პირველი და მეორე კატეგორიების კრიტიკული ინფორმაციული სისტემების სუბიექტების ინფორმაციული უსაფრთხოების აუდიტის ჩატარების წესის დადგენის შესახებ

პირველი და მეორე კატეგორიების კრიტიკული ინფორმაციული სისტემების სუბიექტების ინფორმაციული უსაფრთხოების აუდიტის ჩატარების წესის დადგენის შესახებ საქართველოს სახელმწიფო უსაფრთხოების სამსახური სსიპ – საქართველოს ოპერატიულ-ტექნიკური სააგენტოს უფროსის ბრძანება №20 2022 წლის 18 ივლისი ქ. თბილისი პირველი და მეორე კატეგორიების კრიტიკული ინფორმაციული სისტემების სუბიექტების ინფორმაციული უსაფრთხოების აუდიტის ჩატარების წესის დადგენის შესახებ „ინფორმაციული უსაფრთხოების შესახებ“ საქართველოს კანონის მე-6 მუხლის მე-7 პუნქტის, „საჯარო სამართლის იურიდიული პირის – საქართველოს ოპერატიულ-ტექნიკური სააგენტოს დებულების დამტკიცების შესახებ“ საქართველოს მთავრობის 2017 წლის 29 მარტის №157 დადგენილებით დამტკიცებული დებულების მე-6 მუხლის „ა“ და „ბ“ ქვეპუნქტების საფუძველზე, ვბრძანებ: მუხლი 1🔗 დამტკიცდეს პირველი და მეორე კატეგორიების კრიტიკული ინფორმაციული სისტემების სუბიექტების ინფორმაციული უსაფრთხოების აუდიტის ჩატარების წესი თანდართული რედაქციით. მუხლი 2🔗 ეს ბრძანება ამოქმედდეს გამოქვეყნებისთანავე.საჯარო სამართლის იურიდიული პირის - საქართველოს ოპერატიულ-ტექნიკური სააგენტოს უფროსიკობა კობიძე პირველი და მეორე კატეგორიის კრიტიკული ინფორმაციული სისტემების სუბიექტების ინფორმაციული უსაფრთხოების აუდიტის ჩატარების წესი თავი I ზოგადი დებულებები მუხლი 1🔗. მოქმედების სფერო 1. პირველი და მეორე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტების ინფორმაციული უსაფრთხოების აუდიტის ჩატარების წესი (შემდგომში – წესი) განსაზღვრავს პირველი და მეორე კატეგორიის კრიტიკული ინფორმაციული სისტემების სუბიექტების (შემდგომში – ორგანიზაცია) ინფორმაციული უსაფრთხოების მართვის სისტემის აუდიტის ჩატარების წესს და პროცედურას. 2. ეს წესი გამოყენება ყველა ტიპის ინფორმაციული უსაფრთხოების მართვის სისტემის აუდიტის განხორციელებისას, ორგანიზაციის მასშტაბის და ტიპის მიუხედავად. აღნიშნული დოკუმენტი გამოიყენება აუდიტორების მიერ, რომლებიც ახორციელებენ ინფორმაციული უსაფრთხოების მართვის სისტემის შიდა ან გარე აუდიტს. 3. ინფორმაციული უსაფრთხოების მართვის სისტემის აუდიტის კონკრეტული სახელმძღვანელო მითითებები მოცემულია ამ წესის დანართ №1-ში. მუხლი 2🔗. ტერმინთა განმარტება ა) აუდიტი – ობიექტური მტკიცებულებების სისტემატური და დამოუკიდებელი მოპოვების და ობიექტური შეფასების პროცესი აუდიტის კრიტერიუმების შესრულების შეფასების მიზნით; ბ) აუდიტის ობიექტი – ორგანიზაცია, რომლის აუდიტიც ხორციელდება სრულად ან ნაწილობრივ; გ) აუდიტის ფარგლები – აუდიტის გავრცელების საზღვრები; შენიშვნა: აუდიტის ფარგლები, როგორც წესი, მოიცავს ფიზიკურ და ვირტუალურ ლოკაციებს, ფუნქციებს, ორგანიზაციულ დანაყოფებს, აქტივობებს და პროცესებს, ისევე როგორც დროის პერიოდს, რომელსაც ფარავს აუდიტი; შენიშვნა: ვირტუალური ლოკაცია არის სამუშაოების განხორციელების ან სერვისების შეთავაზების ადგილი ონლაინგარემოს გამოყენებით, რაც საშუალებას აძლევს ინდივიდებს აღასრულონ პროცესები მათი ფიზიკური ადგილსამყოფლის მიუხედავად; დ) აუდიტის გეგმა – აუდიტის ღონისძიებების და აქტივობების აღწერა; ე) აუდიტის კრიტერიუმი – მოთხოვნები, რომლებთანაც ხდება ობიექტური მტკიცებულებების შედარება; შენიშვნა: მოთხოვნები შესაძლოა მოიცავდეს პოლიტიკებს, პროცედურებს, სამუშაო ინსტრუქციებს, სამართლებრივ მოთხოვნებს, სახელშეკრულებო ვალდებულებებს და ა.შ. ვ) ობიექტური მტკიცებულება – რაიმეს არსებობის ან ნამდვილობის მხარდამჭერი მონაცემები; შენიშვნა: ობიექტური მტკიცებულება შეიძლება მოპოვებულ იქნეს დაკვირვებით, გაზომვით, ტესტირებით ან სხვა საშუალებით; შენიშვნა: ობიექტური მტკიცებულება აუდიტის მიზნებისთვის, როგორც წესი, გულისხმობს ჩანაწერებს, ფაქტების გაცხადებას ან სხვა ინფორმაციას, რომელიც რელევანტურია აუდიტის კრიტერიუმებისთვის და რომლებიც ექვემდებარება ვერიფიკაციას; ზ) აუდიტორული მტკიცებულება – ჩანაწერები, ფაქტების გაცხადება ან სხვა ინფორმაცია, რომელიც რელევანტურია აუდიტის კრიტერიუმებისთვის და რომლებიც ექვემდებარება ვერიფიკაციას; თ) აუდიტით დადგენილი გარემოებები – შეგროვებული აუდიტორული მტკიცებულებების აუდიტის კრიტერიუმებთან მიმართებაში შეფასების შედეგები; შენიშვნა: აუდიტის დადგენილი გარემოებები ადგენს შესაბამისობას ან შეუსაბამობას; შენიშვნა 2: აუდიტით დადგენილმა გარემოებებმა შეიძლება გამოიწვიოს რისკების და გაუმჯობესების შესაძლებლობების გამოვლენა; ი) აუდიტის დასკვნა – აუდიტის შედეგი, აუდიტის მიზნების და აუდიტით დადგენილი გარემოებების განხილვის შემდეგ; კ) აუდიტორი – პირი, რომელიც ახორციელებს აუდიტს; ლ) ტექნიკური სპეციალისტი – პირი, რომელიც უზრუნველყოფს აუდიტორს სპეციალური ცოდნით ან გამოცდილებით; შენიშვნა: სპეციალური ცოდნა ან გამოცდილება უკავშირდება ორგანიზაციას, აქტივობას, პროცესს, პროდუქტს, სერვისს, დისციპლინას, ენას ან კულტურას; შენიშვნა: ტექნიკური სპეციალისტი არ მოქმედებს როგორც აუდიტორი; მ) მართვის სისტემა – ორგანიზაციის ურთიერთდამოკიდებული ან ურთიერთდაკავშირებული ელემენტების ერთობლიობა, რომელიც გამოიყენება პოლიტიკების, მიზნების და ამ მიზნების მიღწევს პროცესების დასანერგად; შენიშვნა 1: მართვის სისტემა შესაძლოა მიემართებოდეს ერთ ან რამდენიმე დისციპლინას; შენიშვნა 2: სისტემის ელემენტები მოიცავს ორგანიზაციის სტრუქტურას, როლებს და პასუხისმგებლობას, დაგეგმვას და ოპერირებას; შენიშვნა  3: მართვის სისტემის ფარგლები შესაძლოა მოიცავდეს მთლიან ორგანიზაციას, მის განსაზღვრულ ფუნქციებს ან სექციებს, ასევე ერთ ან რამდენიმე ფუნქციას ორგანიზაციების ჯგუფში; ნ) რისკი – მიზნებთან დაკავშირებული გაურკვევლობის ეფექტი; შენიშვნა 1: ეფექტი არის გადახრა მოსალოდნელისგან – პოზიტიური ან ნეგატიური; შენიშვნა 2: გაურკვევლობა არის მოვლენის, მისი შედეგების ან  ხდომილების ალბათობის გაგებასთან ან ცოდნასთან დაკავშირებული ინფორმაციის ნაკლებობა; შენიშვნა 3: რისკი, როგორც წესი, განიმარტება როგორც პოტენციური „მოვლენები“ და „შედეგები“ ან მათი კომბინაცია; შენიშვნა 4: რისკი ხშირად გამოიხატება, როგორც მოვლენის შედეგების და მისი ხდომილების ალბათობის კომბინაცია; შენიშვნა 5: ინფორმაციული უსაფრთხოების მართვის სისტემის კონტექსტში, ინფორმაციული უსაფრთხოების რისკი შესაძლოა გამოიხატოს როგორც გაურკვევლობით გამოწვეული ეფექტი ინფორმაციული უსაფრთხოების მიზნებზე; შენიშვნა 6: ინფორმაციული უსაფრთხოების რისკი უკავშირდება პოტენციურ შესაძლებლობას, რომ საფრთხეები ისარგებლებენ ინფორმაციული აქტივის ან ინფორმაციული აქტივების ჯგუფის  სისუსტეებით და ამგვარად ზიანს მიაყენებენ ორგანიზაციას. ო) შესაბამისობა – მოთხოვნების შესრულება; პ) კომპეტენცია – ცოდნისა და უნარების გამოყენების შესაძლებლობა სასურველი შედეგების მისაღწევად; ჟ) მოთხოვნა – საჭიროება ან მოლოდინი, რომელიც გაცხადებულია, ზოგადად იგულისხმება ან სავალდებულოა; რ) პროცესი – ურთიერთდაკავშირებული ან ურთიერთდამოკიდებული აქტივობების ერთობლიობა, რომელიც გარდაქმნის მიწოდებას შედეგად; ს) შესრულება – გაზომვადი შედეგი; ტ) ეფექტიანობა – დაგეგმილი აქტივობების რეალიზების და დაგეგმილი შედეგების მიღწევის მაჩვენებელი. მუხლი 3🔗. აუდიტის პრინციპები აუდიტის პრინციპებია: ა) მთლიანობა – გულისხმობს, რომ აუდიტორები საქმიანობას ახორციელებენ: ა.ა) ეთიკურად, პატიოსნად და პასუხისმგებლობით; ა.ბ) მხოლოდ სათანადო კომპეტენციის შემთხვევაში; ა.გ) დამოუკიდებლად; ბ) სამართლიანი ასახვა – ზუსტი და სანდო ასახვის ვალდებულება; გ) სათანადო პროფესიული მზრუნველობა – აუდიტის დროს დასაბუთებული მსჯელობა და გულმოდგინება; დ) კონფიდენციალობა – ინფორმაციის უსაფრთხოება; ე) დამოუკიდებლობა – აუდიტის მიუკერძოებლობის და აუდიტის დასკვნების ობიექტურობის საფუძველი; ვ) მტკიცებულებებზე დაფუძნებული მიდგომა – რაციონალური მეთოდი სანდო და განმეორებადი აუდიტორული დასკვნის მისაღებად სისტემური აუდიტის პროცესში; ზ) რისკებზე დაფუძნებული მიდგომა – აუდიტორული მიდგომა, რომელიც მხედველობაში იღებს რისკებს და შესაძლებლობებს. მუხლი 4🔗. ინფორმაციული უსაფრთხოების აუდიტის პერიოდულობა 1. ორგანიზაცია ვალდებულია განახორციელოს იუმს-ის სრული აუდიტი მინიმუმ სამ წელიწადში ერთხელ.  ინფორმაციული უსაფრთხოების აუდიტი უნდა მოიცავდეს იუმს-ის გავრცელების სფეროს სრულად. 2. იუმს-ით მოცული პროცესების რაოდენობის და კომპლექსურობის გათვალისწინებით, შესაძლებელია ინფორმაციული უსაფრთხოების აუდიტი დაიყოს ცალკეულ ნაწილებად და ჩატარდეს ეტაპობრივად, იუმს-ში შემავალი ცალკეული პროცესების ინფორმაციული უსაფრთხოების დამოუკიდებელი აუდიტის ჩატარების სახით. ამ შემთხვევაში: ა) უნდა დადგინდეს თითოეული ინფორმაციული უსაფრთხოების აუდიტის ფარგლები ამ წესის მე-8 მუხლით განსაზღვრული კრიტერიუმების გათვალისწინებით. ინფორმაციული უსაფრთხოების აუდიტის ფარგლების განსაზღვრა უნდა ეფუძნებოდეს აუდიტის ობიექტის მოცულობას და ბუნებას, ისევე როგორც იუმს-ის კომპლექსურობას, ფუნქციონირებას, რისკების და შესაძლებლობების ტიპებს, იუმს-ის მზაობის დონეს; ბ) ინფორმაციული უსაფრთხოების აუდიტმა უნდა მოიცვას ორგანიზაციის იუმს-ის გავრცელების ფარგლებში არსებულ პროცესები სრულად, ამ მუხლის პირველ პუნქტში მითითებული პერიოდის დასრულებამდე.     მუხლი 5🔗. აუდიტის გეგმა 1. აუდიტის განხორციელების დაწყებამდე უნდა შედგეს აუდიტის განხორციელების გეგმა. აუდიტის გეგმა უნდა მოიცავდეს ინფორმაციას და რესურსებს, რომლებიც აუცილებელია აუდიტორების მიერ დროის განსაზღვრულ მონაკვეთში აუდიტის ეფექტიანი განხორციელებისთვის. კერძოდ, გეგმა უნდა განსაზღვრავდეს: ა) აუდიტის მიზნებს; ბ) აუდიტის განხორციელებასთან დაკავშირებულ რისკებს და შესაძლებლობებს; გ) აუდიტის ფარგლებს, კერძოდ, აუდიტის ობიექტის იუმს-ის ფარგლებში არსებულ ფუნქციებს, პროცესებს და ლოკაციებს (ფიზიკურს და ვირტუალურს), რომლებიც ექვემდებარებიან აუდიტს; დ) აუდიტის დროით გრაფიკს; ე) აუდიტის ტიპს (შიდა ან გარე აუდიტი); ვ) აუდიტის კრიტერიუმებს; ზ) აუდიტის მეთოდებს; თ) აუდიტორების შერჩევის კრიტერიუმებს; ი) შესაბამის დოკუმენტირებულ ინფორმაციას. 2. აუდიტის გეგმის დეტალიზაცია და ფარგლები შესაძლოა განსხვავდებოდეს სხვადასხვა ფაქტორების გათვალისწინებით (მაგ.: პირველი და მომდევნო აუდიტი, ასევე შიდა და გარე აუდიტი). აუდიტის გეგმა  უნდა იძლეოდეს მასში ცვლილებების შეტანის შესაძლებლობას აუდიტის ღონისძიებების განხორციელების პროცესში. 3. აუდიტის მიზნების მისაღწევად აუდიტის განხორციელება უნდა კონტროლდებოდეს და იზომებოდეს მიმდინარე რეჟიმში. აუდიტის გეგმა უნდა გადაიხედოს მასში ცვლილებების შეტანის საჭიროების განსაზღვრის მიზნით. მუხლი 6🔗. აუდიტის მიზნების განსაზღვრა 1. აუდიტის გეგმით განისაზღვრება აუდიტის მიზნები.  აუდიტის მიზნები განსაზღვრავს, თუ რა უნდა იქნეს მიღწეული აუდიტის მიერ და შესაძლოა მოიცავდეს: ა) იუმს-ის შესაბამისობის დონის განსაზღვრას აუდიტის კრიტერიუმებთან; ბ) იუმს-ის შესაძლებლობის შეფასებას მხარი დაუჭიროს აუდიტის ობიექტის მისწრაფებას მიაღწიოს შესაბამისი სამართლებრივი აქტებით და რეგულაციებით განსაზღვრულ მოთხოვნებთან შესაბამისობას; გ) იუმს-ის ეფექტიანობის შეფასებას განსაზღვრული შედეგების მიღწევის პროცესში; დ) იუმს-ის გაუმჯობესების პოტენციური შესაძლებლობების გამოვლენას; ე) იუმს-ის შესაბამისობას და სათანადოობას აუდიტის ობიექტის კონტექსტთან და სტრატეგიულ მიმართულებებთან; ვ) იუმს-ის შესაძლებლობის შეფასებას განსაზღვროს და მიაღწიოს მიზნებს და ეფექტიანად მოეპყრას რისკებს და შესაძლებლობებს; ზ) შესაბამის სამართლებრივ, სახელშეკრულებო და სხვა მოთხოვნებთან შესაბამისობის დემონსტრირებას; თ) აუდიტის ობიექტის მიერ რისკების მენეჯმენტის შესაძლებლობებში დარწმუნებას; ი) ინფორმაციული უსაფრთხოების რისკების და შესაძლებლობების მოპყრობის მიზნით განხორციელებული ქმედებების ეფექტიანობის შეფასებას; კ) შეფასებას, თუ რამდენად ადეკვატურად ახდენს იუმს-ი ინფორმაციული უსაფრთხოების მოთხოვნების იდენტიფიცირებას და მოპყრობას; ლ) ინფორმაციული უსაფრთხოების კონტროლების შესაბამისობის განსაზღვრას იუმს-ის მიზნებთან და პროცედურებთან. 