Куда я попал?
ГОСТ Р № 22301 от 01.01.2022
Надежность в технике. Системы менеджмента непрерывности деятельности. Требования
Р. 9 п. 2 пп. 2
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
NIST Cybersecurity Framework (RU):
PR.PT-1
PR.PT-1: В соответствии с политикой определяются, документируются, внедряются и проверяются записи аудита / журналов событий
ID.SC-4
ID.SC-4: Производиться контроль поставщиков и партнеров, чтобы подтвердить, что они выполнили свои обязательства в соответствии с требованиями. Проводятся обзоры аудитов, сводки результатов тестов или другие эквивалентные оценки поставщиков
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Тело стандарта":
9.2.2 Программа внутреннего аудита
9.2.2 Программа внутреннего аудита
Организация должна планировать, разрабатывать, внедрять и поддерживать программу (-ы) аудита, включающую частоту, методы, ответственности, требования по планированию и отчету.
При разработке программы (-мм) внутреннего аудита организация должна учитывать важность соответствующих процессов и результаты предыдущих аудитов.
Организация должна:
Организация должна планировать, разрабатывать, внедрять и поддерживать программу (-ы) аудита, включающую частоту, методы, ответственности, требования по планированию и отчету.
При разработке программы (-мм) внутреннего аудита организация должна учитывать важность соответствующих процессов и результаты предыдущих аудитов.
Организация должна:
- a) определять критерии аудита и область действия каждого аудита;
- b) выбирать аудиторов и проводить аудиты, которые обеспечивают объективность и беспристрастность процесса аудита;
- c) обеспечивать отчет по результатам аудитов перед релевантными руководством; а также
Должна быть доступна документированная информация, подтверждающая выполнение программы (-мм) аудита и достижения результатов аудита.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования":
9.2
9.2 Внутренний аудит Организация должна проводить внутренние аудиты через запланированных интервалы времени, чтобы получать информацию о том,
a) соответствует ли система менеджмента информационной безопасности
1) собственным требованиям организации к ее системе менеджмента информационной безопасности; и
2) требованиям Настоящего Международного Стандарта;
b) что система менеджмента информационной безопасности результативно внедрена и функционирует. Организация должна:
c) планировать, разрабатывать, выполнять и управлять программой(ами) аудитов, включая периодичность их проведения, методы, ответственность, требования к планированию и отчетности. Программа (ы) аудитов должна учитывать значимость проверяемых процессов и результаты предыдущих аудитов;
d) определить критерии и область аудита для каждой проверки;
e) выбирать аудиторов и проводить аудиты так, чтобы гарантировать объективность и беспристрастность процесса аудита;
f) гарантировать, что результаты аудитов переданы на соответствующим руководителям, и
g) сохранять документированную информацию как подтверждение программы аудита и его результатов.
f) обеспечивать предоставление результатов аудитов соответствующим руководителям организации;
g) хранить документированную информацию в качестве свидетельств реализации программ(ы) аудита и результатов аудита.
a) соответствует ли система менеджмента информационной безопасности
1) собственным требованиям организации к ее системе менеджмента информационной безопасности; и
2) требованиям Настоящего Международного Стандарта;
b) что система менеджмента информационной безопасности результативно внедрена и функционирует. Организация должна:
c) планировать, разрабатывать, выполнять и управлять программой(ами) аудитов, включая периодичность их проведения, методы, ответственность, требования к планированию и отчетности. Программа (ы) аудитов должна учитывать значимость проверяемых процессов и результаты предыдущих аудитов;
d) определить критерии и область аудита для каждой проверки;
e) выбирать аудиторов и проводить аудиты так, чтобы гарантировать объективность и беспристрастность процесса аудита;
f) гарантировать, что результаты аудитов переданы на соответствующим руководителям, и
g) сохранять документированную информацию как подтверждение программы аудита и его результатов.
f) обеспечивать предоставление результатов аудитов соответствующим руководителям организации;
g) хранить документированную информацию в качестве свидетельств реализации программ(ы) аудита и результатов аудита.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Body":
9.2.2 Internal audit programme
9.2.2 Internal audit programme
The organization shall plan, establish, implement and maintain an audit programme (s), including the frequency, methods, responsibilities, planning requirements and reporting.
When establishing the internal audit programme (s), the organization shall consider the importance of the processes concerned and the results of previous audits.
The organization shall:
The organization shall plan, establish, implement and maintain an audit programme (s), including the frequency, methods, responsibilities, planning requirements and reporting.
When establishing the internal audit programme (s), the organization shall consider the importance of the processes concerned and the results of previous audits.
The organization shall:
- a) define the audit criteria and scope for each audit;
- b) select auditors and conduct audits that ensure objectivity and the impartiality of the audit process;
- c) ensure that the results of the audits are reported to relevant management; and
Documented information shall be available as evidence of the implementation of the audit programme (s) and the audit results.
NIST Cybersecurity Framework (EN):
PR.PT-1
PR.PT-1: Audit/log records are determined, documented, implemented, and reviewed in accordance with policy
ID.SC-4
ID.SC-4: Suppliers and third-party partners are routinely assessed using audits, test results, or other forms of evaluations to confirm they are meeting their contractual obligations.
Положение Банка России № 716-П от 08.04.2022 "О требованиях к системе управления операционным риском в кредитной организации и банковской группе":
Глава 8. Пункт 7.8
8.7.8. Подразделение (подразделения), ответственное (ответственные) за обеспечение функционирования информационных систем, не реже одного раза в год проводит (проводят) анализ необходимости пересмотра требований к информационным системам с учетом текущих и стратегических планов развития, их влияния на процессы, оценки уровня операционного риска, отраженной в отчетах по операционному риску, и мероприятий, направленных на повышение качества системы операционным риском и уменьшение негативного влияния операционного риска, а также с учетом отчетов службы информационной безопасности и подразделения, ответственного за обеспечение информационной безопасности, и направляет результаты анализа коллегиальному исполнительному органу кредитной организации (головной кредитной организации банковской группы) для принятия решения о пересмотре требований к информационным системам.
Глава 7. Пункт 11.
7.11. Уполномоченное подразделение проводит регулярную (не реже одного раза в год) независимую оценку соблюдения требований, установленных настоящей главой, в рамках оценки эффективности системы управления операционным риском.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.