Меню Закрыть

Внутренний аудит СМИБ в соответствии с ГОСТ Р ИСО/МЭК 27001-2021

Код курса: 36.3: Внутренний аудит СУИБ в соответствии с ГОСТ Р ИСО/МЭК 27001-2021

Стоимость курса: 40 000 руб.
Ближайший курс: 27-29 апреля
Программа курса:

День 1

1. Введение

  • Основные понятия: активы, угрозы, риски, заинтересованные стороны, процессы, контекст организации, СМИБ, аудит.
  • Обзор целей и задач СМИБ: зачем нужна СМИБ, виды аудита, отличие внутреннего аудита от внешнего/сертификационного аудита.
  • Обзор ГОСТ Р ИСО/МЭК 27001-2022, ГОСТ Р ИСО/МЭК 27007-2014 и ГОСТ Р 56045 2014/ISO/IEC TR 27008:2011.

2. Управление рисками и выбор контрмер

  • Управление рисками в соответствии с ГОСТ Р ИСО/МЭК 27001-2022.
  • Связь контрмер из приложения А с рисками информационной безопасности.

3. Роли, ответственность, принципы внутреннего аудита

  • Роль внутреннего аудитора, требования к квалификации, независимости, этика и компетентность.
  • Основы аудита: принципы, этапы, стандарты и методологии.

4. Планирование аудита и подготовка

  • Определение области, границ и критериев аудита.
  • Подготовка плана аудита, разработка чеклистов, распределение ролей, запрос документов.
  • Свидетельства аудита.
  • Методики проведения аудита: интервью, наблюдение, проход по процессу (walktrhrough), выборочное тестирование контрмер, полное тестирование.

5. Практика: разработка плана аудита и чек-листов

  • Анализ документов СМИБ проверяемой организации (политика ИБ, частные политики ИБ, процедуры, корпоративные стандарты).
  • Разработка плана аудита и чек-листа для заданного набора процессов, мер.

День 2

1. Проведение аудита

  • Правила проведения интервью с аудитируемыми.
  • Разработка тестов для различных мер из приложения А.
  • Документирование обнаруженных несоответствий.

2. Отчёт по аудиту, коммуникация, представление результатов

  • Структура отчёта: границы, цели, методология, несоответствия, рекомендации.
  • Как донести результаты до руководства — «язык бизнеса», приоритеты, оценка рисков.
  • Как классифицировать несоответствия.

3. Проверка исполнения (follow-up)

  • Как оформлять и отслеживать выполнение корректирующих действий, как проверять эффективность после внедрения.
  • Как планировать повторные аудиты.

4. Практика «живой аудит»

  • Отработка ролевого сценария: часть группы — «аудиторы», часть — «ответственные за процессы»; проведение интервью, тестирование мер, сбор доказательств, выявление несоответствий.
  • Составление отчёта по аудиту, рекомендации по улучшениям, план корректирующих мер.

5. Итоговое тестирование и обсуждение

  • Итоговое тестирование.
  • Разбор «проблемных» ситуаций, типичных ошибок, как их избежать.
  • Обсуждение, ответы на вопросы участников, рекомендации для внедрения в реальных организациях.
Записаться на курс