2. ამ მუხლის პირველი პუნქტით გათვალისწინებული აუდიტის მიზნების განსაზღვრისას მხედველობაში მიიღება: ა) შესაბამისი  შიდა და გარე დაინტერესებული მხარეების საჭიროებები და მოლოდინები; ბ) პროცესების, პროდუქტების, სერვისების და პროექტების მახასიათებლები და მოთხოვნები; გ) ოტს 27001:2021-ის მოთხოვნები; დ) აუდიტის ობიექტის ფუნქციონირების დონე ინფორმაციული უსაფრთხოების შემთხვევებთან და ინციდენტებთან დაკავშირებით და იუმს-ის ეფექტიანობა; ე)  ინფორმაციული უსაფრთხოების იდენტიფიცირებული მოთხოვნები; ვ) ინფორმაციული უსაფრთხოების რისკები შესაბამისი მხარეებისთვის; ზ) გარე მომწოდებლების შეფასების საჭიროება; თ) წინა აუდიტის შედეგები. მუხლი 7🔗. აუდიტის რისკების და შესაძლებლობების განსაზღვრა 1. მხედველობაში უნდა იქნეს მიღებული რისკები, რომლებმაც შესაძლოა გავლენა იქონიონ აუდიტის მიზნების მიღწევაზე. აუდიტის განმახორციელებელმა პირებმა უნდა განსაზღვრონ და აუდიტის ობიექტს წარუდგინონ რისკები და შესაძლებლობები, რომლებიც მხედველობაში უნდა იქნეს მიღებული აუდიტის დაგეგმვის და რესურსების განსაზღვრის დროს. რისკები შესაძლოა უკავშირდებოდეს: ა) დაგეგმვას – მაგალითად, აუდიტის არასათანადო მიზნების, აუდიტის ფარგლების, ხანგრძლივობის, ლოკაციების და დროის გრაფიკების არასათანადო განსაზღვრას; ბ) რესურსებს – არასაკმარისი დროის, აღჭურვილობის ან/და ტრენინგების გამოყოფას აუდიტის დაგეგმვის და ჩატარების დროს; აუდიტისთვის საჭირო რესურსების განსაზღვრისას აუცილებელია მხედველობაში იქნეს მიღებული შემდეგი გარემოებები: ბ.ა) ფინანსური და დროითი რესურსები, რომლებიც საჭიროა აუდიტის ღონისძიებების განსაზღვრის აღსრულების, მართვის და გაუმჯობესების მიზნით; ბ.ბ) აუდიტის მეთოდები; ბ.გ) აუდიტორების და ტექნიკური სპეციალისტების ხელმისაწვდომობა, რომლებსაც აქვთ სათანადო კომპეტენცია ამ კონკრეტული აუდიტის მიზნებისთვის; ბ.დ) აუდიტის ფარგლები, აუდიტის რისკები და შესაძლებლობები; ბ.ე) მოგზაურობასთან, მათ შორის განთავსებასთან დაკავშირებული ხარჯები, დრო და ა.შ.; ბ.ვ) საინფორმაციო და საკომუნიკაციო საშუალებების ხელმისაწვდომობა (მაგ.: ტექნიკური აღჭურვილობა, რომელიც საჭიროა დისტანციური აუდიტის განსახორციელებლად); ბ.ზ) სპეციალური საშუალებების, ტექნოლოგიების და აღჭურვილობის საჭიროება და ხელმისაწვდომობა; ბ.თ) საჭირო დოკუმენტირებული ინფორმაციის ხელმისაწვდომობა; ბ.ი) ნებართვების დაშვებების საჭიროება და მათი ხელმისაწვდომობა; გ) აუდიტის ჯგუფის შერჩევას – მაგალითად, აუდიტის ეფექტიანი განხორციელებისთვის არასაკმარის კომპეტენციას; დ) დოკუმენტირებული ინფორმაციის კონტროლს – მაგალითად აუდიტორებისთვის საჭირო დოკუმენტირებული ინფორმაციის არასწორ განსაზღვრას, აუდიტის ჩანაწერების დაუცველობას და ა.შ. 2. აუდიტის გაუმჯობესების შესაძლებლობები შესაძლოა მოიცავდეს: ა) რამდენიმე აუდიტორული ღონისძიების ერთი ვიზიტის ფარგლებში განხორციელებას; ბ) ადგილზე მისასვლელად დროის და ხარჯების მაქსიმალურად შემცირებას; გ) აუდიტის განხორციელების თარიღების დაგეგმვას აუდიტის ობიექტის წამყვანი თანამშრომლების ხელმისაწვდომობის გათვალისწინებით და ა.შ. მუხლი 8🔗. აუდიტის ფარგლების განსაზღვრა 1. აუდიტის ფარგლები უნდა შეესაბამებოდეს აუდიტის მიზნებს. იგი მოიცავს ისეთ ფაქტორებს, როგორიც არის ლოკაციები, ფუნქციები, აქტივობები და პროცესები, რომლებიც ექვემდებარებიან აუდიტს, ასევე დროით გრაფიკს. 2. აუდიტის ფარგლები განისაზღვრება აუდიტორის მიერ. აღნიშნული შესაძლოა მნიშვნელოვანად განპირობებული იყოს აუდიტის ობიექტის მიერ მოწოდებული ინფორმაციით კონტექსტის შესახებ. აუდიტის ფარგლების განსაზღვრაზე შესაძლოა გავლენა იქონიოს შემდეგმა ფაქტორებმა: ა)  აუდიტის მიზანი, ხანგრძლივობა, ჩასატარებელი ღონისძიებების რაოდენობა, მოხსენების მეთოდი; ბ) აუდიტის სათანადო კრიტერიუმები, როგორიც არის მართვის სისტემის სტანდარტები, სამართლებრივი ან სახელშეკრულებო მოთხოვნები და სხვა მოთხოვნები, რომლებიც ვრცელდება ორგანიზაციაზე; გ) აუდიტს დაქვემდებარებული აქტივობების რაოდენობა, მნიშვნელობა, კომპლექსურობა, მსგავსება და ადგილმდებარეობა; დ) ფაქტორები, რომლებსაც გავლენა აქვთ იუმს-ზე; ე) წინა შიდა ან გარე აუდიტის შედეგები და მენეჯმენტის მიერ გადახედვის შედეგები; ვ) ენობრივი, კულტურული და სოციალური საკითხები; ზ) დაინტერესებული პირების მიერ წამოჭრილი პრობლემები, როგორებიც არის მომხმარებლების საჩივრები, საკანონმდებლო და მარეგულირებელ მოთხოვნებთან შეუსაბამობა და ა.შ.   თ) აუდიტის ობიექტის კონტექსტში ან მის ფუნქციონირებაში განხორციელებული მნიშვნელოვანი ცვლილებები და აღნიშნულთან დაკავშირებული რისკები და შესაძლებლობები; ი) გარე ან შიდა მოვლენები, როგორიც არის პროდუქტების ან სერვისების შეუსაბამობა, ინფორმაციული უსაფრთხოების დარღვევა, ჯანმრთელობასთან და უსაფრთხოებასთან დაკავშირებული საკითხები, კრიმინალური აქტები ან გარემოსთან დაკავშირებული ინციდენტები; კ) ბიზნესრისკები და შესაძლებლობები, მათ შორის მათი მოპყრობის მიზნით განხორციელებული ქმედებები. 2. იუმს-ის აუდიტის ფარგლები შესაძლოა ითვალისწინებდეს: ა) იუმს-ის ზომას, მათ შორის: ა.ა) ორგანიზაციის კონტროლს ქვეშ მყოფი თანამშრომლების საერთო რაოდენობას და მესამე პირებთან და კონტრაქტორებთან ურთიერთობას, რომლებიც რელევანტურია იუმს-ისთვის; ა.ბ) ინფორმაციული სისტემების რაოდენობას; ა.გ) იუმს-ის მიერ მოცული  ლოკაციების რაოდენობას; ბ) იუმს-ის კომპლექსურობას (პროცესების და აქტივობების რაოდენობას და კრიტიკულობას), მათ შორის იუმს-ის გავრცელების ფარგლებში არსებულ საიტებს შორის სხვაობებს; გ) იუმს-ისთვის იდენტიფიცირებული ინფორმაციული უსაფრთხოების რისკების მნიშვნელობას; დ) იუმს-ის დაგეგმვის ეტაპზე განსაზღვრული რისკების და შესაძლებლობების მნიშვნელობას; ე) იუმს-ის გავრცელების სფეროში არსებული ინფორმაციის კონფიდენციალობის, მთლიანობის და ავთენტურობის დაცვის მნიშვნელობას; ვ) აუდიტს დაქვემდებარებული ინფორმაციული სისტემების კომპლექსურობას, მათ შორის გამოყენებული ტექნოლოგიების კომპლექსურობას; ზ) მსგავსი საიტების რაოდენობას. 3. აუდიტის პრიორიტეტების განსაზღვრისას უფრო დეტალური შესწავლა უნდა განხორციელდეს ინფორმაციული უსაფრთხოების რისკების მნიშვნელობის და ბიზნეს მოთხოვნების გათვალისწინებით. მუხლი 9🔗. აუდიტის კრიტერიუმების განსაზღვრა 1. აუდიტის კრიტერიუმები წარმოადგენენ სახელმძღვანელო მითითებებს, რომელთა მიმართებაშიც უნდა განხორციელდეს შესაბამისობის შემოწმება. 2. აუდიტის კრიტერიუმებს შესაძლოა წარმოადგენდეს: ა) აუდიტის ობიექტის მიერ მიღებული ინფორმაციული უსაფრთხოების პოლიტიკა, ინფორმაციული უსაფრთხოების მიზნები, პოლიტიკები და პროცედურები; ბ) აუდიტის ობიექტისთვის რელევანტური სახელშეკრულებო და სხვა სახის მოთხოვნები; გ) აუდიტის ობიექტის ინფორმაციული უსაფრთხოების რისკების კრიტერიუმები, ინფორმაციული უსაფრთხოების რისკების შეფასების პროცესი და რისკების მოპყრობის პროცესი; დ) გამოყენებადობის განაცხადი, სექტორ-სპეციფიკური და სხვა საჭირო კონტროლები, მათი გათვალისწინების საჭიროების დასაბუთება, კონტროლების აღსრულების სტატუსის განსაზღვრა და ოტს 27002:2021-ით გათვალისწინებული კონტროლებიდან გამონაკლისების დაშვების დასაბუთება; ე) ინფორმაციული უსაფრთხოებს ფუნქციონირების და იუმს-ის ეფექტიანობის შეფასების მონიტორინგის, გაზომვის, ანალიზის და შეფასების მეთოდები და კრიტერიუმები; ვ) მომხმარებლის მიერ მოწოდებული ინფორმაციული უსაფრთხოების მოთხოვნები; ზ) ინფორმაციული უსაფრთხოების მოთხოვნები, რომლებიც გამოიყენება მომწოდებლის ან აუთსორსინგის განმახორციელებელი სუბიექტის მიერ. მუხლი 10🔗. ცვლილება აუდიტის მიზნებში, ფარგლებში და კრიტერიუმებში მომხდარი ნებისმიერი ცვლილების შემთხვევაში აუდიტის გეგმა უნდა იქნეს მოდიფიცირებული და კომუნიცირებული დაინტერესებულ მხარეებთან საჭიროების შემთხვევაში თანხმობის მიღების მიზნით. მუხლი 11🔗. აუდიტის განმახორციელებელი პირების შერჩევა და როლების განაწილება 1. ინფორმაციული უსაფრთხოების აუდიტის განხორციელებაში მონაწილეობა შესაძლოა მიიღონ პირებმა, რომლებიც აკმაყოფილებენ და გავლილი აქვთ ავტორიზაცია კანონმდებლობით დადგენილი წესით. 2. აუდიტის  პირთა ჯგუფის მიერ განხორციელების შემთხვევაში, უნდა განისაზღვროს ჯგუფის ხელმძღვანელი, რომელიც პასუხისმგებელი იქნება აუდიტის ჩატარებაზე. თუ აუდიტს ატარებს ერთი პირი, იგი იმავდროულად წარმოადგენს აუდიტის ჩატარებაზე პასუხისმგებელ პირს. მუხლი 12🔗. მეთოდოლოგიის განსაზღვრა 1. აუდიტორმა აუდიტის ეფექტიანი განხორციელების მიზნით უნდა შეარჩიოს და განსაზღვროს მეთოდები აუდიტის მიზნებიდან, ფარგლებიდან და კრიტერიუმებიდან გამომდინარე. 2. აუდიტი შეიძლება განხორციელდეს ადგილზე გასვლით, დისტანციურად ან ამ მეთოდების კომბინაციით. მეთოდების გამოყენება სათანადოდ უნდა იქნეს დაბალანსებული და ეფუძნებოდეს რისკების და შესაძლებლობების განხილვას. მუხლი 13🔗. აუდიტის ჩანაწერების მართვა 1. აუდიტის ჩატარებაზე პასუხისმგებელმა პირმა უნდა უზრუნველყოს, რომ აუდიტის ჩანაწერები იწარმოება, იმართება და ინახება აუდიტის განხორციელების დადასტურების მიზნით. უნდა იქნეს მიღებული შესაბამისი პროცესები/ზომები აუდიტის ჩანაწერების კონფიდენციალობის დასაცავად. 2. ჩანაწერები შესაძლოა მოიცავდეს: ა) აუდიტის დროით გრაფიკს; ბ) აუდიტის მიზნებს და ფარგლებს; გ) აუდიტის ჩატარებასთან დაკავშირებულ რისკებს და შესაძლებლობებს და გარე და შიდა პრობლემებს; დ) აუდიტის ეფექტიანობის გადახედვას. ე) აუდიტის გეგმებს და აუდიტის მოხსენებებს; ვ) აუდიტორულ მტკიცებულებებს და აუდიტის მიერ დადგენილ გარემოებებს; ზ) შეუსაბამობების მოხსენებებს; თ) მაკორექტირებელი ქმედებების მოხსენებებს; ი) აუდიტის შემდგომ მოხსენებებს; კ) აუდიტის განმახორციელებელი პირების, მათი შერჩევის და მათი კომპეტენციის შესახებ ჩანაწერებს. 3. ჩანაწერების ფორმა და დეტალიზაცია უნდა იძლეოდეს აუდიტის შედეგების მიღწევის შესახებ დასკვნის გამოტანის შესაძლებლობას. თავი II აუდიტის განხორციელება მუხლი 14🔗. კომუნიკაცია აუდიტის ობიექტთან აუდიტზე პასუხისმგებელმა პირმა უნდა უზრუნველყოს კავშირის დამყარება აუდიტის ობიექტთან, რათა: ა) განსაზღვროს საკომუნიკაციო არხები აუდიტის ობიექტის წარმომადგენლებთან; ბ) დაადასტუროს აუდიტის განხორციელების უფლებამოსილება; გ) მიაწოდოს ინფორმაცია აუდიტის მიზნების, ფარგლების, კრიტერიუმების, მეთოდების და აუდიტის ჯგუფის წევრების შესახებ, მათ შორის ტექნიკური სპეციალისტების შესახებ; დ) დაგეგმვის მიზნით მოითხოვოს წვდომა რელევანტურ ინფორმაციაზე; ე) განსაზღვროს შესაბამისი საკანონმდებლო და მარეგულირებელი მოთხოვნები და სხვა მოთხოვნები დაკავშირებული აუდიტის ობიექტის აქტივობებთან, პროცესებთან, პროდუქტებთან და სერვისებთან; ვ) მიაღწიოს შეთანხმებას აუდიტის ობიექტთან კონფიდენციალური ინფორმაციის გამჟღავნების ფარგლების და მოპყრობის შესახებ; ზ) შეათანხმოს აუდიტის ღონისძიებები, მათ შორის დროის გრაფიკი; თ) შეათანხმოს ცალკეულ ლოკაციებზე დაშვებასთან, ასევე ჯანმრთელობის, უსაფრთხოების და კონფიდენციალობის დაცვასთან დაკავშირებული საკითხები და ა.შ.; ი) შეათანხმოს დამკვირვებლების და, საჭიროების შემთხვევაში, თარჯიმნების დასწრების საკითხი. მუხლი 15🔗. კომუნიკაცია აუდიტის გახორციელებისას 1. აუდიტის დროს შესაძლოა საჭირო იყოს აუდიტის ობიექტთან და პოტენციურად გარე დაინტერესებულ მხარეებთან (მაგ.: მარეგულირებლებთან) საკომუნიკაციო არხების ორგანიზება, განსაკუთრებით იმ შემთხვევაში, თუ საკანონმდებლო ან მარეგულირებელი მოთხოვნები ითვალისწინებს შეუსაბამობების სავალდებულო მოხსენებას. 2. აუდიტის ჯგუფი უნდა ახდენდეს აუდიტის მიმდინარეობის პერიოდულ შეფასებას და, საჭიროების შემთხვევაში, ფუნქციების და მოვალეობების გადანაწილებას აუდიტის ჯგუფის წევრებს შორის. 3. აუდიტის დროს შეგროვებული მტკიცებულებები, რომლებიც მიუთითებენ მნიშვნელოვან და იმწუთიერ რისკებზე დაუყოვნებლივ უნდა ეცნობს აუდიტის ობიექტს. გამოვლენილი პრობლემა, რომელიც სცდება აუდიტის ფარგლებს, უნდა იქნეს დაფიქსირებული და მიღებულ იქნეს გადაწყვეტილება აუდიტის ობიექტის ინფორმირების მიზანშეწონილობის თაობაზე. 4. თუ აუდიტორული მტკიცებულება მეტყველებს, რომ აუდიტის მიზნების მიღწევა შეუძლებელია, აღნიშნულის შესახებ უნდა ეცნობოს აუდიტის ობიექტს შემდგომი ქმედებების განსაზღვრის მიზნით. აღნიშნული ქმედებები შესაძლოა მოიცავდეს ცვლილებებს აუდიტის გეგმაში, აუდიტის მიზნებსა და აუდიტის ფარგლებში ან აუდიტის შეწყვეტას. 5. გეგმაში განსახორციელებელი ცვლილებები, რომელთა საჭიროებაც შესაძლოა გამოვლენილ იქნეს აუდიტის მიმდინაროების პროცესში, უნდა შეთანხმდეს აუდიტორს და აუდიტის ობიექტს შორის.    