Чем аудит информационной безопасности отличается от экспертизы?

Создано 30 Ноябрь 2017

Аудит - анализ соответствия принятой политике безопасности и операционным процедурам, обнаружение нарушений безопасности и выдача рекомендаций (O‘z DSt 2927:2015).
Экспертиза имеет более узкий смысловой диапазон и применяется чаще для получения ответа на конкретно поставленные вопросы. Например, судебно-медицинская экспертиза, баллистическая экспертиза, экспертиза уровня ущерба. Иногда, термин «экспертиза ИБ» мы применяем во избежание коннотации (смешивания) с финансовым аудитом, который давно определён в законодательстве Узбекистана.
Проще говоря, аудит - более широкое понятие. В ходе аудита ИБ может быть проведено несколько экспертиз, которые будут частью аудита.
Именно термин «аудит» используется во всех национальных и международных стандартах (ISO 270xx, PCI DSS, SWIFT CSCF). Но в том же так называемом опроснике nis.uz всё-таки используется термин «3.1.3 Проведение экспертизы состояния информационной безопасности».
Итак, оба термина «аудит ИБ» и «экспертиза ИБ» имеют много общего, но именно «Аудит ИБ» более корректное и содержательное (субстантивное) понятие.
Аудит информационной безопасности является нелицензируемым видом деятельности, для её проведения не требуется каких либо лицензий или разрешений.
Ранее мы отмечали, что в инициативном порядке обеспечиваем соответствие наших аудиторов требованиям профильных стандартов. Рекомендуем учитывать это (а не только цену) при выборе исполнителя аудита ИБ.

Аудит ИБ не является сертификацией (подтверждением соответствия объектов требованиям технических регламентов) и не является аттестацией объектов информатизациидля проведения этого вида работ уполномоченным органом выдается отдельный документ ‑ разрешение.

Узнать, что входит в состав аудита информационной безопасности и заказать его вы можете связавшись с нами.