Методика оптимизации программы аудита интегрированных систем менеджмента
Ключевые слова:
информационная безопасность, интегрированная система менеджмента, стандарт, аудит, система менеджмента информационной безопасностиАннотация
Применение интегрированных систем менеджмента (ИСМ) в настоящее время привлекает внимание высшего руководства самых разных организаций: нефтеперерабатывающих, приборостроительных, авиационных и оборонных. Однако, на данный момент остается важной проблемой выполнение аудита в ИСМ — реализация в полном объеме комплекса проверок различных стандартов ISO при ограничении или существенном сокращении доступных ресурсов. В то же время постоянное совершенствование принципов управления, и в частности переход к мышлению, основанному на рисках, обеспечивают повышение интереса к рациональному применению стандартов ISO. В данном исследовании предлагается методика оптимизации программы аудита ИСМ, основанная на принципах непрерывной адаптации при поступлении данных в течение одного микроцикла аудита. Дополнительным преимуществом данной методики является применение численных метрик аудита информационной безопасности, способствующих постоянному повышению уровня обеспечения информационной безопасности организаций.Литература
1. ISO/IEC 27001:2013. Information technology. Security techniques. Information security management systems // Requirements, International Organization for Standardization. 2013. 23 p.
2. ISO 55000:2014 Asset management – Overview, principles and terminology // International Organization for Standardization, 2014. – 19 pages.
3. ISO 55001:2014 Asset management – Management systems – Requirements // International Organization for Standardization, 2014. – 14 pages.
4. ISO 55002:2014 Asset management – Management systems – Guidelines for the application of ISO 55001 // International Organization for Standardization, 2014. – 32 pages.
5. PAS-99:2012 «Specification of common management system requirements as a framework for integration»
6. Шишкин В.М., Юсупов Р.М. Доктрина информационной безопасности Российской Федерации — опыт количественного моделирования // Труды СПИИРАН. Вып. 1, т. 1. - СПб: СПИИРАН, 2002.
7. Юсупов Р. М., Шишкин В. М. О некоторых противоречиях в решении проблем информационной безопасности // Труды СПИИРАН. Вып. 6. — СПб.: Наука, 2008. С. 39–59.
8. Котенко И.В., Саенко И.Б., Юсупов Р.М. Аналитический обзор докладов Международного семинара «Научный анализ и поддержка политик безопасности в киберпространстве» (SA&PS4CS 2010) // Труды СПИИРАН. 2010, Вып. 2, стр. 226 – 248
9. Лившиц И.И. Практическая оценка результативности СМИБ в соответствии с требованиями различных систем стандартизации: ИСО 27001 и СТО Газпром / Лившиц И.И., Полещук А.В. // Труды СПИИРАН. – 2015. – № 3. – С. 33 – 44.
10. Лившиц И.И. Практические применимые методы оценки систем менеджмента информационной безопасности // Менеджмент качества. 2013. Вып. 1. С. 22–34.
11. Лившиц И.И. Подходы к применению модели интегрированной системы менеджмента для проведения аудитов сложных промышленных объектов – аэропортовых комплексов // Труды СПИИРАН. 2014. Вып. 6. С. 72–94.
12. Арзамазов М.А., Серов Г.П. Консолидация общих требований стандартов к отдельным системам менеджмента и инновации при разработке интегрированных систем менеджмента // Наука и технологии трубопроводного транспорта нефти и нефтепродуктов. – 2012. – № 1. – С. 52-55.
13. Малышева Е.Ю., Бобровский С.М. Архитектура информационной системы оценки интегрированных систем менеджмента // Вектор науки Тольяттинского государственного университета. – 2012. – № 1. – С. 64-67.
14. Ajam M., Alshawi M., Mezher T. Augmented process model for e-tendering: toward integrating object models with document management systems.
Automation in Construction. 2010. V. 19. № 6. pp. 762-778.
15. Шеверда В.В. Подходы к разработке интегрированных систем менеджмента на предприятиях электронной промышленности // Вопросы современной науки и практики. Университет им. В.И. Вернадского. – 2012. – № 3. – С. 250-254.
16. Mengersen K., Whittle P.J.L., et al. Beyond compliance: Project on an Integrated system approach for PEST risl management in South East Asia. EPPO Bulletin. 2012. V. 42. № 1. pp. 109-116.
17. Портянко Т.М. Тенденции создания интегрированных систем менеджмента на предприятиях промышленного комплекса // Восточно-Европейский журнал передовых технологий. – 2010. – Т. 2. № 8 (44). С. 40-43.
18. ГОСТ Р ИСО 19011:2011. Руководящие указания по проведению аудитов систем менеджмента;
19. Griffith A. Management systems for sustainable construction: Integrating Environmental, Quality and Safety management systems. International Journal of Environmental Technology & Management. 2002. V. 2. № 1-3. p. 114.
20. RAROC and risk management: Quantifying the risks of business. Bankers Trust New York Corporation, 1995.
21. Smith, Gordon E. (1992, ASQC) Massey University, Palmerston North, New Zealand, Auditing Statistical Methods for ISO 9001. Аnnual Quality Congress, Nashville TN Vol. 46 No. 0, QICID: 9905 May 1992 pp. 849-854
22. ГОСТ Р ИСО/МЭК 17021:2011. Оценка соответствия. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента;
23. ISO/IEC 27000:2014. Information technology. Security techniques. Information security management systems // Overview and vocabulary, International Organization for Standardization. 2014. 31 p.
24. ISO/IEC 27004:2009. Information technology. Security techniques. Information security management systems // Measurement, International Organization for Standardization. 2009. 55p.