მუხლი 16🔗. დოკუმენტირებული ინფორმაციის  გადახედვა 1. აუდიტი ობიექტის რელევანტური დოკუმენტაცია უნდა გადაიხედოს, რათა: ა) განისაზღვროს სისტემის დოკუმენტური შესაბამისობა აუდიტის კრიტერიუმთან; ბ) შეგროვებულ იქნეს ინფორმაცია აუდიტის ღონისძიებების მხარდასაჭერად. 2. იუმს-ის აუდიტორებმა უნდა დაადასტურონ, რომ აუდიტის ფარგლებში არსებული აუდიტის კრიტერიუმებით განსაზღვრული დოკუმენტირებული ინფორმაცია არსებობს და აკმაყოფილებს ამ კრიტერიუმებით განსაზღვრულ მოთხოვნებს. 3. იუმს-ის აუდიტორებმა უნდა დაადასტურონ, რომ განსაზღვრული კონტროლები წარმოადგენენ რისკების შეფასების და რისკების მოპყრობის პროცესების შედეგს და შესაბამისად უკავშირდებიან ინფორმაციული უსაფრთხოების პოლიტიკას და მიზნებს. 4. გადახედვა შესაძლოა ხორციელდებოდეს აუდიტის სხვა ღონისძიებებთან ერთობლიობაში და გრძელდებოდეს აუდიტის სრული პროცესის დროს. 5. თუ დოკუმენტირებული ინფორმაცია ვერ იქნება წარმოდგენილი ვადაში, რომელიც განისაზღვრება აუდიტის გეგმით, აღნიშნულის თაობაზე უნდა ეცნობოს აუდიტის ობიექტს. აუდიტის მიზნებიდან და ფარგლებიდან გამომდინარე შესაძლებელია აუდიტის გაგრძელება ან მისი შეჩერება აღნიშნული პრობლემის გადაწყვეტამდე. 6. თუ დოკუმენტირებული ინფორმაცია არ არის ხელმისაწვდომი აუდიტორებისთვის მისი სენსიტიურობის და კლასიფიცირების გათვალისწინებით, აუდიტის ჩატარებაზე პასუხისმგებელმა პირმა უნდა განსაზღვროს, თუ რამდენად ახდენს აღნიშნული გავლენას აუდიტის მიერ გარემოებების დადგენაზე და დასკვნაზე და აღნიშნულის შესახებ აღნიშნოს აუდიტის დასკვნაში. მუხლი 17🔗. დოკუმენტაციის შეკრება და ვერიფიკაცია 1. აუდიტს პროცესში ინფორმაცია, რომელიც რელევანტურია აუდიტის მიზნების, ფარგლების და კრიტერიუმებისთვის, მათ შორის ინფორმაცია სხვადასხვა ფუნქციებს, აქტივობებს და პროცესებს შორის ინტერფეისებს თაობაზე უნდა იქნეს შეგროვებული შესაბამისი ნიმუშების აღებით და შემოწმებული პრაქტიკული შესაძლებლობის შემთხვევაში. 2. აუდიტორულ მტკიცებულებად უნდა იქნეს მიღებული მხოლოდ ინფორმაცია, რომლის შემოწმებაც შესაძლებელია. თუ შემოწმების შესაძლებლობა შეზღუდულია, აუდიტორმა უნდა მიიღოს პროფესიული გადაწყვეტილება მისი სანდოობის და მტკიცებულებითი ძალის თაობაზე. აუდიტორული მტკიცებულება, რომელსაც მივყავართ გარემოების დადგენამდე  უნდა იქნეს დოკუმენტურად დაფიქსირებული. 3. აუდიტორებმა უნდა შეაფასონ, აკმაყოფილებს თუ არა ინფორმაცია ისეთ მოთხოვნებს, როგორიც არის: ა) სისრულე (მოსალოდნელი შინაარსი სრულად არის ასახული დოკუმენტირებულ ინფორმაციაში); ბ) სიზუსტე (შინაარსი შეესაბამება სხვა სანდო წყაროებს, როგორიც არის სტანდარტები და რეგულაციები); გ) თანამიმდევრულობა (დოკუმენტირებული ინფორმაცია არის თანამიმდევრული შინაგანად და დაკავშირებულ დოკუმენტებთან მიმართებაში); დ) სიახლე (შინაარსი წარმოადგენს ბოლო განახლებულ ვერსიას). 4. ინფორმაციის წყაროები განსხვავდება აუდიტის ფარგლებიდან და კომპლექსურობიდან გამომდინარე და შესაძლოა მოიცავდეს: ა) ინტერვიუებს დასაქმებულებთან და სხვა ინდივიდებთან; ბ) აქტივობებზე, სამუშაო პირობებზე და გარემოზე დაკვირვებას; გ) დოკუმენტირებულ ინფორმაციას, როგორიც არის პოლიტიკები, გეგმები, სტანდარტები, ინსტრუქციები, ლიცენზიები, ნებართვები, ხელშეკრულებები და ა.შ.; დ) ჩანაწერებს, როგორიც არის ინსპექტირების ჩანაწერები, საოქმო ჩანაწერები, აუდიტის მოხსენებები, მონიტორინგის პროგრამების ჩანაწერები; ე) მონაცემების შეჯამებას, ანალიზს და ფუნქციონირების ინდიკატორებს; ვ) აუდიტის ობიექტის მიერ ნიმუშების აღების გეგმას და პროცედურებს დაკავშირებულს ნიმუშების აღების და გაზომვის კონტროლთან; ზ) მოხსენებებს სხვა წყაროებიდან (მაგ.: მომხმარებლების კომენტარები, გარე კვლევები და შეფასებები, გარე მხარებიდან მომდინარე ინფორმაცია და ა.შ.); თ) მონაცემთა ბაზებს და ვებგვერდებს; ი) სიმულაციას და მოდელირებას. 5. რელევანტური ინფორმაციის შეგროვების მეთოდებს შესაძლოა წარმოადგენდეს: ა) დოკუმენტირებული ინფორმაციის გადახედვა (მათ შორის ლოგების და კონფიგურაციის მონაცემების); ბ) ინფორმაციის დამუშავების ადგილების მონახულება; გ) იუმს-ის პროცესებზე და დაკავშირებულ კონტროლებზე დაკვირვება; დ) აუდიტის ავტომატიზებული საშუალებების გამოყენება. მუხლი 18🔗. აუდიტის შედეგების მართვა 1. აუდიტორული მტკიცებულებები ფასდება აუდიტის კრიტერიუმებთან მიმართებაში აუდიტის გარემოებების დადგენის მიზნით. აუდიტით დადგენილი გარემოება შესაძლოა განსაზღვრავდეს აუდიტის კრიტერიუმთან შესაბამისობას ან შეუსაბამობას. შეუსაბამობები და მისი დამადასტურებელი მტკიცებულებები უნდა იქნეს დოკუმენტურად დაფიქსირებული. 2. შეუსაბამობა უნდა შეფასდეს რიცხობრივი (მაგ.: 1-დან 5-მდე) ან ხარისხობრივი (მაგ.: მცირე, საშუალო და ა.შ.) შკალით ორგანიზაციის კონტექსტიდან და მისი რისკებიდან გამომდინარე. შეუსაბამობები გავლილი უნდა იქნეს აუდიტის ობიექტთან  აუდიტორული მტკიცებულების სიზუსტის გადამოწმების  და  აუდიტის ობიექტის მიერ შეუსაბამობის ზუსტი აღქმის უზრუნველყოფის მიზნით. პრობლემური საკითხები, რომლებზეც შეთანხმება ვერ იქნა მიღწეული დაფიქსირებული უნდა იქნეს აუდიტის მოხსენებაში. მუხლი 19🔗. აუდიტის შედეგების მართვა აუდიტის განხორციელებაზე პასუხისმგებელმა პირმა უნდა უზრუნველყოს, რომ გახორციელდება შემდეგი აქტივობები: ა) აუტის მიზნების მიღწევის შეფასება; ბ) აუდიტის მოხსენებების გადახედვა და აუდიტის ფარგლების და მიზნების განხორციელების დადასტურება; გ) აუდიტის მიერ დადგენილი გარემოებების მოპყრობის მიზნით განხორციელებული აქტივობების ეფექტიანობის გადახედვა; დ) შესაბამისი დაინტერესებული მხარეებისთვის აუდიტის შედეგების გადაგზავნა; ე) შემდგომი აუდიტის განხორციელების საჭიროება; ვ) საინფორმაციო-ტექნოლოგიური ინფრასტრუქტურის შემოწმების საჭიროება. მუხლი 20🔗. აუდიტის დასკვნა 1. აუდიტის დასკვნა უნდა მოიცავდეს შემდეგ საკითხებს: ა) აუდიტის კრიტერიუმებთან შესაბამობის დონე და იუმს-ის მდგრადობა, მათ შორის იუმს-ის ეფექტიანობა დასახული შედეგების მიღწევაში, რისკების იდენტიფიცირებაში და მათთან მოპყრობაში; ბ) იუმს-ის ეფექტიანი იმპლემენტაცია, მხარდაჭერა და გაუმჯობესება; გ) აუდიტის მიზნების მიღწევა, აუდიტის ფარგლები და აუდიტის კრიტერიუმების შესრულება. 2. აუდიტის დასკვნაში აისახება: ა) აუდიტის მიზნები; ბ) აუდიტის ფარგლები, აუდიტის ობიექტის და აუდიტს დაქვემდებარებული ფუნქციების და პროცესების მითითებით; გ) ინფორმაცია აუდიტორების შესახებ; დ) აუდიტის აქტივობების განხორციელების დრო და ადგილი; ე) აუდიტის კრიტერიუმები; ვ) აუდიტის მიერ გამოვლენილი გარემოებები და დაკავშირებული მტკიცებულებები; ზ) აუდიტის დასკვნა; თ) განაცხადი აუდიტის კრიტერიუმების შესრულების შკალის შესახებ; ი) განსხვავებული მოსაზრებები და შეუთანხმებელი საკითხები აუდიტის ობიექტს და აუდიტორებს შორის. 3. აუდიტის დასკვნა, საჭიროები შემთხვევაში, ასევე შეიძლება შეიცავდეს: ა) აუდიტის გეგმას, დროითი გრაფიკების მითითებით; ბ) აუდიტის პროცესის შეჯამებას, მათ შორის გამოვლენილ დამაბრკოლებელ გარემოებებს, რომლებმაც შესაძლოა შეამცირონ აუდიტის დასკვნის სანდოობა; გ) დადასტურებას, რომ აუდიტის მიზნები იქნა მიღწეული  აუდიტის ფარგლებში აუდიტის გეგმის შესაბამისად; დ) აუდიტის ფარგლებით მოცულ საკითხებს, რომლებიც არ იქნა დაფარული და აღნიშნულის არგუმენტაციას; ე) აუდიტს დასკვნებისა და გარემოებების შეჯამებას, რომლებსაც ეს დასკვნები ეფუძნება; ვ) აუდიტის შემდეგომ განსახორციელებელ ქმედებებს, მათ შორის, საჭიროების შემთხვევაში, საინფორმაციო-ტექნოლოგიური შემოწმების ჩატარებას; ზ) განაცხადს შინაარსის კონფიდენციალობის თაობაზე. მუხლი 21🔗. აუდიტის დასკვნის დაგზავნა 1. აუდიტის დასკვნა გაცემული უნდა იქნეს განსაზღვრულ დროში. თუ დასკვნის გაცემა განსაზღვრულ დროში ვერ ხერხდება, აღნიშნულის შესახებ უნდა ეცნობოს აუდიტის ობიექტს. 2. აუდიტის დასკვნა უნდა გაეგზავნოს ყველა დაინტერესებულ მხარეს, რომელიც განისაზღვრება კანონმდებლობით ან აუდიტის გეგმით. აუდიტის დასკვნის გაზიარებისას დაცული უნდა იქნეს კონფიდენციალობის მოთხოვნები. დანართი №1 ინფორმაციული უსაფრთხოების მართვის სისტემის აუდიტის სახელმძღვანელო მითითება 1. სახელმძღვანელო მითითების მიზანი ინფორმაციული უსაფრთხოების მართვის სისტემის აუდიტის სახელმძღვანელო მითითება წარმოადგენს პრაქტიკულ სახელმძღვანელოს ინფორმაციული უსაფრთხოების მართვის სისტემის აუდიტის პროცესისთვის. 2. ზოგადი დებულებები 2.1. აუდიტის მიზნები, ფარგლები, კრიტერიუმები და მტკიცებულებები აუდიტის განხორციელებისას ინფორმაცია, რომელიც რელევანტურია აუდიტის მიზნებისთვის, ფარგლებისთვის და კრიტერიუმებისთვის, მათ შორის ასევე ინფორმაცია ფუნქციების, აქტივობების და პროცესების ურთიერთკავშირების შესახებ მოპოვებული უნდა იქნეს სათანადო მაგალითების შეკრებით და უნდა იქნეს შემოწმებული. მხოლოდ ინფორმაცია, რომელიც ექვემდებარება შემოწმებას უნდა იქნეს მიღებული როგორც აუდიტორული მტკიცებულება. აუდიტორული მტკიცებულება, რომლიდანაც გამომდინარეობს აუდიტორული დასკვნები უნდა იქნეს დოკუმენტურად დაფიქსირებული. ინფორმაციის მოპოვების მეთოდებია: - ინტერვიუები; - დაკვირვება; - დოკუმენტაციის, მათ შორის ჩანაწერების შესწავლა. 2.2. აუდიტი და დოკუმენტირებული ინფორმაცია აუდიტმა შესაძლოა მოიცვას დოკუმენტირებული ინფორმაცია, კერძოდ: ა) დოკუმენტაციასთან დაკავშირებული მოთხოვნები, რომლებსაც ითვალისწინებს ოტს 27001:2021-ი  შესაძლოა გამოყენებულ იქნეს როგორც აუდიტის კრიტერიუმი; ბ) ოტს 27001:2021-ის 3.5.5.1. „ა“ ქვეპუნქტით გათვალისწინებული დოკუმენტირებული ინფორმაცია; გ) დოკუმენტირებული ინფორმაცია, რომელიც ორგანიზაციის მიერ განისაზღვრება როგორც საჭირო იუმს-ის ეფექტიანობისთვის (ოტს 27001:2021, 3.5.5.1. ბ)). 3. ოტს 27001-ით გათვალისწინებული დოკუმენტირებული ინფორმაციის მოთხოვნები 3.1. დასაბუთება აუდიტორებმა უნდა გამოიჩინონ ყურადღება დოკუმენტირებული ინფორმაციის, როგორც შესაბამისობის მტკიცებულების მოთხოვნის დროს. არსებობს დოკუმენტირებულ ინფორმაციასთან, მათ შორის გამოყენებადობის განაცხადთან დაკავშირებული თექვსმეტი მოთხოვა, რომლებიც გათვალისწინებულია ცხრილი №1-ით. დანარჩენი მოთხოვნები არის მოთხოვნები, რომლებისთვისაც: - არსებობს გონივრული მოლოდინი, რომ შესაბამისი მტკიცებულებები მოპოვებული იქნება ზემოაღნიშნულ დოკუმენტირებულ ინფორმაციაში; - არ არსებობს დოკუმენტირებული ინფორმაციის არსებობის პირდაპირი ან ნაგულისხმები მოთხოვნა. ცხრილი №1 – ოტს 27001:2021-ის დოკუმენტირებული ინფორმაციის მოთხოვნები დოკუმენტირებული ინფორმაციის მოთხოვნები შემდეგ საკითხებზე იუმს-ის გავრცელების ფარგლები 3.2.3. ინფორმაციული უსაფრთხოების პოლიტიკა 3.3.2. ინფორმაციული უსაფრთხოების რისკების შეფასების პროცესი 3.4.1.2 ინფორმაციული უსაფრთხოების რისკების მოპყრობის პროცესი 3.4.1.3. გამოყენებადობის განაცხადი 3.4.1.3. დ) ინფორმაციული უსაფრთხოების მიზნები 3.4.2. კომპეტენციის მტკიცებულებები 3.5.2. დ) დოკუმენტირებული ინფორმაცია, რომელიც ორგანიზაციის მიერ განისაზღვრება როგორც მნიშვნელოვანი იუმს-ის ეფექტიანობისთვის 3.5.5.1. ბ) ოპერაციული დაგეგმა და კონტროლი 3.6.1. ინფორმაციული უსაფრთხოების რისკების შეფასების შედეგები 3.6.2. ინფორმაციული უსაფრთხოების რისკების მოპყრობის შედეგები 3.6.3. მონიტორინგისა და გაზომვის შედეგების მტკიცებულებები 3.7.1. აუდიტის პროგრამების და აუდიტის შედეგების მტკიცებულებები 3.7.2. ე) მენეჯმენტის მიერ გადახედვის შედეგების მტკიცებულებები 3.7.3 შეუსაბამობის ბუნების მტკიცებულებები და სათანადო ქმედებები 3.8.1. მაკორექტირებელი ქმედებების შედეგების მტკიცებულებები 3.8.1 შენიშვნა: აუდიტი არსობრივად წარმოადგენს დოკუმენტირებულ პროცესს და ამგვარად, აუდიტორს შეუძლია ჰქონდეს მოლოდინი, რომ ოტს 27001:2021, 3.7.2 ქვეპუნქტით გათვალისწინებული მოთხოვნის შესაბამისად შიდა აუდიტის პროცესი იქნება დოკუმენტირებული. 3.2. დოკუმენტირებული ინფორმაციის გონივრული მოლოდინი დოკუმენტირებული ინფორმაციის ნაგულისხმევი მოთხოვნის მაგალითად შესაძლოა მოყვანილ იქნეს ოტს 27001:2021-ს 3.4.1.2 ქვეპუნქტი, რომელიც მოითხოვს ორგანიზაციებისგან შეინახონ ინფორმაციული უსაფრთხოების რისკების შეფასების პროცესის დოკუმენტირებული ინფორმაცია. ამ ქვეპუნქტის „ა-ე“ ქვეპუნქტების მოთხოვნები შეეხება ინფორმაციული უსაფრთხოების რისკების შეფასების პროცესს. შესაბამისად, გონივრული ვარაუდი, რომ ამ მოთხოვნებთან შესაბამისობის მტკიცებულებები მოძიებული იქნება რისკების შეფასების პროცესის დოკუმენტირებულ ინფორმაციაში. 