Курсы аудиторов информационной безопасности
Операции с документом

Добрый день, коллеги.
Помогите, пожалуйста, разобраться в следующих вопросах:
1. Я хочу получить сертификат, который позволит мне проводить на коммерческой основе в других организациях предварительный аудит на соответствие стандарту ISO 27001. После прохождения каких курсов я смогу получить такой сертификат?
2. Какие квалификационные требования предъявляются к организации, которая проводит предварительный аудит СУИБ на соответствие требованиям стандарта ISO 27001?
Помогите, пожалуйста, разобраться в следующих вопросах:
1. Я хочу получить сертификат, который позволит мне проводить на коммерческой основе в других организациях предварительный аудит на соответствие стандарту ISO 27001. После прохождения каких курсов я смогу получить такой сертификат?
2. Какие квалификационные требования предъявляются к организации, которая проводит предварительный аудит СУИБ на соответствие требованиям стандарта ISO 27001?
Например, после прохождения курсов BSI. Но не все так просто. Чтобы стать аудитором BSI нужно пройти через ряд этапов профессионального отбора. Подробнее уже обсуждалось:
http://www.iso27000.ru/zforum/view_topic?topic_id=115
Являясь аудитором BSI вы сможете принимать участие в сертификационных и предсертификационных аудитах СУИБ в составе команды органа по сертификации (BSI).
Квалификационные требования к органам по сертификации определяются международным стандартом ISO 27006.
Это что касается сертификационных аудитов.
Если речь идет просто об аудитах СУИБ по ISO 27001, то их могут проводить любые организации, располагающие достаточным уровнем экспертизы в данной области.
http://www.iso27000.ru/zforum/view_topic?topic_id=115
Являясь аудитором BSI вы сможете принимать участие в сертификационных и предсертификационных аудитах СУИБ в составе команды органа по сертификации (BSI).
Квалификационные требования к органам по сертификации определяются международным стандартом ISO 27006.
Это что касается сертификационных аудитов.
Если речь идет просто об аудитах СУИБ по ISO 27001, то их могут проводить любые организации, располагающие достаточным уровнем экспертизы в данной области.
Спасибо за ответ!
Правильно ли я понял?
1. Существует только 2 "официальных" вида аудита: сертификационный и предсертификационный, которые проводятся сертификационными органами.
2. Посещение курсов ведущих аудиторов дает в будущем право получить соответствующий статус, а также право занять вакантную должность в сертификационном органе.
3. Предоставление услуг "обычного" (не из п.1) аудита СУИБ по ISO 27001 является процедурой, которая "официально" ничем не регламентируется, но ее выдают за услугу предсертификационного (предварительного) аудита.
4. Для предоставления услуг из п.3 можно пройти любые курсы и получить сертификат для личного успокоения и возможного преимущества при квалификационном конкурсе.
Пожалуйста, исправьте, где ошибся.
Правильно ли я понял?
1. Существует только 2 "официальных" вида аудита: сертификационный и предсертификационный, которые проводятся сертификационными органами.
2. Посещение курсов ведущих аудиторов дает в будущем право получить соответствующий статус, а также право занять вакантную должность в сертификационном органе.
3. Предоставление услуг "обычного" (не из п.1) аудита СУИБ по ISO 27001 является процедурой, которая "официально" ничем не регламентируется, но ее выдают за услугу предсертификационного (предварительного) аудита.
4. Для предоставления услуг из п.3 можно пройти любые курсы и получить сертификат для личного успокоения и возможного преимущества при квалификационном конкурсе.
Пожалуйста, исправьте, где ошибся.
1. Еще есть постсертификационные аудиты, которые проводятся примерно раз в год, для поддержания сертификации (регистрации)
2. Скорее не право, а возможность
3. Проведение внешних аудитов третьей стороны может регламентироваться внутренними нормативными документами, принятыми в организации, в которой проводится аудит. Предварительный и предсертификационный аудит - разные вещи. Предварительный аудит проводится организацией-консультантом, не являющейся аккредитованным органом по сертификации, на этапе начала внедрения СУИБ с целью оценки текущего состояния организации и разработки программы внедрения и, возможно, подготовки к сертификации. Предсертификационный аудит проводится органом по сертификации с целью оценки готовности организации к сертификационному аудиту.
4. Можно и вовсе никаких курсов не проходит. Я, например, никаких курсов не проходил. Когда мы начинали внедрения СУИБ в России в 2004 году, еще никаких курсов не было. Мы самостоятельно изучали стандарты и разрабатывали методики их внедрения и аудита, а потом сами организовывали курсы.
2. Скорее не право, а возможность
3. Проведение внешних аудитов третьей стороны может регламентироваться внутренними нормативными документами, принятыми в организации, в которой проводится аудит. Предварительный и предсертификационный аудит - разные вещи. Предварительный аудит проводится организацией-консультантом, не являющейся аккредитованным органом по сертификации, на этапе начала внедрения СУИБ с целью оценки текущего состояния организации и разработки программы внедрения и, возможно, подготовки к сертификации. Предсертификационный аудит проводится органом по сертификации с целью оценки готовности организации к сертификационному аудиту.
4. Можно и вовсе никаких курсов не проходит. Я, например, никаких курсов не проходил. Когда мы начинали внедрения СУИБ в России в 2004 году, еще никаких курсов не было. Мы самостоятельно изучали стандарты и разрабатывали методики их внедрения и аудита, а потом сами организовывали курсы.
Разработано Ploneboard