 |
Подготовка организации к аудиту
|
|
|
|
Аудит качества
Аудит качества – это систематический и независимый анализ позволяющий определить соответствие деятельности и результатов в области качества запланированными мероприятиям, а также эффективность их внедрения и соответствие поставленным целям.
Аудит качества применяется как к системам качества так и к их элементам: процессам, процедурам, оборудованию, техническим системам и пр. а также к продукции Аудит качества может проводится либо специально назначенными сотрудниками организации (внутренний аудит), либо покупателем или третьей стороной(внешний аудит).
Стандарты ISO 9001, 9002, 9003являются нормативной базой для проведения аудита.
Виды aудитa
Рaзличaется три видa aудитa:
aудит продуктов - проверкa кaчествa продуктов (конечных услуг ОПП),
aудит процессов - проверкa кaчествa процессов,
aудит системы - проверкa элементов системы кaчествa.
Задачи аудита (сертификации)
В результате проведения аудита создается список замечаний, выявленных несоответствий требованиям стандартов, а также рекомендаций по их исправлению. Аудиторы должны гарантировать, что были выполнены все требования процедуры сертификации. Аудиторы должны проанализировать все существенные аспекты с учетом размера проверяемой организации и специфики ее деятельности, а также ценности информации, подлежащей защите. Как следствие, опыт и компетентность аудитора являются очень существенными факторами.
Внешний и внутренний аудит
Аудит первой стороной — является внутренним аудитом либо продуктов, либо Системы Качества, проводимым либо предварительно подобранными и обученными сотрудниками компании, которые называются внутренними аудиторами, либо приглашенными внешними аудиторами, которые выполняют в этом случае роль аудиторов первой стороны. Современная компания, выбравшая миссию TQM, должна из числа сотрудников иметь своих аудиторов, обладающих знаниями, характер которых виден из возможного варианта вопросника для оценки подготовленности внутреннего аудитора.
|
|
|
Аудит второй стороной — является внешним аудитом (инспекцией) компании, проводимымпокупателем (потребителем) компании с целью выявления соответствия процесса и продукта поставщика контрактным условиям, заранее установленным потребителем.
Цель и нaзнaчение
Внутренний аудит качества представляет собой систематическое и независимое сопоставление и анализ действующих стандартов с их реализацией в практической деятельности. Внутренний аудит проводится с целью оценки стабильности и эффективности системы качества, выявления слабых мест и разработки мер по дальнейшему ее совершенствованию.
Аудит качества
В ОПП рaзрaботaна и внедряется процедура проведения внутренних проверок кaчествa, нaпрaвленных нa идентификaцию несоответствий в процессaх и продуктaх, a тaкже нa выявление эффективности системы кaчествa.
Oтветственными зa проведение aудитов являются Руководитель по кaчеству и aудиторы.
Для проведения aудитов специaльно подготaвливaются внутренние aудиторы. Плaнировaние aудитов и их оргaнизaция проводится с учетом принципa незaвисимости aудиторa от проверяемого подрaзделения.
Плaн проведения aудитa состaвляется тaк, чтобы кaждaя процедурa подвергaлaсь проверке по меньшей мере один рaз в год.
Результaты aудитов протоколируются и доводятся до сведения персонaлa, несущего ответственность зa деятельность учaсткa, нa котором проведенa проверкa. В случaе выявления несоответствия по результaтaм aудитa проводятся корректирующие действия.
|
|
|
Результaты aудитов являются предметом aнaлизa в рaмкaх оценки системы кaчествa руководством ОПП.
Aудиторы
Подготовкa aудиторов должнa по крaйней мере включaть:
q знaние стaндaртов системы кaчествa (ИСO 9004);
q влaдение методикой проверки, опросa, оценки и отчетa,
q предстaвление о рaботе подрaзделений/отделов, проверяемых ими.
Ассоциация аудита и управления информационными системами
Ассоциация ISACA основана в 1969 году и в настоящее время объединяет около 20 тыс. членов из более чем 100 стран, в том числе и России. Ассоциация координирует деятельность более чем 12 тыс. аудиторов информационных систем (CICA — Certified Information System Auditor), имеет свою систему стандартов в этой области, ведет исследовательские работы, занимается подготовкой кадров, проводит конференции.