3.3. შემთხვევები, როდესაც არ არის დოკუმენტირებული ინფორმაციის არსებობის პირდაპირი ან ნაგულისხმევი მოთხოვნა მაგალითისთვის შესაძლოა მოყვანილ იქნეს ოტს 27001:2021-ის 3.2.1. ქვეპუნქტი, რომელიც არ ითვალისწინებს გარე და შიდა საკითხების შესახებ დოკუმენტირებული ინფორმაციის მოთხოვნას. შესაბამისად, აუდიტორმა არ უნდა მოითხოვოს მათი წარმოდგენა. მიუხედავად ამისა, ორგანიზაციის უუნარობა დაამტკიცოს მის მიერ აღნიშნული საკითხების განხილვა, იქნება შეუსაბამო ოტს 27001:2021-ს მოთხოვნებთან. თუმცა, ორგანიზაციის გადასაწყვეტია ის, თუ როგორ მოახდენს ამ შესაბამისობის დემონსტრირებას. აღნიშნულის თაობაზე შესაძლოა მენეჯმენტმა წარმოადგინოს ახსნა-განმარტება, ან აღნიშნული საკითხის განხილვის შესახებ აღნიშნული იყოს რომელიმე საოქმო ჩანაწერში. აღნიშნულის შესახებ მტკიცებულებები ასევე შესაძლოა მოცემული იყოს სხვადასხვა ადგილზე იუმს-ის დოკუმენტირებულ ინფორმაციაში. მაგალითად, 3.2.1 ქვეპუნქტის მიზანია ხელი შეუწყოს ორგანიზაციებს იუმს-ის კონტექსტის განსაზღვრაში. ეს კონტექსტი სრულად პრევალირებს იუმს-ზე, განსაკუთრებით ფარგლების და პოლიტიკის განსაზღვრის და რისკების შეფასების და რისკების მოპყრობის პროცესების დროს. თუ ორგანიზაციას შესრულებული აქვს ოტს 27001:2021-ის 3.2.1. ქვეპუნქტის მოთხოვნები, სავარაუდოა რომ მან გაითვალისწინა ინფორმაცია გარე და შიდა საფრთხეების შესახებ იუმს-ის ამ საკითხების განხილვის/აღსრულების დროს და შესაბამისად იგი სავარაუდოდ ასახული იქნება მათთან დაკავშირებულ დოკუმენტირებულ ინფორმაციაში. 4. გამოყენებადობის განაცხადი გამოყენებადობის განაცხადი უნდა შეიცავდეს ყველა საჭირო კონტროლს, მაგალითად, კონტროლებს, რომლებიც ორგანიზაციას აქვს, კონტროლებს, რომლებიც რისკების შეფასების შედეგად განისაზღვრა როგორც საჭირო ინფორმაციული უსაფრთხოების რისკების მოდიფიცირებისთვის რისკის დასაშვებობის კრიტერიუმის დასაკმაყოფილებლად. კონტროლების ნუსხა განისაზღვრება ოტს 27002:2021-ით, თუმცა ისინი არ არის სავალდებულო და ამომწურავი. შესაძლოა არსებობდეს კონტროლები სხვა სტანდარტებიდან ან სხვა წყაროებიდან, ან ისინი სპეციალურად იქნეს შემუშავებული ორგანიზაციის მიერ. ზოგიერთ შემთხვევაში ორგანიზაცია იყენებს კონტროლს, რომლიც წარმოადგენს ოტს 27002:2021-ით გათვალისწინებული კონტროლის ვარიაციას და ამგვარად არ ითვალისწინებდეს ოტს 27002:2021-ით გათვალისწინებულ ორიგინალ კონტროლს. აუდიტორებმა უნდა შეამოწმონ ორგანიზაციის მიერ განსაზღვრული საჭირო კონტროლების ორგანიზაციის მიერ განსაზღვრულ სპეციფიკაციებთან შესაბამისობა და არა ოტს 27002:2021-ში მოცემულ სპეციფიკაციებთან შესაბამისობა. თუ ორგანიზაციის სპეციფიკაცია მოითხოვს დოკუმენტირებულ პროცედურას, მაშინ აღნიშნული შესაბამისობაში იქნება ოტს 27001:2021-ის 3.5.5.1. „ბ“ ქვეპუნქტით განსაზღვრულ მოთხოვნასთან. თუ არა – აუდიტორებმა არ უნდა მოთხოვონ მისი დემონსტრირება.    კონტროლების შერჩევის აუდიტის დროს უმჯობესია აუდიტის განხორციელება რისკების მოპყრობის გეგმასთან მიმართებაში და არა გამოყენებადობის განაცხადით გათვალისწინებული ინდივიდუალური საჭირო კონტროლების შემოწმება. აღნიშნული განპირობებულია გარემოებით, რომ რისკებთან მოპყრობის გეგმა სავარაუდოდ გაითვალისწინებს ურთიერთდამოკიდებულებას და ინტერაქციას სხვადასხვა კონტროლებს შორის, რაც შესაძლოა გამოტოვებულ იქნეს გამოყენებადობის განაცხადით გათვალისწინებული კონტროლების დამოუკიდებლად შემოწმების დროს. 5. სხვა დოკუმენტირებული ინფორმაცია ოტს 27001:2021 ფოკუსირებულია შედეგებზე. დოკუმენტირებული ინფორმაცის თექვსმეტი სავალდებულო მოთხოვნიდან მხოლოდ სამი შეეხება სპეციფიკაციებს (ინფორმაციული უსაფრთხოების რისკების შეფასების პროცესი, ინფორმაციული უსაფრთხოების რისკების მოპყრობის პროცესი და აუდიტის პროგრამა). თუმცა ეს ხელს არ უშლის ორგანიზაციას იქონიოს დოკუმენტირებული პროცედურები. ამგვარი დამხმარე დოკუმენტაცია ხვდება ოტს 27001:2021 3.5.5.1 „ბ“ ქვეპუნქტის მოქმედების ფარგლებში (დოკუმენტირებული ინფორმაცია, რომელსაც ორგანიზაცია მიიჩნევს საჭიროდ იუმს-ის ეფექტიანობისთვის). ამგვარად, აღნიშნული ხდება ორგანიზაციის მოთხოვნა და შესაბამისად უნდა მოხვდეს აუდიტის ფარგლებში. 6. შენიშვნა მოთხოვნილი ინფორმაცია შესაძლოა იყოს განთავსებული იყოს ვებგვერდზე ან გამოთხოვილ იქნეს მონაცემთა ბაზიდან. ასევე, გამოყენებადობის განაცხადის გარდა ოტს 27001:2021 არ შეიცავს მითითებას დოკუმენტის კონკრეტული სახელის შესახებ. ამგვარად შესაძლებელია, რომ დოკუმენტირებული ინფორმაცია ინფორმაციული უსაფრთხოების პოლიტიკის შესახებ არ იყოს წარმოდგენილი „ინფორმაციული უსაფრთხოების პოლიტიკის“ სახელით და ორგანიზაციებს აქვთ შესაძლებლობა დაარქვან პოლიტიკებს სხვა სახელი. ცხრილი №2 აუდიტის სახელმძღვანელო ოტს 27001:2021-სთვის A.1. ორგანიზაციის კონტექსტი (ოტს 27001:2021, 3.2.) A.1.1. ორგანიზაციის და მისი კონტექსტის განსაზღვრა (ოტს 27001:2021, 3.2.1.) ოტს 27001:2021-ს დაკავშირებული  პუნქტები და ქვეპუნქტები ოტს 27001:2021: 3.4.1, 3.7.3. რელევანტური დეფინიციები გარე კონტექსტი, ინფორმაციული უსაფრთხოება, შიდა კონტექსტი, მართვის სისტემა, ორგანიზაცია აუდიტორული მტკიცებულება აუდიტორული მტკიცებულებები შესაძლოა მოპოვებულ იქნეს დოკუმენტირებული ინფორმაციიდან ან ინფორმაციის სხვა წყაროდან შემდეგ საკითხებზე: ა) მნიშვნელოვანი ფაქტორები, რომლებსაც შეუძლიათ პოზიტიური ან ნეგატიური გავლენა იქონიონ იუმს-ზე; ბ) ორგანიზაცია; გ) ორგანიზაციის მიზანი; დ) იუმს-ის დაგეგმილი შედეგი; მნიშვნელოვანი ფაქტორების სავარაუდო წყაროებია: ა) გარემო პირობების მახასიათებლები ან პირობები დაკავშირებული კლიმატთან, დაბინძურებასთან, რესურსების ხელმისაწვდომობასთან, ბიომრავალფეროვნებასთან და ამ პირობების გავლენა ორგანიზაციის შესაძლებლობაზე მიაღწიოს მის მიზნებს; ბ) გარე კულტურული, სოციალური, პოლიტიკური, სამართლებრივი, მარეგულირებელი, ფინანსური, ტექნოლოგიური, ეკონომიკური, გარემო და კონკურენტული კონტექსტი როგორც საერთაშირისო, ისე ეროვნული, რეგიონული ან ადგილობრივი; გ) ორგანიზაციის მახასიათებლები, როგორიც არის ორგანიზაცის მმართველობა, ინფორმაციის მიმოცვლა და გადაწყვეტილების მიღების პროცესები; გ.ა) ორგანიზაციის პოლიტიკები, მიზნები და მათი მიღწევის არსებული სტრატეგიები; გ.ბ) ორგანიზაციის კულტურა; გ.გ) ორგანიზაციის მიერ მიღებული სტანდარტები, სახელმძღვანელო მითითებები და მოდელები; გ.დ) ორგანიზაციის პროდუქტების და სერვისების სასიცოცხლო ციკლი; გ.ე) ინფორმაციული სისტემები, პროცესები და ტექნოლოგიები, რომლებიც საფუძვლად უდევს ინფორმაციული უსაფრთხოების მართვას; დ) აუდიტების მიმართულებები და რისკების შეფასება. აუდიტორის პრაქტიკული სახელმძღვანელო აუდიტორებმა უნდა დაადასტურონ, რომ ორგანიზაციას: ა) უმაღლეს დონეზე გაცნობიერებული აქვს ფაქტორები, რომლებმაც შესაძლოა ნეგატიური ან პოზიტიური გავლენა მოახდინონ მის ფუნქციონირებაზე; ბ) გაცნობიერებული აქვს გარე და შიდა ფაქტორები, რომლებიც რელევანტურია მისი მიზნებისთვის და რომლებსაც შეუძლიათ გავლენა იქონიონ იუმს-ის დაგეგმილი მიზნების მიღწევაზე; შენიშვნა: აუდიტორები ასევე უნდა დარწმუნდნენ, რომ მიზნად დასახული შედეგები მოიცავს ინფორმაციის კონფიდენციალობის, მთლიანობის და ხელმისაწვდომობის დაცვას რისკის მართვის პროცესის გამოყენებით და რისკების სათანადო მართვით. აუდიტორებმა ასევე უნდა გადაამოწმონ, რომ „გარე და შიდა საკითხები“ (ოტს 27001:2021, 3.2.1.) მოიცავს ორგანიზაციის მნიშვნელოვან საკითხებს, განსახილველ პრობლემებს და დისკუსიებს, ან გარემოებების ცვლილებას და გადაამოწმონ, რომ მიღებული ცოდნა გამოიყენება ორგანიზაციის მიერ მართვის სისტემის დაგეგმვის, აღსრულების და მართვისას. A.1.2. დაინტერესებული მხარეების საჭიროებების და მოლოდინების განსაზღვრა (ოტს 27001:2021, 3.2.2.) ოტს 27001:2021-ს დაკავშირებული პუნქტები და ქვეპუნქტები ოტს 27001:2021, 3.2.1, 3.2.3. რელევანტური დეფინიციები დაინტერესებული მხარე აუდიტორული მტკიცებულება აუდიტორული მტკიცებულებები შეიძლება მოპოვებულ იქნეს დოკუმენტირებული ინფორმაციიდან ან ინფორმაცის სხვა წყაროდან შემდეგ საკითხებზე: ა) დაინტერესებული მხარეები; ბ) შესაბამისი დაინტერესებული მხარეების საჭიროებები და მოლოდინები, რომლებიც რელევანტურია იუმს-ისთვის და ოტს 27001:2021-სთვის. შენიშვნა: პოტენციური დაინტერესებული მხარეები შეიძლება მოიცავდეს: ა) სახელმწიფო ორგანოებს, იურიდიულ პირებს ან მარეგულირებელ ორგანოებს (ადგილობრივ, რეგიონულ, სახელმწიფო, ეროვნულ ან საერთაშორისო); ბ) მშობელ ორგანიზაციებს; გ) მომხმარებლებს; დ) სავაჭრო და პროფესიულ გაერთიანებებს; ე) არასამთავრობო ორგანიზაციებს; ვ) მომწოდებლებს; ზ) მეზობლებს; თ) ორგანიზაციის წევრებს და ორგანიზაციაზე მომუშავე სხვა პირებს; ი) ინფორმაციული უსაფრთხოების ექსპერტებს; შენიშვნა: დაინტერესებულ მხარეებს შესაძლოა ჰქონდეთ განსხვავებული ინტერესები, რომლებიც შესაძლოა სრულად ან ნაწილობრივ იყოს თანხვედრაში ან ეწინააღმდეგებოდეს ორგანიზაციის ბიზნეს მიზნებს. საწინააღმდეგო ინტერესების მქონე სუბიექტის მაგალითად შესაძლოა მოყვანილ იქნეს ჰაკერი, რომელიც დაინტერესებულია ორგანიზაციის სუსტ უსაფრთხოებაში. ორგანიზაციამ მხედველობაში უნდა მიიღოს ამ დაინტერესებული მხარის მოთხოვნა სრულიად საწინაღმდეგო, ძლიერი უსაფრთხოების ქონით. აუდიტორებმა უნდა  იცოდნენ, რომ იუმს-ი ითვალისწინებს შიდა და გარე რისკის ყველა წყაროს. ამგვარად, უაღრესად მნიშვნელოვანი, რომ ორგანიზაცია სრულად უნდა აღიქვამდეს  მისდამი ოპოზიცურად განწყობილ დაინტერესებულ მხარეებს და აცნობიერებდეს მათ ინტერესებს. აუდიტის პრაქტიკული სახელმძღვანელო აუდიტორებმა უნდა დაადასტურონ, რომ ორგანიზაციას უმაღლეს დონეზე გაცნობიერებული აქვს შესაბამისი დაინტერესებული მხარეების საჭიროებები და მოლოდინები, რომლებიც რელევანტურია იუმს-ისთვის და ოტს 27001:2021-ის მოთხოვნებისთვის. აუდიტორებმა უნდა შეამოწმონ, რომ ორგანიზაციას იდენტიფიცირებული აქვს როგორც იმ დაინტერესებული მხარეების მოთხოვნები, რომლებმაც ნებაყოფლობით საწყისზე გადაწყვიტეს ორგანიზაციასთან ურთიერთობა (მაგ.: შეთანხმების ან ხელშეკრულების საფუძველზე), ისე იმ მხარეების, რომლებთან ურთიერთობაც სავალდებულოა კანონების, სამართლებრივი აქტების, ნებართვების ან ლიცენზიების, სამთავრობო ან სასამართლო გადაწყვეტილებების საფუძველზე. ასევე, მხედველობაში უნდა იქნეს მიღებული, რომ დაინტერესებული მხარის არა ყველა მოლოდინი და საჭიროება უკავშირდება ორგანიზაციას ან რელევანტურია იუმს-ისთვის. ზოგიერთი დაინტერესებული მხარის საჭიროება (მაგ.: ჰაკერი) იქნება ორგანიზაციის მოთხოვნების და იუმს-ის მიზნების საწინააღმდეგო და შესაბამისად ორგანიზაციისგან მოითხოვება, რომ მიღებული იქნება სათანადო ინფორმაციული უსაფრთხოების კონტროლები, რომლებიც უზრუნველყოფენ, რომ ეს მოთხოვნები და მოლოდინები არ იქნეს დაკმაყოფილებული. აუდიტორებს ასევე შეუძლიათ შეამოწმონ იყენებს თუ არა ორგანიზაცია მიღებულ ცოდნას იუმს-ის დაგეგმვის, აღსრულების და მართვის პროცესში.     