Подготовка и рассылка отчета по аудиту информационной безопасности (раскрыть особенности составления и содержа

Особенностью подготовки отчета по аудиту информационной безопасности является несколько иная точка зрения на сбор и обработку сведений об информационной инфраструктуре экономического субъекта, чем при аудите состояния информационных систем. Так, например, при определении границ предстоящего аудита аудитору необходимо учесть:
• перечень обследуемых физических, программных и информационных ресурсов;
• помещения, попадающие в границы обследования;
• организационные (нормативно-правовые, административные и процедурные), физические, аппаратно-программные и прочие аспекты обеспечения информационной безопасности и их приоритеты.
Принимая задание на проведение аудита информационной безопасности, аудитор должен обозначить именно те проблемы, которые имеют наибольшее значение для данного конкретного экономического субъекта. С этой целью важно осуществить подготовительный этап, т.е. определить и согласовать с руководством этого субъекта конкретные цели и направления предстоящего аудиторского процесса.
Отчет по аудиту должен быть подготовлен и представлен в согласованные сроки. В случае задержки, о ее причинах следует сообщить проверяемой организации и лицу, ответственному за управление программой аудита.
Затем отчет по аудиту должен быть разослан получателям, определенным процедурами аудита, это могут быть руководитель предприятия и ответственным за проверенные участки и члены группы по аудиту [2].
Аудит считается завершенным, если все запланированные мероприятия аудита были выполнены.
Вся информация полученная во время аудита является конфиденциальной, и не должна раскрываться без согласия проверяемой организацией.
Делая выводы, полученные во время проведения аудита, проверяемая организация извлекает необходимые уроки для соответствующих действии в процессе постоянного улучшения системы менеджмента.
Заключения по результатам аудита могут в зависимости от целей аудита указывать на необходимость выполнения коррекций, корректирующих и предупреждающих действий или действий по улучшению. Такие действия, разрабатываются и выполняются проверяемой организацией в согласованные временные сроки (указанные в отчете).
Выполнение и результативность этих действий должны быть верифицированы. На последующих аудитах, проводится анализ о состоянии этих действии, и сравниваются с результативностью [3].