Каковы требования к организациям, проводящим аудит на соответствие стандарту ISO 27001?
Подскажите, пожалуйста, кто имеет право проводить аудит организаций на соответствие стандарту ISO 27001?
Где должна быть аккредитована организация?
Существуют какие-то требования к организациям, проводящим аудит?
Имеет ли право одна компания проводить подготовку организации, т.е. приведение в соответствие и аудит сразу, другими словами, фактически производить аудит своей же работы?
Где должна быть аккредитована организация?
Существуют какие-то требования к организациям, проводящим аудит?
Имеет ли право одна компания проводить подготовку организации, т.е. приведение в соответствие и аудит сразу, другими словами, фактически производить аудит своей же работы?
Аудит может быть трёх видов:
1. Внутренний аудит. Проводится своими силами с целью поддержания работы СМИБ или с целью ее создания и внедрения.
2. Внешний аудит. Проводится органами сертификации, чтобы подтвердить соответствие СМИБ требованиям ISO 27001.
3. Третьей стороной. Проводится внешней организацией. В основном это подготовительные работы к внешнему аудиту. В данном случае владелец системы сам может в соответствии с ISO 27006 установить требования к аудитору. Тут отношения сугубо договорные.
Внедрять СМИБ в организации и проводить в ней же аудит бессмысленно, так как работы по внедрению являются по сути более развернутыми работами по аудиту.
Другое дело, если стоит вопрос в сертификации. В основном органы сертификации проводят подготовительные работы с целью приведения системы в соответствие с ISO. Например, сами же основоположники стандарта BSI предлагают услугу по устранению пробелов в системе в рамках работ по сертификации.