A.1.3. ინფორმაციული უსაფრთხოების მართვის სისტემის გავრცელების ფარგლების განსაზღვრა (ოტს 27001:2021, 3.2.3) ოტს 27001:2021 რელევანტური პუნქტები და ქვეპუნქტები ოტს 27001:2021, 3.2.1, 3.2.2 რელევანტური დეფინიციები აუთსორსი აუდიტორული მტკიცებულება აუდიტორული მტკიცებულებები შეიძლება მოპოვებულ იქნეს დოკუმენტირებული ინფორმაციიდან ან ინფორმაციის სხვა წყაროდან: -  ორგანიზაციის მართვის სტრუქტურის ფარგლები (როგორც ეს განისაზღვრება ოტს 27001:2021-ის 3.2.3. ქვეპუნქტით); - ორგანიზაციის სერტიფიცირების სფერო, საჭიროების შემთხვევაში; - გამოყენებადობის განაცხადი. შენიშვნა: ორგანიზაციის სერტიფიცირების სფერო არ არის სავალდებულო ემთხვეოდეს იუმს-ის გავრცელების სფეროს. სერტიფიცირების სფერო, როგორც წესი, შემოფარგლული იქნება იუმს-ის გავრცელების სფეროთი. აუდიტის პრაქტიკული სახელმძღვანელო აუდიტორებმა უნდა დაადასტურონ, რომ ორგანიზაციას განსაზღვრული აქვს ფიზიკური, ინფორმაციული, სამართლებრივი და ორგანიზაციული ფარგლები, რომლის მიმართაც მოქმედებს იუმს-ი და საკუთარი არჩევანით და გადაწყვეტილებით აღასრულებს ოტს 27001:2021-ს ორგანიზაციაში სრულად, მის კონკრეტულ დანაყოფში ან კონკრეტულ ფუნქცია(ებ)ში. აუდიტორებმა უნდა დაადასტურონ, რომ ორგანიზაციას ესმის მისი კონტექსტი (ოტს 27001:2021, 3.2.1),  დაინტერესებული მხარეების მოთხოვნები (ოტს 27001:2021, 3.2.2.) და ურთიერთკავშირები და ურთიერთდამოკიდებულებები ორგანიზაციის მიერ განხორციელებულ საქმიანობას და სხვა ორგანიზაციების მიერ განხორციელებულ საქმიანობას შორის (ოტს 27001:2021, 3.2.3. გ)). აუდიტორებმა შემდგომ უნდა დაადასტურონ, რომ ორგანიზაციის რისკების შეფასება და რისკების მოპყრობა სათანადოდ ასახავს  მის აქტივობებს და ვრცელდება იუმს-ის გავრცელების ფარგლებით განსაზღვრულ მის აქტივობებზე. აუდიტორებმა უნდა განსაზღვრონ, რომ არსებობს სულ მცირე ერთი გამოყენებადობის განაცხადი თითოეულ გავრცელების სფეროზე და რომ რისკების მართვის პროცესით განსაზღვრული ყველა კონტროლი გათვალისწინებულია გამოყენებადობის განაცხად(ებ)ით. აღნიშნული კონტროლები არის აუცილებელი კონტროლები, რომლებიც გათვალისწინებულია ოტს 27001:2021 3.4.1.3. „ბ“ ქვეპუნქტით. გარდა 27002:2021-ით გათვალისწინებული კონტროლებისა ისინი შესაძლოა მოიცავდნენ სექტორის სპეციფიკურ კონტროლებს და კონტროლებს, რომლებიც შექმნილია უშულოდ ორგანიზაციის მიერ ან გათვალისწინებულია სხვა ნებისმიერი წყაროთი. აუდიტორებმა ასევე უნდა დაადასტურონ, რომ გადაკვეთის წერტილები იმ სერვისებთან ან აქტივობებთან, რომლებიც სრულად არ ხვდებიან იუმს-ის გავრცელების ფარგლებში, ასახულია იუმს-ში და გათვალისწინებულია ინფორმაციული უსაფრთხოების რისკების შეფასებაში. ამგვარი სიტუაციის მაგალითად შეიძლება მოყვანილი იქნეს ინფრასტრუქტურის გაზიარების შემთხვევა (მაგ.: საინფორმაციო-ტექნოლოგიური ინფრასტრუქტურის, მონაცემთა ბაზების და სატელეკომუნიკაციო სისტემების ან ბიზნეს ფუნქციების აუთსორსინგი) სხვა ორგანიზაციასთან. უნდა შემოწმდეს, რომ ფარგლების დოკუმენტირებული ინფორმაცია შექმნილია და კონტროლდება დოკუმენტირებული ინფორმაციის მოთხოვნების შესაბამისად (ოტს 27001:2021, 3.5.5.). A.1.4. ინფორმაციული უსაფრთხოების მართვის სისტემა (ოტს 27001:2021, 3.2.4.) ოტს 27001:2021-ის რელევანტური პუნქტები და ქვეპუნქტები ოტს 27001:2021: 3.4.1.1, 3.4.1.2, 3.6.1, 3.6.2, 3.6.3. რელევანტური დეფინიციები განგრძობადი გაუმჯობესება, ინფორმაციული უსაფრთხოება, მართვის სისტემა აუდიტორული მტკიცებულება აუდიტორული მტკიცებულებები შეიძლება მოპოვებულ იქნეს დოკუმენტირებული ინფორმაციიდან ან ინფორმაციის სხვა წყაროდან იმ პროცესების თაობაზე, რომელთა შექმნაც მოითხოვება ოტს 27001:2021-ით და რომელიც მოიცავს: ა) მართვის სისტემის პროცესებს (ოტს 27001:2021 3.2.4.); ბ) ოპერაციული დაგეგმვის და კონტროლის პროცესებს, მათ შორის აუთსორსირებულ პროცესებს (ოტს 27001:2021, 3.6.1.); გ) პროცესებს იუმს-ის დაგეგმვის ეტაპზე რისკების და შესაძლებლობების გათვალისწინების მიზნით, მათ შორის ინფორმაციული უსაფრთხოების რისკების შეფასების პროცესს (ოტს 27001 3.4.1.2 ან/და 3.6.2.) და ინფორმაციული უსაფრთხოების რისკების მოპყრობის პროცესს (ოტს 27001 3.4.1.3 ან/და 3.6.3); დ) ინფორმაციული უსაფრთხოების მიზნების მიღწევის პროცესებს. აუდიტის პრაქტიკული სახელმძღვანელო აუდიტორებმა უნდა დაადასტურონ, რომ ორგანიზაციამ შექმნა „აუცილებელი მაგრამ საკმარისი“ პროცესების და კონტროლების ნაკრები, რომლებიც ერთობლიობაში ქმნიან ეფექტიან მმართველობით სისტემას ოტს 27001:2021-ის მოთხოვნების შესაბამისად. აუდიტორებმა ასევე უნდა დაადასტურონ, რომ ორგანიზაცია, მისი შესაძლებლობების ფარგლებში, ინარჩუნებს უფლებამოსილებას, ანგარიშვალდებულებას და ავტონომიურობას იმის გადაწყვეტისას, თუ როგორ აღასრულებს იუმს-ის მოთხოვნებს, მათ შორის დეტალიზაციის დონეს და ფარგლებს, რომელშიც იგი მოახდენს იუმს-ის სისტემის ინტეგრირებას მის საქმიანობაში.  A.2. მენეჯმენტი (ოტს 27001:2021, პუნქტი 3.3.) A.2.1. მენეჯმენტი და მხარდაჭერა (ოტს 27001:2021, 3.3.1.) ოტს 27001:2021-ის რელევანტური პუნქტები და ქვეპუნქტები ოტს 27001:2021: 3.2.1, 3.2.2, 3.2.4, 3.3.2, 3.3.3, 3.4.1.1, 3.4.2, 3.5.1, 3.5.4, 3.6.1, 3.7.3, 3.8.2. რელევანტური დეფინიციები ინფორმაციული უსაფრთხოება, უმაღლესი მენეჯმენტი აუდიტორული მტკიცებულება აუდიტორული მტკიცებულებები შეიძლება მოპოვებულ იქნეს დოკუმენტირებული ინფორმაციიდან ან ინფორმაციის სხვა წყაროებიდან შემდეგ საკითხებზე: ა) ინფორმაციული უსაფრთხოების პოლიტიკა (ოტს 27001:2021, 3.3.1. ა)); ბ) ინფორმაციული უსაფრთხოების მიზნები (ოტს 27001:2021, 3.3.1.ა)) გ) ორგანიზაციის პროცესები; დ) მენეჯმენტის მიერ გადახედვის შედეგები (ოტს 27001:2021, 3.3.1. გ), ე) და ზ)); ე) რესურსების საჭიროების შეფასება; ვ) ეფექტიანი ინფორმაციული უსაფრთხოების მენეჯმენტის მნიშვნელობის კომუნიცირება და ინფორმაციული უსაფრთხოების მართვის სისტემების მოთხოვნების აღსრულება. მტკიცებულებები შესაძლოა ასევე მოპოვებული იქნეს უმაღლეს მენეჯმენტთან გასაუბრებით. მენეჯმენტის მიერ გადახედვის შედეგები შესაძლოა ასევე იძლეოდნენ აუდიტორულ მტკიცებულებებს. აუდიტის პრაქტიკული სახელმძღვანელო აუდიტორებმა უნდა დაადასტურონ ორგანიზაციის უმაღლესი მენეჯმენტის ღია მხარდაჭერა, ჩართულობა და თანამიმდევრულობა, რაც უაღრესად მნიშვნელოვანია ოტს 27001:2021-ის წარმატებული აღსრულებისთვის. აუდიტორებმა ასევე უნდა შეამოწმონ, რომ: ა) უმაღლესი მენეჯმენტის დელეგირებული ამოცანები იდენტიფიცირებულია; ბ) უმაღლესი მენეჯმენტი რჩება პასუხისმგებლად ორგანიზაციის მიერ განსახორციელებელი აქტივობების წარმატებით შესრულებაზე; გ) უმაღლესი მენეჯმენტი უზრუნველყოფს, რომ ინფორმაციული უსაფრთხოების პოლიტიკა და მიზნები განსაზღვრულია და შესაბამისობაშია ორგანიზაციის საერთო სტრატეგიულ მიმართულებებთან; დ) უმაღლესი მენეჯმენტი ახდენს  ეფექტიანი ინფორმაციული უსაფრთხოების მართვის და იუმს-ის მოთხოვნების შესრულების მნიშვნელობის კომუნიცირებას; ე) უმაღლესი მენეჯმენტი უზრუნველყოფს, რომ იუმს-ი აღწევს დასახულ მიზანს/მიზნებს ინფორმაციული უსაფრთხოების მართვის ყველა პროცესის მხარდაჭერით, განსაკუთრებით იუმს-ის სტატუსის და ეფექტიანობის შესახებ მოხსენებების მოთხოვნით და გადახედვით; ვ) უმაღლესი მენეჯმენტი ხელმძღვანელობს და მხარს უჭერს ორგანიზაციაში ინფორმაციული უსაფრთხოების უზრუნველყოფაში და ინფორმაციული უსაფრთხოების მართვის სისტემაში უშუალოდ ჩართულ პირებს; ზ) უმაღლესი მენეჯმენტი უზრუნველყოფს რესურსების ხელმისაწვდომობას იუმს-ის ეფექტიანობისთვის; თ) უმაღლესი მენეჯმენტი აფასებს რესურსების საჭიროებებს და ადგენს მიზნებს განგრძობადი გაუმჯობესების და დაგეგმილი აქტივობების ეფექტიანობის მონიტორინგისთვის; ი) უმაღლესი მენეჯმენტი ქმნის კულტურას და გარემოს, რომელიც წაახალისებს პირებს აღასრულონ იუმს-ის მოთხოვნები და მიაღწიონ ინფორმაციული უსაფრთხოების მიზნებს. A.2.2. პოლიტიკა (ოტს 27001:2021, პუნქტი 3.3.2.) ოტს 27001:2021-ის რელევანტური პუნქტები და ქვეპუნქტები ოტს 27001:2021, პუნქტები: 3.4.2, 3.5.4. რელევანტური დეფინიციები ინფორმაციული უსაფრთხოების პოლიტიკა აუდიტორული მტკიცებულება აუდიტორული მტკიცებულებები შეიძლება მოპოვებულ იქნეს დოკუმენტირებული ინფორმაციიდან ან ინფორმაციის სხვა წყაროებიდან შემდეგ საკითხებზე: ა) ინფორმაციული უსაფრთხოების პოლიტიკა (ოტს 27001:2021, 3.3.2.); ბ) ინფორმაციული უსაფრთხოების მიზნები (ოტს 27001:2021, 3.3.2. ბ) და 3.4.2). აუდიტის პრაქტიკული სახელმძღვანელო აუდიტორებმა უნდა დაადასტურონ, რომ: ა) ინფორმაციული უსაფრთხოების პოლიტიკა განსაზღვრავს უმაღლესი დონის ორგანიზაციულ მხარდაჭერას ოტს 27001:2021-ს მოთხოვნის შესაბამისად ორგანიზაციის მიზნის მხედველობაში მიღებით; ბ) ინფორმაციული უსაფრთხოების პოლიტიკა გამოიყენება ინფორმაციული უსაფრთხოების მიზნების შემოფარგვლისთვის და განსაზღვრისთვის ან ისინი პირდაპირ არის ფორმულირებული ინფორმაციული უსაფრთხოების პოლიტიკაში; გ) ინფორმაციული უსაფრთხოების პოლიტიკა შექმნილია და კონტროლდება ინფორმაციის დოკუმენტირების მოთხოვნების შესაბამისად (ოტს 27001:2013, 3.5.5.); დ) ინფორმაციული უსაფრთხოების პოლიტიკა კომუნიცირებულია ორგანიზაციის შიგნით, კომუნიცირების შესახებ მოთხოვნის შესაბამისად (ოტს 27001:2021, 3.5.4); ე) ინფორმაციული უსაფრთხოების პოლიტიკა ხელმისაწვდომია დაინტერესებული მხარეებისთვის. ინფორმაციული უსაფრთხოების პოლიტიკასთან ერთად, რომელიც შეიცავს შესაბამის მოთხოვნებთან, კერძოდ, კანონებთან და რეგულაციებთან შესაბამისის განაცხადს, იუმს-ი არ უნდა იქნეს განხილული როგორც შეუსაბამო, თუ იგი უზრუნველყოფს სისტემის ნაკლოვანებების დროულ გამოვლენას და აღმოფხვრას.      A.2.3. ორგანიზაციული როლები, პასუხისმგებლობები და უფლებამოსილებები (ოტს 27001:2021, 3.3.3.) ოტს 27001:2021-ის რელევანტური პუნქტები და ქვეპუნქტები ოტს 27001:2021, 3.5.4. 3.7.2., 3.7.3. რელევანტური დეფინიციები ინფორმაციული უსაფრთხოება, ორგანიზაცია, უმაღლესი მენეჯმენტი აუდიტორული მტკიცებულება აუდიტის მტკიცებულებები შეიძლება მოპოვებულ იქნეს დოკუმენტირებული ინფორმაციიდან ან ინფორმაციის სხვა წყაროდან შემდეგ საკითხებზე: ა) ორგანიზაციული როლები; ბ) სამუშაოს აღწერილობა, რომელსაც ახორციელებს პირი, რომელსაც შეუძლია გავლენა იქონიოს ინფორმაციული უსაფრთხოების ფუნქციონირებაზე; გ) შიდა აუდიტის პროგრამების განხორციელება და აუდიტის შედეგები; დ) იუმს-ის ფარგლები და ორგანიზაციის სტრუქტურა. აუდიტის პრაქტიკული სახელმძღვანელო აუდიტორებმა უნდა დაადასტურონ, რომ: ა) იუმს-ის მოთხოვნების შესრულების ვალდებულებები და უფლებამოსილებები განაწილებულია რელევანტურ როლებზე; ბ) უმაღლესი მენეჯმენტი პასუხისმგებელია, რომ ეს ვალდებულები და უფლებამოსილებები ჰქონდეთ იმ პირებს, რომლებიც ახორციელებენ ამ როლებს; გ) ვალდებულებები და უფლებამოსილებები კომუნიცირებულია კომუნიცირების შესახებ დებულების შესაბამისად (ოტს 27001:2021, 3.5.4); დ) ოტს 27001:2021-ის მოთხოვნებთან თავსებადობის დემონსტრაცია ხორციელდება შიდა აუდიტის მოთხოვნების შესაბამისად (ოტს 27001:2021, 3.7.2). აუდიტორებმა უნდა შეამოწმონ, რომ პასუხისმგებელ პირებს აქვთ შესაბამისი კავშირი უმაღლეს მენეჯმენტთან იუმს-ის სტატუსის და ფუნქციონირების შესახებ ინფორმაციის მისაწოდებლად. შენიშვნა: პასუხისმგებლობა, რომ მართვის სისტემა შეესაბამება ოტს 27001:2021-ის მოთხოვნებს შესაძლებელია მიეკუთვნებოდეს ერთ პირს, განაწილებული იყოს რამდენიმე პირს შორის ან მიეკუთვნებოდეს პირთა ჯგუფს. A.3. დაგეგმვა (ოტს 27001:2021, პუნქტი 3.4.) A.3.1. რისკების და შესაძლებლობების მოპყრობის ღონისძიებები (ოტს 27001:2021, 3.4.1.) A.3.1.1. ზოგადი (ოტს 27001:2021, 3.4.1.1.) ოტს 27001:2021-ის რელევანტური პუნქტები და ქვეპუნქტები ოტს 27001:2021, 3.2.1, 3.2.2, 3.6, 3.7, 8.2. რელევანტური დეფინიციები ინფორმაციული უსაფრთხოება, რისკი, რისკის მართვა აუდიტორული მტკიცებულება აუდიტის მტკიცებულებები შეიძლება მოპოვებული იქნეს დოკუმენტირებული ინფორმაციიდან ან ინფორმაციის სხვა წყაროდან შემდეგ საკითხებზე: ა) იუმს-ის დაგეგმა (ოტს 27001:2021, 3.4.1.1, 3.5.5.1. ბ) და 3.6.1.); ბ) ინფორმაციული უსაფრთხოების რისკების შეფასების პროცესი (ოტს 27001:2021, 3.4.1.2.); გ) ინფორმაციული უსაფრთხოების რისკების შეფასების პროცესის შედეგები (ოტს 27001:2021, 3.6.2.); დ) ინფორმაციული უსაფრთხოების რისკების მოპყრობის პროცესი (ოტს 27001:2021, 3.4.1.3.); ე) ინფორმაციული უსაფრთხოების რისკების მოპყრობის შედეგები (ოტს 27001:2021, 3.6.3.); ვ) მონიტორინგის და გაზომვის შედეგები (ოტს 27001:2021, 3.7.1.); ზ) შიდა აუდიტის პროგრამები და შიდა აუდიტის შედეგები (ოტს 27001:2021, 3.7.2.); თ) მენეჯმენტის გადახედვის შედეგები (ოტს 27001:2021, 3.7.3.); ი) ორგანიზაციის კონტექსტი (ოტს 27001:2021, 3.2.); კ) ინფორმაციული უსაფრთხოების მიზნები (ოტს 27001:2021, 3.4.2.). აუდიტის პრაქტიკული სახელმძღვანელო აუდიტორმა უნდა შეამოწმოს, რომ დაგეგმვა: ა) განხორციელდა იუმს-ის დანერგვისთვის საჭირო დონეზე; ბ) მოიცავს პრობლემების განხილვას, რომლებიც რელევანტურია ორგანიზაციის კონტექსტისთვის, როგორც ეს განისაზღვრება ოტს 27001:2021 3.2.1. ქვეპუნქტით და ორგანიზაციის სათანადო მოთხოვნებისთვის, როგორც ეს განისაზღვრება ოტს 27001:2021 3.2.3. ქვეპუნქტით, რათა გათვალისწინებული იქნეს ყველა პოზიტიური და ნეგატიური შედეგი დაკავშირებული ოტს 27001:2021, 3.4.4.1 „ა“-„გ“ ქვეპუნქტებით განსაზღვრულ საკითხებთან; გ) განჭვრეტს ყველა პოტენციურ სცენარს და შედეგს და ამგვარად ატარებს პრევენციულ ხასიათს უარყოფითი შედეგების მიმართ მათ დადგომამდე; დ) ითვალისწინებს დაგეგმილ შედეგებს (ოტს 27001:2021, 3.4.4.1. „ა“), რომლებიც განსაზღვრულია ორგანიზაციის მიერ, რაც მოიცავს ინფორმაციის კონფიდენციალობის, ხელმისაწვდომობის და მთლიანობის დაცვას რისკების მართვის პროცესით; ე) განსაზღვრავს, თუ როგორ უნდა მოხდეს აუცილებელი ან მიზანშეწონილი ღონისძიებების ინკორპორირება იუმს-ში, მიზნების დასახვით (ოტს 27001:2021, 3.4.2.), ოპერაციული კონტროლით (ოტს 27001:2021, 3.6.1.), თუ ოტს 27001:2021-ის სხვა კონკრეტული დებულებით, მაგ.: რესურსებით უზრუნველყოფით (ოტს 27001:2021, 3.5.1.), კომპეტენციით (ოტს 27001:2021, 3.5.2.), ინფორმაციული უსაფრთხოების რისკების შეფასებით (ოტს 27001:2021, 3.6.2.), ინფორმაციული უსაფრთხოების რისკების  მოპყრობით (ოტს 27001:2021, 3.6.3); ვ) განსაზღვრავს განხორციელებული ღონისძიებების ეფექტიანობის შეფასების მექანიზმებს, როგორებიც არის  მონიტორინგი, გაზომვის ტექნიკები, შიდა აუდიტი და მენეჯმენტის მიერ გადახედვა.       