Главная В избранное Карта сайта

Регламент проверки качества деятельности организаций-аудиторов, членов Ассоциации «Сообщество пользователей стандартов по информационной безопасности АБИСС»

Основной целью организации работ по внешнему контролю качества является создание условий для обеспечения и постоянного повышения качества реализации проектов по независимой оценке соответствия (аудиту) требованиям СТО БР ИББС 1.0, выполняемых членами Ассоциации «АБИСС» в соответствии с требованиями документов Комплекса БР ИББС.

Внешний контроль качества аудиторской деятельности осуществляется по следующим направлениям:

  1. Оценка соответствия организации требованиям, установленным для членов Ассоциации «АБИСС», которые являются аудиторами.
  2. Оценка степени соответствия работы членов Ассоциации «АБИСС» требованиям Комплекса БР ИББС в области аудита;

При проведении работ по первому направлению проверяемая организация должна предоставить информацию, подтверждающую выполнение требований, предъявляемых Ассоциации «АБИСС» в соответствие с Положением «О членах Ассоциации «Сообщество пользователей стандартов по информационной безопасности АБИСС» к организациям-аудиторам, в частности:

  • Виды деятельности и оказываемые услуги в области ИБ, наличие лицензий на оказываемые виды услуг и деятельность (на лицензированную деятельность);
  • Наличие персонала с образованием, навыками, техническими знаниями и опытом, которые необходимы для качественного выполнения обязательств и оказываемых услуг, а также программу постоянного повышения квалификации персонала;
  • Порядок обеспечения конфиденциальности информации, обрабатываемой в ходе своей деятельности в соответствии с законодательством Российской Федерации и имеющимися обязательствами;
  • Наличие и описание формализованной системы обеспечения и контроля качества выполняемых проектов;
  • Наличие и описание формализованной системы управления проектами;
  • Наличие и описание формализованной системы управления рисками по акцептованию клиентов и проектов;
  • Порядок претензионной работы;
  • Опыт проведения аудита информационной безопасности;
  • Используемые для оказания услуг по обеспечению информационной безопасности решения различных производителей.

При проведении работ по второму направлению проверяемая организация должна раскрыть информацию, подтверждающую выполнение требований СТО БР ИББС 1.1 и СТО БР ИББС 1.2, описывающих методологию проведения аудита, в частности:

  • Процесс подготовки к аудиту, заключение договора, формирование аудиторской группы;
  • Проведение документальной проверки;
  • Проведение Вступительного совещания, планирование аудита на месте;
  • Сбор и оформление свидетельств аудита;
  • Анализ результатов, подготовка отчетных материалов;
  • Проведение заключительного совещания.
  • Формирование структуры отчетных материалов.
  • Оформление документации по проекту.

Анализ предоставленной информации осуществляется экспертной группой Ассоциации «АБИСС» по контролю качества в согласованные сроки в соответствии с утвержденным графиком плановых проверок или решением Правления Ассоциации «АБИСС» в отношении внеплановых проверок.