В ноябре 2011 года вышел новый стандарт ISO/IEC 27007:2011 - Информационные технологии. Методы обеспечения безопасности. Руководство для аудита систем менеджмента информационной безопасности.
Данный международный стандарт является руководством по управлению программами аудита систем менеджмента информационной безопасности (СМИБ) и проведению внутренних и внешних аудитов в соответствии с требованиями ISO/IEC 27001:2005. Данный стандарт также служит в качестве руководства по подготовке и оценке аудиторов СМИБ. Стандарт ISO/IEC 27007:2011 рекомендуется использовать совместно с положениями стандарта ISO 19011. На наш взгляд при адекватном и тщательном подходе к организации процесса внутреннего аудита необходимо иметь в руках оба стандарта ISO/IEC 27007 и ISO 19011.
Стандарт ISO/IEC 27007 не содержит требований, его наполнение – только рекомендации для процесса аудита СМИБ.
Стандарт ISO/IEC 27007:2011 предназначен для всех типов пользователей, может быть использован в малых, средних и крупных организациях.
ISO/IEC 27007 был подготовлен техническим комитетом ISO/IEC JTC 1, Information technology, Subcommittee SC 27, IT Security techniques.
Текст данного международного стандарта следует структуре стандарта ISO 19011. Дополнительные специфические руководства для СМИБ отмечены буквами «IS».
Обращаем внимание читателей на тот факт, что в настоящий момент в линейке стандартов серии ISO/IEC 27000 существуют похожие по тематике, но различные по предназначению стандарты. Это стандарты ISO/IEC 27006:2011 и ISO/IEC 27007:2011:
- ISO/IEC 27006:2011 - Информационные технологии. Методы обеспечения безопасности. Требования к органам, проводящим аудит и сертификацию систем менеджмента информационной безопасности.
- ISO/IEC 27007:2011 - Информационные технологии. Методы обеспечения безопасности. Руководство для аудита систем менеджмента информационной безопасности.
Стандарт ISO/IEC 27007:2011 мы рекомендуем приобрести и применять всем компаниям, планирующим внедрение и сертификацию СМИБ. Стандарт ISO/IEC 27006:2011 предназначен для сертификационных органов и мы не рекомендуем предприятиям рассматривать его в качестве собственной нормы.