Занимаясь ответственной работой, всегда удобно иметь карту грабель под рукой. С другой стороны, давать советы приятно не менее :). "Ну, поехали?" (с)
Планируйте!Структура методики оценки не однородна. Больше всего на итоговую оценку влияет направление защиты персональных данных. Во-первых, через уточняющие вопросы Приложения В (от них зависит четверть ваших ответов!). Во-вторых, через групповой показатель М9, который в отличие от всех остальных считается по минимуму и, фактически, определяет верхний порог итоговой оценки R!
Помним, что оценки по ПДн (EV*пд) попадут на стол Регуляторам, поэтому ближайшая цель аудита ИБ - показать хорошую оценку по ПДн!
Самый оптимальный способ - добиться одних единиц в показателе М9 и уточняющих вопросах Приложения В. Это вполне осуществимо, и, в случае успеха, вознаградит вас хорошими оценками по безопасности ПДн, хорошей перспективой на высокую итоговую оценку и, кроме того, избавит вас от утомительной работы с Приложением В (если в Приложении В все единицы - про него можно забыть).
Работайте в паре!
Это намного удобней и избавляет вас от необходимости говорить и писать одновременно. Один задаёт вопросы, другой со стороны наблюдает за разговором и формулирует выводы. Меняйтесь местами, иначе голосовые связки просто не выдержат!
Вопросы в методике оценки разбиты по темам. Однако намного удобней разбить вопросы по ролям - т.е. по сотрудникам Банка, ответственным за оцениваемый ЧП. Выписав все вопросы к данному сотруднику, можно смело идти на беседу. В противном случае, вам придется постоянно отвлекать людей от работы, бегая к ним с вопросом по нескольку раз в день.
Не допускайте двухсмысленных ответов. Если есть сомнение - ставьте "частично выполняется". Будет простор для роста.
Если сотрудник не может определиться с ответом - помогите ему и сформулируйте ответ сами. Ему будет проще согласиться или откорректировать готовый ответ, чем вникать в новую для него область знаний.
Все ответы сотрудника обязательно фиксируйте и давайте сотруднику на подпись. Без подписи получить такой же точно ответ во второй раз будет намного сложнее!
Часто возникает момент, когда выявленный недостаток может быть устранён на месте. Что в таком случае делать? - придите на следующий день. Но никогда не фиксируйте в документах то, чего ещё нет. Ваша честность - залог получения удовольствия от вашей работы!
продолжение следует...
Для хороших оценок, необходимо чтобы Планировал не только аудитор, но и Заказчик.
ОтветитьУдалитьЕсли он забил на ПДн и вопросы приложения В - то ничего не поможет получить ему высокую оценку.
Если он уделил внимание именно вопросам по ПДн, то и на аудите всё будет хорошо.