Каковы требования к организациям, проводящим аудит на соответствие стандарту ISO 27001?

Андрей Еременко, 12 октября 2015
Каковы требования к организациям, проводящим аудит на соответствие стандарту ISO 27001?
Подскажите, пожалуйста, кто имеет право проводить аудит организаций на соответствие стандарту ISO 27001?
Где должна быть аккредитована организация?
Существуют какие-то требования к организациям, проводящим аудит?
Имеет ли право одна компания проводить подготовку организации, т.е. приведение в соответствие и аудит сразу, другими словами, фактически производить аудит своей же работы?
Сохранить
Отменить
2 1
У меня такой же вопрос У меня такой же вопрос
231 просмотр
В избранное
1 комментарий
https://kontur.ru/security
Артур Скок, эксперт 12 октября 2015
Требования к аудиторам предписаны стандартом ISO 27006.
Аудит может быть трёх видов:
1. Внутренний аудит. Проводится своими силами с целью поддержания работы СМИБ или с целью ее создания и внедрения.
2. Внешний аудит. Проводится органами сертификации, чтобы подтвердить соответствие СМИБ требованиям ISO 27001.
3. Третьей стороной. Проводится внешней организацией. В основном это подготовительные работы к внешнему аудиту. В данном случае владелец системы сам может в соответствии с ISO 27006 установить требования к аудитору. Тут отношения сугубо договорные.
Внедрять СМИБ в организации и проводить в ней же аудит бессмысленно, так как работы по внедрению являются по сути более развернутыми работами по аудиту.
Другое дело, если стоит вопрос в сертификации. В основном органы сертификации проводят подготовительные работы с целью приведения системы в соответствие с ISO. Например, сами же основоположники стандарта BSI предлагают услугу по устранению пробелов в системе в рамках работ по сертификации.
 Вернуться

Похожие вопросы

Показать еще вопросы... Нет подходящего вопроса? — Задайте свой вопрос.

Статьи на эту тему

Ничего не найдено. Задайте свой вопрос