Каковы требования к организациям, проводящим аудит на соответствие стандарту ISO 27001?
Андрей Еременко, 12 октября 2015
Подскажите, пожалуйста, кто имеет право проводить аудит организаций на соответствие стандарту ISO 27001?
Где должна быть аккредитована организация?
Существуют какие-то требования к организациям, проводящим аудит?
Имеет ли право одна компания проводить подготовку организации, т.е. приведение в соответствие и аудит сразу, другими словами, фактически производить аудит своей же работы?
Где должна быть аккредитована организация?
Существуют какие-то требования к организациям, проводящим аудит?
Имеет ли право одна компания проводить подготовку организации, т.е. приведение в соответствие и аудит сразу, другими словами, фактически производить аудит своей же работы?
Аудит может быть трёх видов:
1. Внутренний аудит. Проводится своими силами с целью поддержания работы СМИБ или с целью ее создания и внедрения.
2. Внешний аудит. Проводится органами сертификации, чтобы подтвердить соответствие СМИБ требованиям ISO 27001.
3. Третьей стороной. Проводится внешней организацией. В основном это подготовительные работы к внешнему аудиту. В данном случае владелец системы сам может в соответствии с ISO 27006 установить требования к аудитору. Тут отношения сугубо договорные.
Внедрять СМИБ в организации и проводить в ней же аудит бессмысленно, так как работы по внедрению являются по сути более развернутыми работами по аудиту.
Другое дело, если стоит вопрос в сертификации. В основном органы сертификации проводят подготовительные работы с целью приведения системы в соответствие с ISO. Например, сами же основоположники стандарта BSI предлагают услугу по устранению пробелов в системе в рамках работ по сертификации.