A.3.1.2. ინფორმაციული უსაფრთხოების რისკების შეფასება (ოტს 27001:2021, 3.4.1.2.). ოტს 27001:2021-ის რელევანტური პუნქტები და ქვეპუნქტები ოტს 27001:2021, 3.6.2. რელევანტური დეფინიციები ხელმისაწვდომობა, კონფიდენციალობა, მთლიანობა, ინფორმაციული უსაფრთხოება, რისკის იდენტიფიცირება, რისკის მიღების კრიტერიუმი, რისკების ანალიზი, რისკის შეფასება, რისკების მიღება. აუდიტორული მტკიცებულება აუდიტორული მტკიცებულებები შეიძლება მოპოვებული იქნეს დოკუმენტირებული ინფორმაციიდან ან ინფორმაციის სხვა წყაროებიდან შემდეგ საკითხებზე: ა) იუმს-ის დაგეგმვა (ოტს 27001:2021, 3.4.1.1, 3.5.5.1. ბ) და 3.6.1.); ბ) ინფორმაციული უსაფრთხოების რისკების შეფასების პროცესი (ოტს 27001:2021, 3.4.1.2.) და ინფორმაციული უსაფრთხოების რისკების შეფასების შედეგები (ოტს 27001:2021, 3.6.2.). აუდიტის პრაქტიკული სახელმძღვანელო აუდიტორებმა უნდა დაადასტურონ, რომ ინფორმაციული უსაფრთხოების რისკების შეფასება: ა) ახდენს იუმს-თან დაკავშირებული ინფორმაციული უსაფრთხოების რისკების იდენტიფიცირებას; ბ) შედგება რისკების იდენტიფიცრების, რისკების ანალიზის და რისკების შეფასების პროცესებისგან. რისკების კრიტერიუმი (ოტს 27001:2021, 3.4.1.2. „ა“. აუდიტორებმა უნდა დაადასტურონ, რომ ორგანიზაციამ დააფუძნა და ინარჩუნებს რისკების მიღების კრიტერიუმებს და ინფორმაციული უსაფრთხოების რისკების შეფასების კრიტერიუმებს. ორგანიზაციებს აქვთ არჩევანი საკუთარი შეხედულების შესაბამისად რელევანტურად მიიჩნიონ სხვადასხვა ფაქტორები რისკების კრიტერიუმების, მათ შორის, რისკების მიღების და რისკების შეფასების კრიტერიუმების განსაზღვრისას. თუმცა, აუდიტორებმა უნდა შეაფასონ, თუ რამდენად წარმოადგენს მიღებული გადაწყვეტილებები ინფორმირებულ გადაწყვეტილებებს. გონივრულია არსებობდეს მოლოდინი, რომ ორგანიზაციის რისკების კრიტერიუმები გათვალისწინებულია დოკუმენტირებულ ინფორმაციაში რისკების შეფასების პროცესის შესახებ. წინააღმდეგ შემთხვევაში ორგანიზაციამ უნდა წარმოადგინოს შესაბამისი არგუმენტაცია აღნიშნულის მიზეზების თაობაზე. სულ მცირე, გათვალისწინებული უნდა იქნეს ორგანიზაციის რისკების მიღების კრიტერიუმი და ორგანიზაციის რისკების შეფასების კრიტერიუმი. შენიშვნა: ოტს 27001:2021, 3.6.2. მოითხოვს ორგანიზაციებისგან ინფორმაციული უსაფრთხოების რისკების შეფასება განახორციელონ პერიოდულად დაგეგმილი ინტერვალებით ან როდესაც დაგეგმილია ან ადგილი აქვს მნიშვნელოვან ცვლილებებს. თანამიმდევრულობა, ვალიდურობა და შედარებადობა (ოტს 27001:2021, 3.4.1.2. „ბ“) აუდიტორებმა უნდა დაადასტურონ, რომ რისკების შეფასების შედეგები ინფორმაციული უსაფრთხოების რისკების შეფასების პროცესის შედეგად არის თანამიმდევრული, ვალიდური და შედარებადი. ეს დადასტურება შესაძლოა განხორციელდეს: - ორგანიზაციისთვის კითხვის დასმით, თუ რატომ არის მათი რისკების შეფასების პროცესი თანამიმდევრული, ვალიდური და შედარებადი; - ინფორმაციული უსაფრთხოების რისკების შეფასების შედეგების დოკუმენტირებული ინფორმაციით გათვალისწინებული ცალკეული მაგალითების აღებით; თანამიმდევრულობის და ვალიდურობის შეფასებისთვის, აუდიტორებმა შეიძლება შეამოწმონ: - არის თუ არა მსგავსი რისკები მსგავს კონტექსტში ერთნაირად შეფასებული; - აქვს თუ არა რისკების განსხვავებულად შეფასებას სათანადო ახსნა; - არის თუ არა შეფასების საერთო შედეგები ცალსახად გასაგები. შედარებადობის შესაფასებლად აუდიტორებმა უნდა შეამოწმონ: - როგორ მოხდა იგივე რისკის შეფასება რისკების წინა შეფასების დროს და არის თუ არა ცვლილება ახსნადი; - არის თუ არა ცალსახად გაგებადი, თუ რატომ არის რისკი სხვა რისკებთან შედარებით მაღალი ან უფრო დაბალი. რისკების იდენტიფიცირება (ოტს 27001:2021, 3.4.1.2. „გ“) აუდიტორებმა უნდა დაადასტურონ, რომ ორგანიზაციამ იუმს-ის ფარგლებში განახორციელა კონფიდენციალობის, მთლიანობის და ხელმისაწვდომობის დაკარგვასთან დაკავშირებული ინფორმაციული უსაფრთხოების რისკების იდენტიფიცირება. ოტს 27001:2021 არ მოითხოვს რისკების იდენტიფიცირებას მხოლოდ აქტივების, საფრთხეების და სისუსტეების იდენტიფიცირებით. მისაღებია ასევე რისკების იდენტიფიცირების ისეთი მეთოდები, როგორიც არის მაგალითად რისკების იდენტიფიცირება მოვლენების და შედეგების განხილვით. გონივრულია არსებობდეს მოლოდინი, რომ ორგანიზაციის რისკების იდენტიფიცირების პროცესის აღწერა მოცემული იქნება რისკების შეფასების პროცესის ამსახველ დოკუმენტირებულ ინფორმაციაში. ფაქტორები, რომლებსაც ორგანიზაცია შესაძლოა (არ არის სავალდებულო) ითვალისწინებდეს რისკების იდენტიფიცირების მიმართ მისი მიდგომის ჩამოყალიბებისას, შესაძლოა მოიცავდეს: ა) რისკების პოვნის, გამოვლენის და აღწერის მეთოდს; ბ) რისკების განსახილველ წყაროებს. სხვა ფაქტორები, რომლებიც შესაძლოა მხედველობაში იქნეს მიღებული ორგანიზაციის მიერ არის შემდეგი: ა) როგორ შეუძლიათ რისკებს ორგანიზაციის ინფორმაციული უსაფრთხოების მიზნების მიღწევის დაბრკოლება, უკან დახევა,  დაჩქარება ან შეფერხება; შესაძლებლობის გამოუყენებლობით გამოწვეულ რისკები; ბ) რისკები, მიუხედავად იმისა, არის თუ არა მათი გამომწვევი წყარო ორგანიზაციის კონტროლს ქვეშ; გ) კონკრეტული შედეგების, მათ შორის, კასკადური და კუმულატიური ეფექტების გავლენის შესწავლა; დ) შედეგების ფართო წრის განხილვა, იმ შემთხვევაშიც, თუ რისკის გამომწვევი ფაქტორი ან მიზეზი შესაძლოა არ იყოს აშკარა; ე) ყველა მნიშვნელოვანი მიზეზის და შედეგის განხილვა; ვ) როგორ არის შესაძლებელი რისკების მრავალმხრივი სიის შექმნა. შენიშვნა: გარემოება, რომ მნიშვნელოვანი რაოდენობის საჭირო კონტროლები არის გამოტოვებული, შესაძლოა წარმოადგენდეს ცუდად წარმართული რისკების იდენტიფიცირების პროცესის ინდიკატორს. მაგალითების შესწავლის დროს უნდა დადასტურდეს, რომ იუმს-ის ფარგლებში არსებული მნიშვნელოვანი ინფორმაცია სრულად არის ჩართული რისკების შეფასების პროცესში. აუდიტორებმა უნდა დაადასტურონ, რომ დოკუმენტირებული ინფორმაცია შეიცავს რისკების შეფასების შედეგებს, რომლებიც უკავშირდება იუმს-ის ფარგლებში არსებული ინფორმაციის კონფიდენციალობის, მთლიანობის და ხელმისაწვდომობის დაკარგვას. ორგანიზაციის ინფორმაციული უსაფრთხოების მიზნებმა შესაძლოა ხელი შეუწყონ აუდიტორებს ინფორმაციული უსაფრთხოების რისკების გამოვლენაში. აუდიტორებმა ასევე უნდა დაადასტურონ, რომ: ა) თითოეული რისკისთვის იდენტიფიცირებულია რისკის მფლობელი; ბ) თითოეულ რისკის მფლობელს აქვს ვალდებულება და უფლებამოსილება განახორციელოს იდენტიფიცირებული რისკების მართვა. რისკების ანალიზი (ოტს 27001:2021, 3.4.1.2. „დ“) აუდიტორებმა უნდა დაადასტურონ, რომ: ა) ორგანიზაცია აცნობიერებს იდენტიფიცირებული რისკების ბუნებას და განსაზღვრავს რისკის დონეს რისკის ანალიზს შედეგად ინფორმაციული უსაფრთხოების რისკების შეფასების პროცესში; ბ) რისკების ანალიზის შედეგები მხედველობაში მიიღება რისკების ევალუაციის დროს და რისკების მოპყრობის შესახებ გადაწყვეტილების მიღებისას, ისევე როგორც რისკების ყველაზე სათანადო მოპყრობის, სტრატეგიებისა და მეთოდების განსაზღვრისას. აუდიტორებმა ასევე უნდა დაადასტურონ, რომ ორგანიზაციამ შეაფასა რისკთან დაკავშირებული პოტენციური შედეგები და ალბათობა და ამგვარად განსაზღვრა რისკის დონე. გონივრულია მოლოდინი, რომ რისკების ანალიზთან ორგანიზაციის მიდგომის აღწერა მოცმული იქნება რისკების შეფასების პროცესის დოკუმენტირებულ ინფორმაციაში და შედეგები მოცემული იქნება რისკების შეფასების შედეგების დოკუმენტირებულ ინფორმაციაში. აუდიტორებმა უნდა გაითვალისწინონ ორგანიზაციის რისკებთან მოპყრობის პოლიტიკები, სტრატეგიები, მეთოდები. რისკების ანალიზი შესაძლოა იყოს: ა) განხორციელებული დეტალიზაციის სხვადასხვა დონით, რაც დამოკიდებულია რისკზე ანალიზის მიზანზე, ინფორმაციაზე, მონაცემებზე და ხელმისაწვდომ რესურსებზე; ბ) ხარისხობრივი, ნაწილობრივ-რაოდენობრივი, რაოდენობრივი ან მათი კომბინაცია, გარემოებებიდან გამომდინარე. რისკების ევალუაცია (ოტს 27001:2021, 3.4.1.2. „ე“) აუდიტორებმა უნდა დაადასტურონ, რომ ორგანიზაციამ განახორციელა რისკის ანალიზის შედეგების შედარება ინფორმაციული უსაფრთხოების რისკების მიღების კრიტერიუმებთან იდენტიფიცირებული რისკების მისაღებადობის განსაზღვრის მიზნით. აუდიტორებმა ასევე უნდა დაადასტურონ, რომ რისკების შეფასების შედეგები იძლევა მტკიცებულებას, რომ რისკების მიღების კრიტერიუმები სწორად იქნა გამოყენებული და რომ იდენტიფიცირებული და გაანალიზებული რისკები იქნა პრიორიტიზებული შემდგომი მოპყრობის მიზნით. უფრო დეტალურად აუდიტორებმა უნდა გადახედონ, რომ რისკების ევალუაცია: ა) ეხმარება ორგანიზაციას გადაწყვეტილებების მიღებაში, თუ როგორ უნდა განხორციელდეს რისკების მოპყრობა და მოპყრობის აღსრულების პრიორიტიზაცია; ბ) იწვევს რისკის ანალიზის შედეგად მიღებული რისკის დონის შედარებას ინფორმაციული უსაფრთხოების რისკის კრიტერიუმთან, რომელიც განისაზღვრება კონტექსტის ჩამოყალიბებისას; აუდიტორებმა ასევე უნდა შეაფასონ, რომ გადაწყვეტილებები: ა) ითვალისწინებს რისკის უფრო ფართო კონტექსტს; ბ) მხედველობაში იღებს დაინტერესებული მხარეების მოთხოვნებს, მათ შორის, სამართლებრივ, მარეგულირებელ და სხვა მოთხოვნებს.     დოკუმენტირებული ინფორმაცია (ოტს 27001:2021, 3.4.1.2 და 3.6.2.) აუდიტორებმა უნდა დაადასტურონ, რომ არსებობს დოკუმენტირებული ინფორმაცია რისკების შეფასების პროცესთან დაკავშირებით. გონივრულია მოლოდინი, რომ ინფორმაციული უსაფრთხოების რისკების შეფასების პროცესის დოკუმენტირებული ინფორმაცია მოიცავდეს: ა) რისკის კრიტერიუმის დეფინიციას, მათ შორის, რისკის მიღების კრიტერიუმს და ინფორმაციული უსაფრთხოების რისკის შეფასების  კრიტერიუმს; ბ) შედეგების თანამიმდევრულობის, ვალიდურობის და შედარებადობის დასაბუთებას; გ) რისკების იდენტიფიკაციის პროცესის აღწერას (მათ შორის, რისკის მფლობელების აღწერას); დ) ინფორმაციული უსაფრთხოების რისკების ანალიზის პროცესის აღწერას (მათ შორის, პოტენციური შედეგების შეფასებას, ალბათობის რეალურობას და რისკის საბოლოო დონეს); ე) შედეგების რისკის კრიტერიუმებთან შედარების პროცესს და რისკების პრიორიტიზაციას მათი მოპყრობის მიზნით.   A.3.1.3. ინფორმაციული უსაფრთხოების რისკების მოპყრობა ოტს 27001:2021, 3.4.1.3. ოტს 27001:2021-ის დაკავშირებული პუნქტები და ქვეპუნქტები; ოტს 27002:2021 ოტს 27001:2021, ქვეპუნქტი 3.6.3, ოტს 27002:2021 რელევანტური დეფინიციები კონტროლი, კონტროლის მიზანი, დოკუმენტირებული ინფორმაცია, ინფორმაციული უსაფრთხოება, ნარჩენი რისკი, რისკის შეფასება, რისკის კრიტერიუმი, რისკის მფლობელი, რისკის მოპყრობა. აუდიტორული მტკიცებულება აუდიტორული მტკიცებულებები შეიძლება მოპოვებული იქნეს დოკუმენტირებული ინფორმაციიდან ან ინფორმაციის სხვა წყაროებიდან შემდეგ საკითხებზე: ა) იუმს-ის დაგეგმვა; ბ) ინფორმაციული უსაფრთხოების რისკის მოპყრობის პროცესი; გ) ინფორმაციული უსაფრთხოების რისკის მოპყრობის შედეგები; დ) გამოყენებადობის განაცხადი. აუდიტის პრაქტიკული სახელმძღვანელო ინფორმაციული უსაფრთხოების რისკების მოპყრობა (27001:2021, 3.4..1.3) აუდიტორებმა უნდა დაადასტურონ, რომ ორგანიზაცია ახდენს ინფორმაციული უსაფრთხოების რისკების მოდიფიცირებას ინფორმაციული უსაფრთხოების რისკების მოპყრობის პროცესის შედეგად. აუდიტორებმა ასევე უნდა შეამოწმონ, რომ ინფორმაციული უსაფრთხოების  რისკების მოპყრობა იწვევს: ა) ერთი ან რამდენიმე ვარიანტის შერჩევას ინფორმაციული უსაფრთხოების რისკების მოდიფიცირებისთვის და ამ ვარიანტის/ვარიანტების იმპლემენტირებას, რაც უზრუნველყოფს კონტროლების შემოღებას ან არსებული კონტროლების მოდიფიცირებას; ბ) მოპყრობის ეფექტიანობის კრიტიკული შეფასების ციკლურ პროცესს. რისკის მოპყრობის სათანადო ვარიანტების შერჩევა (ოტს 27001:2021, 3.4.1.3. „ა“) აუდიტორებმა უნდა დაადასტურონ, რომ დოკუმენტირებული ინფორმაცია რისკების მოპყრობის პროცესთან დაკავშირებით შეიცავს მეთოდების აღწერას, რომელსაც ორგანიზაცია იყენებს ინფორმაციული უსაფრთხოების რისკების მოპყრობის სათანადო ვარიანტების შერჩევისთვის. აუდიტორებმა ასევე უნდა დაადასტურონ, რომ აღწერა შეესაბამება ორგანიზაციის მიერ პრაქტიკაში განხორცილებულ ქმედებებს. აუდიტორებმა ასევე უნდა შეამოწმონ თავსებადობა რისკების კრიტერიუმებს და რისკების მოპყრობის გეგმას შორის. ორგანიზაციას უნდა შეეძლოს ახსნას რისკების მოპყრობის ვარიანტებთან დაკავშირებით მიღებული გადაწყვეტილებები იმ შემთხვევაშიც თუ ისინი არ არის დოკუმენტირებული. აუდიტორებმა უნდა შეამოწმონ ორგანიზაციის მიერ შერჩეულ რისკების მოპყრობის ვარიანტები. აუდიტორებმა ასევე უნდა შეამოწმონ რისკების მოპყრობის შერჩეული ვარიანტების სათანადოობა. აუდიტორებმა ასევე უნდა შეამოწმონ აისახა თუ არა ინფორმაციულ ტექნოლოგიებში ან პროცესებში მომხდარი ბოლო ცვლილებები რისკების შეფასების და რისკების მოპყრობის გადაწყვეტილებებში.        