Регламент проверки качества деятельности организаций-аудиторов, членов Ассоциации «Сообщество пользователей стандартов по информационной безопасности АБИСС»
Основной целью организации работ по внешнему контролю качества является создание условий для обеспечения и постоянного повышения качества реализации проектов по независимой оценке соответствия (аудиту) требованиям СТО БР ИББС 1.0, выполняемых членами Ассоциации «АБИСС» в соответствии с требованиями документов Комплекса БР ИББС.
Внешний контроль качества аудиторской деятельности осуществляется по следующим направлениям:
- Оценка соответствия организации требованиям, установленным для членов Ассоциации «АБИСС», которые являются аудиторами.
- Оценка степени соответствия работы членов Ассоциации «АБИСС» требованиям Комплекса БР ИББС в области аудита;
При проведении работ по первому направлению проверяемая организация должна предоставить информацию, подтверждающую выполнение требований, предъявляемых Ассоциации «АБИСС» в соответствие с Положением «О членах Ассоциации «Сообщество пользователей стандартов по информационной безопасности АБИСС» к организациям-аудиторам, в частности:
- Виды деятельности и оказываемые услуги в области ИБ, наличие лицензий на оказываемые виды услуг и деятельность (на лицензированную деятельность);
- Наличие персонала с образованием, навыками, техническими знаниями и опытом, которые необходимы для качественного выполнения обязательств и оказываемых услуг, а также программу постоянного повышения квалификации персонала;
- Порядок обеспечения конфиденциальности информации, обрабатываемой в ходе своей деятельности в соответствии с законодательством Российской Федерации и имеющимися обязательствами;
- Наличие и описание формализованной системы обеспечения и контроля качества выполняемых проектов;
- Наличие и описание формализованной системы управления проектами;
- Наличие и описание формализованной системы управления рисками по акцептованию клиентов и проектов;
- Порядок претензионной работы;
- Опыт проведения аудита информационной безопасности;
- Используемые для оказания услуг по обеспечению информационной безопасности решения различных производителей.
При проведении работ по второму направлению проверяемая организация должна раскрыть информацию, подтверждающую выполнение требований СТО БР ИББС 1.1 и СТО БР ИББС 1.2, описывающих методологию проведения аудита, в частности:
- Процесс подготовки к аудиту, заключение договора, формирование аудиторской группы;
- Проведение документальной проверки;
- Проведение Вступительного совещания, планирование аудита на месте;
- Сбор и оформление свидетельств аудита;
- Анализ результатов, подготовка отчетных материалов;
- Проведение заключительного совещания.
- Формирование структуры отчетных материалов.
- Оформление документации по проекту.
Анализ предоставленной информации осуществляется экспертной группой Ассоциации «АБИСС» по контролю качества в согласованные сроки в соответствии с утвержденным графиком плановых проверок или решением Правления Ассоциации «АБИСС» в отношении внеплановых проверок.