Изменения в ISO 19011

Изменения в ISO 19011
Один из интереснейших и полезных стандартов ISO 19011:2011 «Руководство по аудиту систем менеджмента» (Guidelines for auditing management systems) (есть аналог ГОСТ) недавно получил обновления.

name='more'> Многие со стандартом знакомы, но вкратце напомню.
Настоящий Международный Стандарт содержит рекомендации по принципам аудита, управлению программами аудитов, проведению аудитов систем менеджмента качества и окружающей среды, а также руководящие указания относительно компетентности аудиторов систем менеджмента качества и окружающей среды. Да, он ориентирован на проверку соответствия ISO 9001 и ISO 14001, но из-за его универсальности и известности (да и отсутствия аналогов) он также применяется при проверках на соответствие ISO 27001 (да и ведущие аудиторы и консультанты рекомендуют его использовать), да и в принципе и при любых других аудитах.
Данный стандарт содержит: 
  • необходимый перечень терминов и определений;
  • общие принципы проведения аудита;
  • цели, ответственность,необходимые ресурсы
  • общее и детальное описание процесса проведения аудита:
    • инициирование аудита;
    • анализ документации;
    • подготовка к проведению аудита "на месте";
    • проведение аудита "на месте";
    • подготовка, утверждение и рассылка отчета по аудиту.
    • завершение аудита.
  • компетентность и оценка аудиторов:
    • личные качества;
    • знания и навыки (руководителей групп по аудиту и самих аудиторов);
    • образование, практический опыт и обучение аудиту;
    • поддержание и повышение уровня компетентности;
    • оценка аудиторов.
Стандарт крайне рекомендую к прочтению всем тем, кто хоть как-то связан с аудитами (ИБ. ИТ и другими).

Дак вот, про изменения:
  1. Расширена область применения (scope) стандарта, от аудита систем качества и окружающей среды до аудита всех систем управления (менеджмента). Это значит. что сюда попадают и ISO 20000, и ISO 27001, и BS 25999 и т.д.
  2. Ссылки вынесены в отдельно приложение.
  3. Также в отдельные приложения вынесены специфические отраслевые знания и навыки аудиторов (Annex А. Discipline-specific knowledge and skills of auditors), знания дополнены специфичными по ИБ: "The discipline-specific knowledge and/or skills of auditors – Resilience, security, preparedness and continuity (RSPC) management" и другим системам менеджмента (например, транспортной безопасности).
  4. Отдельным приложением вынесена оценка компетенций и навыков команды аудита (Annex B. Examples of discipline specific evaluations of audit team competence).
  5. Отдельным приложением вынесены указания по планированию и проведению аудитов (Annex C. Additional Guidance for Auditors for Planning and Conducting Audits). По сути это описание всех этапов аудита (процедура).
  6. Расширен перечень терминов. Добавлены "Guide" (person appointed by the auditee to assist the audit team), "Conformity" (fulfilment of a requirement), "Nonconformity" (non-fulfilment of a requirement), "Audit scope" (extent and boundaries of an audit).
  7. В принципы аудита добавлен "Confidentiality" (security of information).
  8. Практические советы, которые были отдельными "врезками" в тексте, вынесены в приложения или добавлены в текст.
  9. Переделан раздел 5 "Managing an audit programme". В том числе, частично переделана схема управления программой аудита. Также:
    • Расширен перечень целей.
    • Расширены области ответственности 
    • Добавлен блок по оценке рисков программы аудита.
    • Расширена информация по процедурам аудита.
    • Сильно расширена информация по внедрению программы аудита (в том числе: цели, области и критерии, отбор команд, управление записями
    • Расширена информация по мониторингу и контролю.
  10. Переделан раздел 6 "Audit activities". В частности:
    • Поменялась перечень-схема основных действий аудита. 
    • Расширены цели предварительного контакта. Оценка осуществления возможности аудита теперь после предварительного контакта.
    • Определение целей, объема, критериев аудита, а также подбор команды теперь на шаге 2 "Preparing for the audit activities".
    • Проверка документации теперь на шаге 3 "Conducting audit activities", а не отдельный 2й шаг до подготовки проведения аудита.
    • Частично переделаны цели/повестка 1ой встречи (до непосредственных работ "на месте").
    • Расширены рекомендации по проведению заключительной встречи по аудиту.
    • В рекомендации по составлению отчета добавлена глава "strengths and best practices identified" (выявленные сильные стороны и лучшие практики).
  11. Переделан раздел 7 "Competence and evaluation of auditors". В частности:
    • Расширен перечень личных качеств аудитора (добавлены: сила духа, хорошая организованность, открытость к улучшениям, культурная чувствительность и работа в команде).
    • Расширен перечень знаний и умений.
    • Часть информации перешла в приложения.
Таким образом стандарт стал больше, добавлены новые положения и рекомендации (здесь прослеживаются некоторые моменты сходства с областью знаний "управление проектами"), стандартом стало удобнее пользоваться (частично переделана структура, дополнительные моменты вынесены в приложения), стандарт стал логичнее (изменения в процедуре аудита).
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Мы расшифровали формулу идеальной защиты!

Спойлер: она начинается с подписки на наш канал

Введите правильный пароль — подпишитесь!
article-title

Andrey Prozorov

Информационная безопасность в России и мире