безопасности с вашими клиентами. Организация должна определить и документально зафиксировать границы применения системы менеджмента информационной безопасностью, чтобы установить область действия. И это может быть как часть организации, это может быть её отдельное подразделение или филиал. Это всё должно быть задокументировано.
Переходим к заинтересованным сторонам и их требованиям. Чтобы выполнить требования стандарта ISO 27000 в отношении заинтересованных сторон, чаще всего организации готовят такую таблицу, где конкретизирует каждую заинтересованную сторону. Не забудьте, что каждое подразделение в организации имеет свои заинтересованные стороны. После того, как вы проверили определение заинтересованных сторон, необходимо проверить, если описаны, их требования, ожидания и пожелания, которые касаются информационной безопасности. Помните, Вы как аудиторы должны обратить внимание на ключевые источники выявления таковых требований, ожиданий и пожеланий. Лучше всего, когда они будут вам представлены как примеры на фактах. То есть, откуда организация получила информацию о требованиях этих заинтересованных сторон. Это могут быть письменные доказательства. Конечно, бывает кто-то провел интервью по телефону, но лучше всего, когда у вас будут факты, которые вы сможете всегда использовать в качестве подтверждения полученной информации.
Теперь перейдем к вопросу цели и политики. Вам, как аудитору, необходимо знать, что цели - это конкретные задачи, которые ставит перед собой организация в рамках обеспечения информационной безопасности. Эти цели должны быть обязательно взаимосвязаны с положением политики.
Сама же политика, как документ в области защиты информации, должна быть утверждена, опубликована и доведена до сведения всех сотрудников. А лучше всего, когда она будет проста в понимании для всего персонала, не только для айтишников или администратора. И обязательно, должна быть понятна для сторонних организаций.
В этой ситуации, политика может быть представлена в нескольких частях. Одна для внутреннего пользования, вторая для внешнего - публичного пользования. Перепроверяя выполнение требования стандарта касательно политики, Вам необходимо помнить о том, что политика должна содержать определение, что такое информационная безопасность, ее цели, область действия и важность определения принципов деятельности руководства. В ней должно быть указано краткое разъяснение принципов, правил, стандартов и требований соответствия в области защиты информации. Особенно важны для организаций, которые включают соответствие требованиям законов, норм и договоров требования к квалификации и образованию персонала. Определение общих и специальных обязанностей по управлению информационной безопасностью, ссылки на конкретные документы и процедуры в вашей системе, которые раскрывают конкретные направления. И обязательно, эта политика должна быть утверждена руководством компании.
Эти все элементы 4 пункта стандарта должны быть проверены во время проведения аудита.
Т
Информация по комментариям в разработке