2. ISO 55000:2014 Asset management – Overview, principles and terminology // International Organization for Standardization, 2014. – 19 pages.
3. ISO 55001:2014 Asset management – Management systems – Requirements // International Organization for Standardization, 2014. – 14 pages.
4. ISO 55002:2014 Asset management – Management systems – Guidelines for the application of ISO 55001 // International Organization for Standardization, 2014. – 32 pages.
5. PAS-99:2012 «Specification of common management system requirements as a framework for integration»
6. Шишкин В.М., Юсупов Р.М. Доктрина информационной безопасности Российской Федерации — опыт количественного моделирования // Труды СПИИРАН. Вып. 1, т. 1. - СПб: СПИИРАН, 2002.
7. Юсупов Р. М., Шишкин В. М. О некоторых противоречиях в решении проблем информационной безопасности // Труды СПИИРАН. Вып. 6. — СПб.: Наука, 2008. С. 39–59.
8. Котенко И.В., Саенко И.Б., Юсупов Р.М. Аналитический обзор докладов Международного семинара «Научный анализ и поддержка политик безопасности в киберпространстве» (SA&PS4CS 2010) // Труды СПИИРАН. 2010, Вып. 2, стр. 226 – 248
9. Лившиц И.И. Практическая оценка результативности СМИБ в соответствии с требованиями различных систем стандартизации: ИСО 27001 и СТО Газпром / Лившиц И.И., Полещук А.В. // Труды СПИИРАН. – 2015. – № 3. – С. 33 – 44.
10. Лившиц И.И. Практические применимые методы оценки систем менеджмента информационной безопасности // Менеджмент качества. 2013. Вып. 1. С. 22–34.
11. Лившиц И.И. Подходы к применению модели интегрированной системы менеджмента для проведения аудитов сложных промышленных объектов – аэропортовых комплексов // Труды СПИИРАН. 2014. Вып. 6. С. 72–94.
12. Арзамазов М.А., Серов Г.П. Консолидация общих требований стандартов к отдельным системам менеджмента и инновации при разработке интегрированных систем менеджмента // Наука и технологии трубопроводного транспорта нефти и нефтепродуктов. – 2012. – № 1. – С. 52-55.
13. Малышева Е.Ю., Бобровский С.М. Архитектура информационной системы оценки интегрированных систем менеджмента // Вектор науки Тольяттинского государственного университета. – 2012. – № 1. – С. 64-67.
14. Ajam M., Alshawi M., Mezher T. Augmented process model for e-tendering: toward integrating object models with document management systems.
Automation in Construction. 2010. V. 19. № 6. pp. 762-778.
15. Шеверда В.В. Подходы к разработке интегрированных систем менеджмента на предприятиях электронной промышленности // Вопросы современной науки и практики. Университет им. В.И. Вернадского. – 2012. – № 3. – С. 250-254.
16. Mengersen K., Whittle P.J.L., et al. Beyond compliance: Project on an Integrated system approach for PEST risl management in South East Asia. EPPO Bulletin. 2012. V. 42. № 1. pp. 109-116.
17. Портянко Т.М. Тенденции создания интегрированных систем менеджмента на предприятиях промышленного комплекса // Восточно-Европейский журнал передовых технологий. – 2010. – Т. 2. № 8 (44). С. 40-43.
18. ГОСТ Р ИСО 19011:2011. Руководящие указания по проведению аудитов систем менеджмента;
19. Griffith A. Management systems for sustainable construction: Integrating Environmental, Quality and Safety management systems. International Journal of Environmental Technology & Management. 2002. V. 2. № 1-3. p. 114.
20. RAROC and risk management: Quantifying the risks of business. Bankers Trust New York Corporation, 1995.
21. Smith, Gordon E. (1992, ASQC) Massey University, Palmerston North, New Zealand, Auditing Statistical Methods for ISO 9001. Аnnual Quality Congress, Nashville TN Vol. 46 No. 0, QICID: 9905 May 1992 pp. 849-854
22. ГОСТ Р ИСО/МЭК 17021:2011. Оценка соответствия. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента;
23. ISO/IEC 27000:2014. Information technology. Security techniques. Information security management systems // Overview and vocabulary, International Organization for Standardization. 2014. 31 p.
24. ISO/IEC 27004:2009. Information technology. Security techniques. Information security management systems // Measurement, International Organization for Standardization. 2009. 55p.
Опубликован
2016-10-10
Как цитировать
Лившиц, И. И. (2016). Методика оптимизации программы аудита интегрированных систем менеджмента. Труды СПИИРАН, 5(48), 52-68. https://doi.org/10.15622/sp.48.3
Раздел
Информационная безопасность
Авторы, которые публикуются в данном журнале, соглашаются со следующими условиями:
Авторы сохраняют за собой авторские права на работу и передают журналу право первой публикации вместе с работой, одновременно лицензируя ее на условиях Creative Commons Attribution License, которая позволяет другим распространять данную работу с обязательным указанием авторства данной работы и ссылкой на оригинальную публикацию в этом журнале.
Авторы сохраняют право заключать отдельные, дополнительные контрактные соглашения на неэксклюзивное распространение версии работы, опубликованной этим журналом (например, разместить ее в университетском хранилище или опубликовать ее в книге), со ссылкой на оригинальную публикацию в этом журнале.
Авторам разрешается размещать их работу в сети Интернет (например, в университетском хранилище или на их персональном веб-сайте) до и во время процесса рассмотрения ее данным журналом, так как это может привести к продуктивному обсуждению, а также к большему количеству ссылок на данную опубликованную работу (Смотри The Effect of Open Access).