ყველა საჭირო კონტროლის განსაზღვრა (ოტს 27001:2021, 3.4.1.3. „ბ“) აუდიტორებმა უნდა დაადასტურონ, რომ რისკების მოპყრობის პროცესთან დაკავშირებით არსებული დოკუმენტირებული ინფორმაცია შეიცავს იმ მეთოდის აღწერას, რომელსაც ორგანიზაცია იყენებს ინფორმაციული უსაფრთხოების საჭირო კონტროლების განსაზღვრისთვის. აუდიტორებმა ასევე უნდა დაადასტურონ, რომ ეს აღწერა შეესაბამება ორგანიზაციის მიერ პრაქტიკულად განხორციელებულ ქმედებებს. მოითხოვება, რომ გამოყენებადობის განაცხადი შეიცავდეს აუცილებელ კონტროლებს. საჭირო კონტროლები არ არის აუცილებელი იყოს ოტს 27002:2021 დანართით გათვალისწინებული კონტროლები. ისინი შეიძლება იყოს სექტორისთვის სპეციფიკური კონტროლები ან უშულოდ ორგანიზაციის მიერ სხვა ნებისმიერი წყაროდან შერჩეული კონტროლები. ყველა კონტროლი, რომელიც განისაზღვრება როგორც რისკის მოპყრობის ვარიანტი, გათვალისწინებული უნდა იქნეს გამოყენებადობის განაცხადით.      შედარება ოტს 27002:2021-თან (ოტს 27001:2021, №. 3.4.1.3. „გ“) შესაბამისობა მოწმდება გამოყენებადობის განაცხადის შესწავლით. გამოყენებადობის განაცხადი (ოტს 27001:2021, 3.4.1.3. „დ“) აუდიტორებმა უნდა შეამოწმონ, რომ გამოყენებადობის განაცხადი შეიცავს: ა) საჭირო კონტროლებს, რომლებიც განისაზღვრება ოტს 27001:2021 3.4.1.3. „ბ-გ“ დებულებების გამოყენების პროცესის შედეგად; ბ) მათი ჩართვის დასაბუთებას; გ) საჭირო კონტროლების აღსრულების სტატუსს (აღსრულებულია თუ არა საჭირო კონტროლები); დ) ოტს 27002:2021-ით გათვალისწინებული კონტროლებიდან გამონაკლისების დასაბუთებას, მაგალითად: დ.ა. კონტროლი გამოყენება იმ აქტივობის კონტექსტში, რომელშიც ორგანიზაცია არ არის ჩართული; დ.ბ. ორგანიზაცია იყენებს  ფართოდ გავრცელებულ კონტროლს, რომელიც გამორიცხავს ოტს 27002:2021-ით   გათვალისწინებული კონტროლის გამოყენების საჭიროებას; დ.გ. ორგანიზაცია იყენებს კონტროლს, რომელსაც აქვს იგივე მიზანი, რაც ოტს 27002:2021-ით გათვალისწინებულ კონტროლს; დ.დ. ორგანიზაცია იყენებს სექტორ-სპეციფიურ კონტროლებს, რომლებსაც აქვთ იგივე მიზანი რაც ოტს 27002:2021-ით  განსაზღვრულ კონტროლებს. აუდიტორებმა ასევე უნდა დაადასტურონ შესაბამისობა შერჩეული რისკის მოპყრობის ვარიანტის რეალიზებისთვის საჭირო კონტროლ(ებ)ს და გამოყენებადობის განაცხადს შორის. რისკის მოპყრობის გეგმის ჩამოყალიბება (ოტს 27001:2021, 3.4.1.3 „ე“) აუდიტორებმა უნდა დაასაბუთონ, რომ რისკის მოპყრობის პროცესთან დაკავშირებული დოკუმენტირებული ინფორმაცია მოიცავს მეთოდის აღწერას, რომელიც გამოიყენება მისი რისკის მოპყრობის გეგმის შედგენისთვის. აუდიტორებმა ასევე უნდა დაასაბუთონ, რომ რისკის მოპყრობის გეგმა ჩამოყალიბებულია ოტს 27001:2021, 3.4.1.3. „ა-გ“ ქვეპუნქტების გათვალისწინებით. აუდიტორებმა ასვე უნდა დაასაბუთონ, რომ მოპყრობის გეგმით გათვალისწინებული ინფორმაცია შეიცავს: ა) გეგმით მოცულ რისკებს; ბ) საჭირო კონტროლებს; გ) მოლოდინებს, თუ როგორ შეცვლის საჭირო კონტროლები რისკებს იმგვარად, რომ დაკმაყოფილებული იქნეს რისკების მიღების კრიტერიუმები; დ) რისკის მფლობელებს; შენიშვნა: რისკის მფლობელი პასუხისმგებელია რისკების მოპყრობის გეგმის და ნარჩენი რისკების მიღებაზე; ე) რისკების მოპყრობის შერჩეულ ვარიანტ(ებ)ს; ვ) საჭირო კონტროლების აღსრულების სტატუსს; ზ) მოპყრობის ვარიანტების შერჩევის მიზეზს, მათ შორის, მოსალოდნელ სარგებელს; თ) განსახორციელებელ ქმედებებს, მათ შორის, პასუხისმგებელ პირებს და დროის ცხრილს; ი) საჭირო რესურსებს, მათ შორის, სავარაუდო გაუთვალისწინებელ ხარჯებს; კ) მოხსენებას და მონიტორინგს; აუდიტორებმა ასევე უნდა შეამოწმონ, რომ რისკების მოპყრობის გეგმა მხედველობაში იღებს ორგანიზაციის ობიექტურ გარემოებებს და მენეჯმენტის პროცესებს და რომ იგი განხილულია ყველა რელევანტურ დაინტერესებულ მხარესთან. რისკი მფლობელის თანხმობის მიღება (ოტს 27001:2021, 3.4.1.3 „ვ“) აუდიტორებმა უნდა დაადასტურონ, რომ ორგანიზაცია: ა) ახდენს რისკის მფლობელების იდენტიფიცირებას; ბ) ახდენს ნარჩენი რისკების დოკუმენტირებას; გ) ახდენს რისკების მფლობელის თანხმობის მოპოვებას ინფორმაციული უსაფრთხოების რისკების მოპყრობის გეგმაზე და ნარჩენი რისკების მიღებაზე. დოკუმენტირებული ინფორმაცია აუდიტორებმა უნდა დაადასტურონ, რომ არსებობს რისკებთან მოპყრობის შესახებ დოკუმენტირებული ინფორმაცია. გონივრული იქნება მოლოდინი, რომ დოკუმენტირებულ ინფორმაციაში ინფორმაციული უსაფრთხოების რისკების მოპყრობის პროცესთან დაკავშირებით იქნება აღწერილი: ა) ინფორმაციული უსაფრთხოების რისკების მოპყრობის სათანადო ვარიანტების შერჩევის მეთოდი; ბ) საჭირო კონტროლების შერჩევის მეთოდი; გ) როგორ ხდება ოტს 27002:2021-ის გამოყენება იმის უზრუნველსაყოფად, რომ საჭირო კონტროლი არ იქნეს გამოტოვებული; დ) როგორ ხდება რისკების მოპყრობის გეგმის შედგენა; ე) როგორ ხდება რისკების მფლობელის თანხმობის მოპოვება; შენიშვნა: არ არსებობს კონკრეტული მოთხოვნები რისკებთან მოპყრობის გეგმის შინაარსისა და ფორმატის თაობაზე. A.3.2. ინფორმაციული უსაფრთხოების მიზნები და მითი მიღწევის დაგეგმვა (ოტს 27001:2021, 3.4.2.) ოტს 27001:2021-ის დაკავშირებული პუნქტები და ქვეპუნქტები ოტს 27001:2021, 3.3.1, 3.3.2, 3.5.1, 3.5.3, 3.5.4, 3.5.5, 3.7.1, 3.7.3, 3.8.2. რელევანტური დეფინიციები ინფორმაციული უსაფრთხოება, მიზნები. აუდიტორული მტკიცებულება აუდიტორული მტკიცებულებები შეიძლება მოპოვებულ იქნეს დოკუმენტირებული ინფორმაციიდან ან ინფორმაციის სხვა წყაროებიდან ინფორმაციული უსაფრთხოების მიზნების და მათი მიღწევის გეგმების შესახებ. აუდიტის პრაქტიკული სახელმძღვანელო როგორც აღინიშნა, არსებობს კავშირები ინფორმაციული უსაფრთხოების მიზნებს და მათი მიღწევის გეგმებს, მენეჯმენტს, მხარდაჭერას (ოტს 27001:2021, 3.3.1) და პოლიტიკას (ოტს 27001:2021, 3.3.2.) შორის. აუდიტორებმა უნდა დაადასტურონ, რომ: ა) ინფორმაციული უსაფრთხოების მიზნები განსაზღვრულია ორგანიზაციის შესაბამის ფუნქციებზე და დონეებზე; ბ) ინფორმაციული უსაფრთხოების მიზნები კონკრეტიზებულია იმგვარად, რომ შესაძლებელია მათი მიღწევის განსაზღვრა; გ) მიზნები, თუ ეს შესაძლებელია, გაზომვადია (ზოგიერთ შემთხვევაში შესაძლოა შეუძლებელი იყოს ინფორმაციული უსაფრთხოების მიზნების გაზომვა); დ) ინფორმაციული უსაფრთხოების მიზნების და მათი მიღწევის გეგმის სტატუსი და პროგრესი პერიოდულად გადაიხედება მონიტორინგის, გაზომვის, ანალიზის და შეფასების მოთხოვნების შესაბამისად (ოტს 27001:2021, 3.7.1.) და საჭიროებისამებრ განახლდება განგრძობადი გაუმჯობესების მოთხოვნების შესაბამისად (ოტს 27001:2021, 3.8.2.); ე) ინფორმაციული უსაფრთხოების მიზნები და მათი მიღწევის გეგმები კომუნიცირებულია კომუნიცირების შესახებ მოთხოვნების შესაბამისად (ოტს 27001:2021, 3.5.4.); ვ) მიზნების დოკუმენტირებული ინფორმაცია შექმნილია ინფორმაციის დოკუმენტირების მოთხოვნების შესაბამისად (ოტს 27001:2021, 3.5.5). აუდიტორებმა ასევე უნდა დაადასტურონ, რომ: ა) ინფორმაციული უსაფრთხოების მიზნების მიღწევისთვის საჭირო ქმედებები და ვადები განსაზღვრულია; ბ) პასუხიმგებლობა მისი განხორციელებისთვის განაწილებულია ორგანიზაციის როლების, პასუხისგებლობების და უფლებამოსილებების შესაბამისად; გ) ინფორმაციული უსაფრთხოების სათანადო მოთხოვნები და რისკების შეფასების და რისკების მოპყრობის შედეგები  მხედველობაში მიიღება მიზნების და მათი მიღწევის დაგეგმვის დროს; დ) ბიუჯეტთან, სპეციალურ უნარებთან, ტექნოლოგიებთან ან ინფრასტრუქტურასთან დაკავშირებული მოთხოვნები, რომლებიც აუცილებელია მიზნების მისაღწევად, განსაზღვრულია და უზრუნველყოფილია რესურსებით უზრუნველყოფასთან დაკავშირებული მოთხოვნების შესაბამისად (ოტს 27001:2021, 3.5.1.); ე) მიღწევების საერთო შედეგების შეფასების მექანიზმები განსაზღვრულია მონიტორინგის, გაზომვის, ანალიზის და შეფასების მოთხოვნების შესაბამისად (ოტს 27001:2021, 3.7.1.) და მოხსენებულია მენეჯმენტის მიერ გადახედვის შესახებ მოთხოვნის შესაბამისად (ოტს 27001:2021, 3.7.3.).     A.4. მხარდაჭერა (ოტს 27001:2021, პუნქტი 3.5.) A.4.1. რესურსები (ოტს 27001:2021, 3.5.1.) ოტს 27001:2021-ის დაკავშირებული პუნქტები და ქვეპუნქტები ოტს 27001:2021, 3.3.1, 3.4.2, 3.5.2. რელევანტური დეფინიციები განგრძობადი გაუმჯობესება, მართვის სისტემა. აუდიტორული მტკიცებულება აუდიტორული მტკიცებულებები შეიძლება მოპოვებული იქნეს დოკუმენტირებული ინფორმაციიდანს, ან ინფორმაციის სხვა წყაროებიდან იმ რესურსების შესახებ, რომლებიც ორგანიზაციას ესაჭიროება, რომ: ა) შექმნას და აღასრულოს იუმს-ი (მათ შორის, ოპერაციები და კონტროლები); ბ) შეინარჩუნოს და განგრძობადად გააუმჯობესოს იუმს-ი. რესურსები შესაძლოა მოიცავდეს: ა) ადამიანურ რესურსს; ბ) სპეციალიზებულ უნარებს და ცოდნას; გ) ორგანიზაციულ ინფრასტრუქტურას (მაგ.: შენობებს, საკომუნიკაციო ხაზებს და ა.შ.); დ) ტექნოლოგიებს; ე) ინფორმაციას, ინფორმაციასთან დაკავშირებულ სხვა აქტივებს და ინფორმაციის დამუშავების საშუალებებს; ვ) ფულად სახსრებს.   აუდიტის პრაქტიკული სახელმძღვანელო აუდიტორებმა უნდა დაადასტურონ, რომ ორგანიზაცია განჭვრეტს, განსაზღვრავს და გამოყოფს იუმს-ის შექმნისთვის და აღსრულებისთვის, ისევე როგორც მისი მხარდაჭერისა და განგრძობადი განვითარებითვის   საჭირო რესურსებს. A.4.2. კომპეტენცია (ოტს 27001:2021, 3.5.2.) ოტს 27001:2021-ის დაკავშირებული პუნქტები და ქვეპუნქტები ოტს 27001:2021, 3.3., 3.5.1, 3.3.5.1, 3.7.1. დ) და ე), 3.7.2.   რელევანტური დეფინიციები კომპეტენცია, ეფექტიანობა. აუდიტორული მტკიცებულება აუდიტორული მტკიცებულებები შეიძლება მოპოვებული, იქნეს დოკუმენტირებული ინფორმაციიდან ან ინფორმაციის სხვა წყაროებიდან შესაბამისი: ა) ორგანიზაციული როლების, პასუხისმგებლობების და უფლებამოსილებების შესახებ; ბ) სამუშაოს აღწერილობის შესახებ; გ) საჭირო კომპეტენციის შესახებ; დ) განათლების ჩანაწერის შესახებ; ე) ტრენინგპროგრამების, კურსების და საგანმანათლებლო აქტივობების შესახებ; ვ) შესაბამისი კომპეტენციის მიღების და შენარჩუნების მიზნით განხორციელებული ქმედებების შესახებ; ზ) მათი ეფექტიანობის შემოწმების შესახებ. შენიშვნა: ოტს 27001:2021, 3.5.2. განავრცობს კომპეტენციის ფარგლებს ასევე პირებზე, რომლებიც არ არიან ორგანიზაციის თანამშრომლები. მოთხოვნა ითვალისწინებს, რომ „ისინი ახორციელებენ საქმიანობას ორგანიზაციის კონტროლს ქვეშ“. მაგ.: ქვეკონტრაქტორები და მოხალისეები. აუდიტორული მტკიცებულებები, რომლებიც გამოითხოვება მესამე პირებისგან შეზღუდული უნდა იყოს იმ ფუნქციების და აქტივობების შესახებ მტკიცებულებებით, რომლებიც ხორციელდება იუმს-ისთვის.   აუდიტის პრაქტიკული სახელმძღვანელო აუდიტორებმა უნდა დაადასტურონ, რომ ორგანიზაცია: ა) განსაზღვრავს: ა.ა) პირებს, რომლებიც ახორციელებენ საქმიანობას მისი კონტროლის ქვეშ, რასაც გავლენა აქვს მისი ინფორმაციული უსაფრთხოების ფუნქციონირებაზე; ა.ბ) ცოდნას და უნარებს დაგეგმილი მიზნების მისაღწევად; ა.გ) პირების შესაძლებლობას, გამოიყენონ მათი უნარების და ცოდნა დაგეგმილი მიზნების მისაღწევად. ბ) უზრუნველყოფს, რომ ამ პირებს აქვთ სათანადო უნარები მათი განათლების, ტრენინგების ან გამოცდილების საფუძველზე; გ) საჭიროების შემთხვევაში ახორციელებს სათანადო ზომებს საჭირო უნარების შესაძენად.     A.4.3. ცნობიერება (ოტს 27001:2021, 3.5.3) ოტს 27001:2021-ის დაკავშირებული პუნქტები და ქვეპუნქტები ოტს 27001:2021, 3.3.1. დ), 3.3.2, 3.7.1, 3.7.2, 3.8.1, 3.8.2.   