Организации, занимающиеся сертифицированием
Международные организации, входящие в структуру ООН:
ISO (International Organization for Standardization - Международная организация по стандартизации); IEC (International Electrotechnical Commision - Международная электротехническая комиссия);
ITU-T (International Telecommunication Union-Telecommunications - Международный союз по телекоммуникации - телекоммуникация). До 1993г. эта организация имела другое название - CCITT (International Telegraph and Telephone Consultative Committee
Сертификация системы качества
Этот вид сертификации направлен не на конкретную продукцию, а на деятельность компании в целом. Подтверждение соответствия процессов, функционирующих в компании, какой-либо известной модели (например, ISO серии 9000 или SEI SW-CMM) позволит вашим клиентам быть уверенными в заявленном уровне качества вашей продукции (или услуги). Внедрение в организации модели обеспечения качества (ISO серии 9000) и/или улучшения уровня зрелости процессов (SEI SW-CMM)гарантирует бесперебойное функционирование процессов, ориентацию на клиента и, как следствие, стабильное качество вашей продукции, которое определяется требованиями к внутренним производственным и обеспечивающим процессам. Кроме того, система качества также предусматривает постоянное самосовершенствование, что дает клиенту дополнительную уверенность в надежности вашей фирмы.
Подготовка организации к аудиту
Подготовительные мероприятия включают подготовку документации и проведение внутренней проверки соответствия системы управления ИБ требованиям стандарта. Документация должна содержать:
|
|
|
· политику безопасности;
· границы защищаемой системы;
· оценки рисков;
· управление рисками;
· описание инструментария управления ИБ;
· ведомость соответствия — документ, в котором оценивается соответствие требованиям стандартов поставленных целей в области ИБ и средств управления ИБ.
Внутренняя проверка соответствия системы управления ИБ требованиям стандарта состоит в проверке выполнения каждого положения стандарта. Проверяющие должны ответить на два вопроса: выполняется ли данное требование, и если нет, то каковы точные причины невыполнения?
На основе ответов составляется ведомость соответствия. Основная цель этого документа — дать аргументированное обоснование имеющим место отклонениям от требований стандарта.
После завершения внутренней проверки устраняются выявленные несоответствия, которые организация сочтет нужным устранить.
Категории несоответствий
И аудиторам, и проверяемой организации необходимо иметь четкое представление о степени серьезности обнаруженных недостатков, их категориях и способах исправления. Используются следующие категории несоответствия:
· Существенное несоответствие. Не выполняется одно или несколько базовых требований стандартов, либо установлено, что используются неадекватные меры по защите конфиденциальности, целостности или доступности критически важной информации.
· Несущественное несоответствие. Не выполняются некоторые второстепенные требования, что несколько повышает риски или снижает эффективность защитных мер.
Каждое несоответствие должно иметь ссылку на соответствующее требование стандартов.
В случае, если выявлено значительное количество несущественных несоответствий, аудитор должен рассмотреть вопрос о возможном появлении существенного несоответствия.
После выявления несоответствий аудитор и представители организации должны наметить пути их устранения.
|
|
|
Если аудитор считает, что подсистему ИБ возможно усовершенствовать, то он может составить замечание. Организации сами определяют, какие действия им следует предпринять в ответ на замечание. замечания фиксируются, и при последующих проверках аудиторы должны выяснить, что было сделано.
Организация аудита
Подготовка и планирование аудита
Процедура проведения аудита планируется заранее. План проведения аудита должен быть подготовлен для всех первоначальных и контрольных проверок, продолжающихся более одного дня. Аудиторы должны быть ознакомлены с законодательными и нормативными требованиями, используемыми в проверяемой организации.
Проверка документации
Сертификация начинается с того, что аудитор получает и анализирует документы, имеющие отношение к подсистеме ИБ. Организация должна представить следующие документы:
1. концепцию политики ИБ, границы подсистемы ИБ, документы по оценке рисков;
2. руководство по реализации политики безопасности, содержащее общую схему подсистемы ИБ и документированные процедуры обеспечения ИБ;
3. ведомость соответствия — документ, составленный аудитором при предыдущей проверке. Содержание этого документа будет рассмотрено ниже.
По окончании проверки представляется отчет, в котором должны быть отражены следующие моменты:
1. декларируемые цели в области ИБ достижимы (являются реалистичными);
2. ведомость соответствия не противоречит стандартам в области ИБ и политике безопасности;
3. должным ли образом описаны все соответствующие аспекты в процедурах обеспечения ИБ.
Подготовительный этап — планирование проведения аудита
План проведения аудита должен определять подлежащие проверке сферы деятельности организации. В плане должно быть указано, какие требования стандарта будут проверяться (согласно Ведомости соответствия). Этот план, вместе со всеми изменениями, внесенными в процессе выполнения аудита, прилагается к отчету о проведении аудита.
План составляется на основе следующих документов:
1. Руководство по реализации политики безопасности;
2. Ведомость соответствия.
Организация должна представить сведения о собственной структуре, текущей деятельности, проектах и т.д. Кроме того, потребуется описание используемых информационных технологий, включающее схему сети, а также список всего прикладного программного обеспечения, используемого в организации.
|
|
|
