СОИБ. Анализ. Парадокс подготовки к аудиту ИБ

Каждый раз при аудите ИБ участники на объекте аудита чтобы подготовится со своей стороны просят предоставить: регламент аудита, план аудита, предварительный опросник по аудиту ИБ, общий перечень вопросов в рамках аудита ИБ.
И каждый раз повторяется ситуация, что до начала аудита проверяемая сторона не успевает определить участников аудита в соответствии с регламентов и заполнить предварительный опросный лист. В итоге эти вопросы приходится решать на первом совещании, на объекте аудита и первые пару дней после него. И даже после этого план аудита постоянно продолжает меняться – у одного участника аудита возникает ЧП, у другого срочное совещание, у третьего наоборот свободный день появляется раньше запланированного. И что самое странное – чем крупнее и серьезнее Организация, тем меньше они делают со своей стороны на этапе подготовки к аудиту ИБ.

Это у всех такое случается или только я что-то непонимаю?

Комментарии

Artem Ageev написал(а)…
с заказчиком нужно работать. нужно уметь добиваться от него того, что он обязан предоставить по договору.

ЗЫ а как Орбита делает аудит, не имея ни одного аудитора?
Сергей Борисов написал(а)…
Откуда у тебя такая недостоверная информация.

Целый отдел аудиторов.
Сергей Борисов написал(а)…
На счет с Заказчиком работать - предположим что мы уже столкнулись с ситуацией что Заказчик должен был к 1 числу предоставить данные и назначить всех участников аудита, но не предоставил и не назначил.

А 5-ого числа мы уже должны были начать аудит на территории заказчика.

И чтоже - можно сидеть, звонить Заказчику и говорить что все работы переносятся пока он эти даныне не предоставит и ответственных не назначит. В это время выделенные на аудит ресурсы специалистов простаивают и сроки на проект уменьшаются. А если объектов в разных городах много. То при сдвиге сроков на одном объекте начинают сдвигаться на остальных. При этом остальные объекты могли уже успеть назначить ответственных на какую-то определенную дату.

Либо можно все-таки выехать на объект Заказчика и на месте решать оставшиеся орг. вопросы.
Как правило второй вариант не приятен но он лучше для проекта в целом.
Artem Ageev написал(а)…
если проблема не решается на исполнительском уровне, она переносится на управленческий.

в вашей компетенции управлять сроками проектов? нет? тогда пусть голова болит у манеджера.

ЗЫ что-то я орбитовцев на курсах аудиторов ABISS не видел ;)

в ЮФО всего одна компания, которая имеет сертифицированного аудитора...
Сергей Борисов написал(а)…
А причем здесь Abiss?
Артем - ты похоже на одной теме зациклился.

Есть ещё очень много стандартов и целей аудита. Например аудит на соответствие ISO 27001/27002, аудит на соответствие внутренним политикам организации, аудит в целях определения оценки рисков.
shelihoff написал(а)…
Сергей, согласен, план аудита на месте всегда динамичен. Я уже по этому вопросу не переживаю. Закладывай риски. А требовать с клиента строгого выполнения плана, просто глупо. У клиента на первом месте бизнес.

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Модель угроз безопасности клиента финансовой организации

КИИ. Категорирование объектов, часть 3