Регламент проверки качества деятельности организаций-аудиторов, членов Ассоциации «Сообщество пользователей стандартов по информационной безопасности АБИСС»

Основной целью организации работ по внешнему контролю качества является создание условий для обеспечения и постоянного повышения качества реализации проектов по независимой оценке соответствия (аудиту) требованиям СТО БР ИББС 1.0, выполняемых членами Ассоциации «АБИСС» в соответствии с требованиями документов Комплекса БР ИББС.

Внешний контроль качества аудиторской деятельности осуществляется по следующим направлениям:

1. Оценка соответствия организации требованиям, установленным для членов Ассоциации «АБИСС», которые являются аудиторами.
   
2. Оценка степени соответствия работы членов Ассоциации «АБИСС» требованиям Комплекса БР ИББС в области аудита;

При проведении работ по первому направлению проверяемая организация должна предоставить информацию, подтверждающую выполнение требований, предъявляемых Ассоциации «АБИСС» в соответствие с Положением «О членах Ассоциации «Сообщество пользователей стандартов по информационной безопасности АБИСС» к организациям-аудиторам, в частности:

• Виды деятельности и оказываемые услуги в области ИБ, наличие лицензий на оказываемые виды услуг и деятельность (на лицензированную деятельность);
  
• Наличие персонала с образованием, навыками, техническими знаниями и опытом, которые необходимы для качественного выполнения обязательств и оказываемых услуг, а также программу постоянного повышения квалификации персонала;
  
• Порядок обеспечения конфиденциальности информации, обрабатываемой в ходе своей деятельности в соответствии с законодательством Российской Федерации и имеющимися обязательствами;
  
• Наличие и описание формализованной системы обеспечения и контроля качества выполняемых проектов;
  
• Наличие и описание формализованной системы управления проектами;
  
• Наличие и описание формализованной системы управления рисками по акцептованию клиентов и проектов;
• Порядок претензионной работы;
• Опыт проведения аудита информационной безопасности;
  
• Используемые для оказания услуг по обеспечению информационной безопасности решения различных производителей.

При проведении работ по второму направлению проверяемая организация должна раскрыть информацию, подтверждающую выполнение требований СТО БР ИББС 1.1 и СТО БР ИББС 1.2, описывающих методологию проведения аудита, в частности:

• Процесс подготовки к аудиту, заключение договора, формирование аудиторской группы;
• Проведение документальной проверки;
• Проведение Вступительного совещания, планирование аудита на месте;
• Сбор и оформление свидетельств аудита;
• Анализ результатов, подготовка отчетных материалов;
  
• Проведение заключительного совещания.
  
• Формирование структуры отчетных материалов.
  
• Оформление документации по проекту.

Анализ предоставленной информации осуществляется экспертной группой Ассоциации «АБИСС» по контролю качества в согласованные сроки в соответствии с утвержденным графиком плановых проверок или решением Правления Ассоциации «АБИСС» в отношении внеплановых проверок.