რელევანტური დეფინიციები შესაბამისობა, ეფექტიანობა, ფუნქციონირება, პოლიტიკა. აუდიტორული მტკიცებულება აუდიტორული მტკიცებულებები შეიძლება მოპოვებულ იქნეს დოკუმენტირებული ინფორმაციიდან ან ინფორმაციის სხვა წყაროებიდან შემდეგ საკითხებზე: ა) ინფორმაციული უსაფრთხოების პოლიტიკა; ბ) ინფორმაციული უსაფრთხოების მიზნები; გ) ინფორმაციული უსაფრთხოების ფუნქციონირება; დ) შეუსაბამობები და მაკორექტირებელი ქმედებები; ე) ორგანიზაციული როლები, პასუხისმგებლობები და უფლებამოსილებები; ვ) სამუშაოს აღწერა; ზ) ცნობიერების პროგრამები და ტრენინგები. აუდიტის პრაქტიკული სახელმძღვანელო აუდიტორებმა უნდა დაადასტურონ, რომ პირები, რომლებიც ახორციელებენ მათ საქმიანობას ორგანიზაციის კონტროლს ქვეშ ინფორმირებული არიან: ა) ინფორმაციული უსაფრთხოების პოლიტიკის შესახებ; ბ) მათი კონტრიბუციის შესახებ იუმს-ის ეფექტიანობაში, მათ შორის გაუმჯობესებული ინფორმაციული უსაფრთხოების შედეგად მიღებული სარგებლის თაობაზე; გ) იუმს-ის მოთხოვნების შეუსრულებლობის შედეგების შესახებ. აუდიტორებმა შერჩევითი პრინციპით უნდა გამოკითხონ პირთა გარკვეული რაოდენობა, იმის დამადასტურებლად, რომ ისინი ფლობენ ამ ინფორმაციას. აუდიტორებმა უნდა მოიძიონ ინფორმაცია სხვა ტრენინგების შესახებ, რომელთაც არ აქვთ პირდაპირი კავშირი ინფორმაციულ უსაფრთხოებასთან. ეს აქტივობები შესაძლოა მჭიდროდ იყოს დაკავშირებული უმაღლესი მენეჯმენტის მიერ კომუნიცირების აქტივობებთან (ოტს 27001:2021, 3.3.1 დ) და 3.5.4).  A.4.4. კომუნიკაცია ოტს 27001:2021, 3.5.4. ოტს 27001:2021-ის დაკავშირებული პუნქტები და ქვეპუნქტები ოტს 27001:2021, 3.3.1, 3.3.2, 3.3.3, 3.4.2, 3.7.2. რელევანტური დეფინიციები პოლიტიკა. აუდიტორული მტკიცებულება აუდიტორული მტკიცებულება შეიძლება მოპოვებული იქნეს დოკუმენტირებული ინფორმაციიდან ან ინფორმაციის სხვა წყაროებიდან შემდეგ საკითხებზე: ა) ინფორმაციული უსაფრთხოების პოლიტიკა; ბ) ორგანიზაციული როლები, პასუხისგებლობები და უფლებამოსილებები; გ) ინფორმაციული უსაფრთხოების რისკების შეფასების პროცესი; დ) ინფორმაციული უსაფრთხოების რისკების მოპყრობის პროცესი; ე) ინფორმაციული უსაფრთხოების მიზნები; ვ) ინფორმაცია, რომ პროცესები აღსრულებულ იქნა გეგმის შესაბამისად; ზ) ინფორმაციული უსაფრთხოების რისკების შეფასების შედეგები; თ) ინფორმაციული უსაფრთხოების რისკების მოპყრობის შედგები; ი) იუმს-ის ფუნქციონირება; კ) აუდიტის შედეგები; ლ) ხელმძღვანელობის მიერ გადახედვის შედეგები. აუდიტის პრაქტიკული სახელმძღვანელო აუდიტორებმა უნდა დაადასტურონ, რომ ორგანიზაციის კომუნიკაციის საჭიროებები განსაზღვრულია, აღსრულებული და მხარდაჭერილი ეფექტიანად ოტს 27001:2021-ის მოთხოვნების შესაბამისად. მტკიცებულებების მაგალითები შესაძლოა მოიცავდეს: ა) შეხვედრების საოქმო ჩანაწერებით დოკუმენტირებულ პასუხებს; ბ) ფორმალური კომუნიკაციების გეგმას, დოკუმენტირებულ პროცედურებს და შედეგებს; გ) განსაზღვრული როლის მქონე პირებთან ინტერვიუებს იმის დემონსტრირებისთვის, რომ მათ იციან ვის, რა და როდის უნდა მიაწოდონ და ვის აქვს ამგვარი კომუნიკაციის უფლებამოსილება; ამგვარ მტკიცებულებებს შესაძლოა თან ერთოდეს: ა) ინფორმაცია შემდეგ საკითხებზე კომუნიცირების შესახებ: ა.ა) ეფექტიანი ინფორმაციული უსაფრთხოების და იუმს-ის მოთხოვნების აღსრულების მნიშვნელობა; ა.ბ) პოლიტიკა; ა.გ) უფლებამოსილებები და პასუხისმგებლობები; ა.დ) იუმს-ის ფუნქციონირება; ა.ე) მიზნები; ა.ვ) იუმს-ის ეფექტიანობაში კონტრიბუცია; ა.ზ) იუმს-ს მოთხოვნების შეუსრულებლობის შედეგები; ა.თ) აუდიტის შედეგები. ბ) ფორმალური კომუნიკაციების გეგმა, დოკუმენტირებული პროცედურები და შედეგები. A.4.5.  დოკუმენტირებული ინფორმაცია ოტს 27001:2021, 3.5.5. A.4.5.1. ზოგადი დებულებები ოტს 27001:2021, 3.5.5.1 ოტს 27001:2021-ის დაკავშირებული პუნქტები და ქვეპუნქტები ოტს 27001:2021, 3.2.3, 3.3.2, 3.4.1.2, 3.4.1.3, 3.4.2, 3.5.2. დ), 3.6.1, 3.6.2, 3.6.3, 3.7.1, 3.7.2 ე), 3.7.3 და 3.8.1. რელევანტური დეფინიციები დოკუმენტირებული ინფორმაცია. აუდიტორული მტკიცებულება აუდიტის მტკიცებულება შეიძლება მოპოვებულ იქნეს დოკუმენტირებული ინფორმაციიდან ან ინფორმაციის სხვა წყაროებიდან, რომლებიც შექმნილია, კონტროლდება ან/და შენარჩუნებულია იუმს-ში, მათ შორის: ა) მართვის სისტემის ფარგლები; ბ) პოლიტიკა; გ) მიზნები; დ) კომპეტენციის მტკიცებულებები; ე) გარე წყაროდან მომავალი ინფორმაცია, რომელიც აუცილებელია მართვის სისტემის დაგეგმვის და ოპერირებისთვის. ვ) ინფორმაციული უსაფრთხოების რისკების შეფასების პროცესი; ზ) ინფორმაციული უსაფრთხოების რისკების მოპყრობის პროცესი; თ) გამოყენებადობის განაცხადი; ი) ინფორმაცია, რომ პროცესები და განსაზღვრული კონტროლები აღსრულებულია გეგმის შესაბამისად; კ) ინფორმაციული უსაფრთხოების რისკების შეფასების შედეგები; ლ) ინფორმაციული უსაფრთხოების რისკების მოპყრობის შედეგები; მ) შედეგების მონიტორინგი, გაზომვა და ანალიზი; ნ) შიდა აუდიტის პროგრამები და მათი აღსრულების მტკიცებულებები; ო) მენეჯმენტის მიერ გადახედვის შედეგები; პ) შეუსაბამობების ბუნება და მიღებული ზომები; ჟ) მაკორექტირებელი ქმედებების შედეგები. შესაძლებელია გამოყენებულ იქნეს დოკუმენტირებული ინფორმაცია, რომელიც თავდაპირველად არ შექმნილა ოტს 27001:2021-ის მოთხოვნების დაკმაყოფილების მიზნით. აუდიტის პრაქტიკული სახელმძღვანელო აუდიტორებმა უნდა დაადასტურონ, რომ ორგანიზაციის იუმს-ი  მოიცავს: ა) ოტს 27001:2021-ით გათვალისწინებულ დოკუმენტაციას; ბ) დოკუმენტირებულ ინფორმაციას, რომელიც ორგანიზაციის მიერ განისაზღვრება როგორც მნიშვნელოვანი იუმს-ის ეფექტიანობისთვის. აუდიტორებმა უნდა დაადასტურონ, რომ ორგანიზაცია განსაზღვრავს იმ დოკუმენტირებულ ინფორმაციას, რომელიც სცდება ოტს 27001:2021-ის მოთხოვნების ფარგლებს, თუმცა აუცილებელია მისი იუმს-ის ეფექტიანობისთვის. ტერმინი „დოკუმენტირებული ინფორმაცია“ მიემართება ინფორმაციას, რომლის კონტროლის და შენარჩუნების აუცილებლობასაც განსაზღვრულია ოტს 27001:2021-ის მიერ ნებისმიერ ფორმატით ან ნებისმიერ მატარებელზე (იხ. ოტს 27001:2021, 3.5.5.3.). აუდიტორებმა უნდა დაადასტურონ, რომ დოკუმენტირებული ინფორმაცია შექმნილია და კონტროლდება ოტს 27001:2021, 3.5.5.2. და 3.5.5.3. პუნქტებით გათვალისწინებული მოთხოვნების შესაბამისად. A.4.5.2. შექმნა და განახლება (ოტს 27001:2021, 7.5.2.) ოტს 27001:2021-ის დაკავშირებული პუნქტები და ქვეპუნქტები ოტს 27001:2021, 3.2.3, 3.3.2, 3.4.1.2, 3.4.1.3, 3.4.2, 3.5.2. დ), 3.6.1, 3.6.2, 3.6.3, 3.7.1, 3.7.2 ე), 3.7.3 და 3.8.1. რელევანტური დეფინიციები დოკუმენტირებული ინფორმაცია. აუდიტორული მტკიცებულება აუდიტორული მტკიცებულება შეიძლება მოპოვებულ იქნეს დოკუმენტირებული ინფორმაციიდან ან ინფორმაციის სხვა წყაროებიდან შემდეგ საკითხებზე: ა) საერთო ატრიბუტები, რომლებიც იძლევიან მკაფიო და უნიკალური იდენტიფიცირების საშულებას; ბ) გამოყენებული ფორმატები და მედიასაშუალებები; გ) ბოლო განახლების ან გადახედვის თარიღი; დ) ცვლილებების ისტორია; ე) შემმოწმებლის და დამამტკიცებლის ვინაობა. აუდიტის პრაქტიკული სახელმძღვანელო აუდიტორებმა უნდა დაადასტურონ, რომ დოკუმენტირებული ინფორმაციის შექმნის და გადახედვის დროს, ორგანიზაცია უზრუნველყოფს სათანადო: ა) აღწერას და იდენტიფიცირებას (მაგ.: თარიღი, ავტორი, ან ნომერი); ბ) ფორმატს; გ) დოკუმენტირებული ინფორმაციის სათანადოობის და ადეკვატურობის გადახედვას და დამტკიცებას. შენიშვნა: იდენტიფიცირება, ფორმატი და მედიასაშულებების განსაზღვრა წარმოადგენს ორგანიზაციის დისკრეციას. არ არის აუცილებელი იგი წარმოდგენილი იყოს ტექსტური ფორმატის ან მატერიალური სახელმძღვანელოს სახით. აუდიტორებმა უნდა ისარგებლონ შესაძლებლობით განახორციელონ ეს აუდიტამოცანები იმ შემთხვევებში, როდესაც მათ წარედგინებათ იუმს-ის ფარგლებში არსებული დოკუმენტირებული ინფორმაცია. აუცილებლი არ არის ამ ამოცანების განხორციელება ყველა შემთხვევაში და საკმარისია შემოწმება განხორციელდეს იმ რაოდენობის მაგალითების შესწავლით, რაც საკმარისია ოტს 27001:2021 3.5.5.2. მოთხოვნების დაკმაყოფილების განსასაზღვრად.      A.4.5.3. დოკუმენტირებული ინფორმაციის კონტროლი (ოტს 27001:2021, 3.5.5.3) ოტს 27001:2021-ის დაკავშირებული პუნქტები და ქვეპუნქტები 27001:2021: 3.2.3, 3.3.2, 3.4.1.2, 3.4.1.3, 3.4.2, 3.5.2. დ), 3.6.1, 3.6.2, 3.6.3, 3.7.1, 3.7.2. ე), 3.7.3. და 3.8.1. რელევანტური დეფინიციები დოკუმენტირებული ინფორმაცია. აუდიტორული მტკიცებულება აუდიტორული მტკიცებულებები შეიძლება მოპოვებულ იქნეს დოკუმენტირებული ინფორმაციიდან ან ინფორმაციის სხვა წყაროებიდან შემდეგ აქტივობებთან დაკავშირებით: ა) დისტრიბუცია, წვდომა, ამოღება და გამოყენება; ბ) შენახვა და დაცვა; გ) ცვლილებების კონტროლი; დ) შენარჩუნება და განთავსება; ე) დოკუმენტირებული ინფორმაციის სტრუქტურა და კონფიგურაცია. აუდიტის პრაქტიკული სახელმძღვანელო აუდიტორებმა უნდა დაადასტურონ, რომ იუმს-ის მიერ მოთხოვილი ინფორმაცია კონტროლდება, რათა უზრუნველყოფილ იქნეს, რომ: ა) იგი საჭიროების დროს ხელმისაწვდომი და გამოყენებადია; ბ) ადეკვატურად დაცულია (მაგ.: კონფიდენციალობის დაკარგვისგან, არასწორი გამოყენებისგან, მთლიანობის დაკარგვისგან); აუდიტორებმა უნდა დაადასტურონ, რომ ორგანიზაცია საჭიროებისამებრ იყენებს შემდეგ აქტივობებს: ა) განაწილებას, წვდომას, ამოღებას და გამოყენებას; ბ) შენახვას და დაცვას; გ) ცვლილებების კონტროლს; დ) შენარჩუნებას და განთავსებას. აუდიტორებმა უნდა ისარგებლონ შესაძლებლობით, განახორციელონ ეს აუდიტამოცანები იმ შემთხვევებში, როდესაც მათ წარედგინებათ იუმს-ის ფარგლებში არსებული დოკუმენტირებული ინფორმაცია. აუცილებელი არ არის ამ ამოცანების განხორციელება ყველა შემთხვევაში და საკმარისია შემოწმება განხორციელდეს იმ რაოდენობის მაგალითების შესწავლით, რაც საკმარისია ოტს 27001:2021-ის მოთხოვნების დაკმაყოფილების განსასაზღვრად.   A.5. ოპერირება  (27001:2021, პუნქტი 3.6.) A.5.1. ოპერაციული დაგეგმვა და კონტროლი (27001:2021, პუნქტი 3.6.1.) ოტს 27001:2021-ის დაკავშირებული პუნქტები და ქვეპუნქტები 27001:2021: 3.2.4, 3.4.1.1, 3.4.1.2, 3.4.1.3, 3.4.2, 3.5.5.1, 3.7.1 და 3.7.2   რელევანტური დეფინიციები შედეგები, ინფორმაციული უსაფრთხოება, მიზანი, ორგანიზაცია, აუთსორსინგი, პროცესი, მოთხოვნა. აუდიტორული მტკიცებულება აუდიტორული მტკიცებულებები შეიძლება მოპოვებულ იქნეს დოკუმენტირებული ინფორმაციიდან ან ინფორმაციის სხვა წყაროებიდან, რომელიც: ა) საჭიროა ორგანიზაციისთვის ჰქონდეს რწმენა, რომ ოპერაციული კონტროლის პროცესები ხორციელდება გეგმის შესაბამისად (ოტს 27001:2021, 3.6.1); ბ) ორგანიზაციის მიერ განისაზღვრება როგორც საჭირო იუმს-ის ეფექტიანობისთვის (ოტს 27001:2021, 3.5.1.1. ბ)); გ) დაგეგმილია იუმს-ისთვის (ოტს 27001:2021, 3.4.1.1); დ) შეეხება ინფორმაციული უსაფრთხოების მიზნებს (ოტს 27001:2021, 3.4.2.). აუდიტის პრაქტიკული სახელმძღვანელო აუდიტორებმა უნდა დაადასტურონ, რომ ორგანიზაცია, მისი ოპერირების ფარგლებში, გეგმავს, აღასრულებს და აკონტროლებს პროცესებს, რომლებიც საჭიროა ინფორმაციული უსაფრთხოების მოთხოვნების აღსასრულებლად და იმის უზრუნველსაყოფად, რომ ოტს 27001:2021 მოთხოვნები დაკმაყოფილებულია და რომ ხორციელდება პრიორიტეტული რისკების და შესაძლებლობების მოპყრობა. აუდიტორებმა უნდა დაადასტურონ, რომ ოპერაციული კონტროლი მოიცავს მეთოდებს და ინფორმაციული უსაფრთხოების აღსრულებულ კონტროლებს, რომელთა მიზანია უზრუნველყოფილ იქნეს ბიზნესოპერაციების, აქტივობების და აღჭურვილობის თავსებადობა კონკრეტულ მოთხოვნებთან და სტანდარტებთან და ამგვარად იუმს-ის დაგეგმილი შედეგების ეფექტიანი მიღწევა. ეს კონტროლები აწესებენ ტექნიკურ მოთხოვნებს, რომლებიც აუცილებლია ფუნქციონირების  ოპტიმალური დონის მისაღწევად ბიზნესპროცესებისთვის (მაგ.: ტექნიკური სპეციფიკაციები ან ოპერაციული პარამეტრები ან განსაზღვრული მეთოდოლოგია). შემოწმება უნდა განხორციელდეს იმ სიტუაციებისთვის, რომლებისთვისაც მოითხოვება ოპერაციული კონტროლის და ინფორმაციული უსაფრთხოების კონტროლების გამოყენება, იმ პროცესებთან დაკავშირებით, სადაც ოპერაციული კონტროლის და ინფორმაციული უსაფრთხოების კონტროლების არარსებობას შეუძლია გამოიწვოს პოლიტიკისგან ან მიზნებისგან გადახრა ან წარმოქმნას დაუშვებელი რისკი. ეს სიტუაციები შესაძლოა უკავშირდებოდეს ბიზნესპროცესებს, აქტივობებს ან პროცესებს, წარმოებას, ინსტალაციას ან სერვისებს, მხარდაჭერას, მომწოდებლებს ან ვენდორებს. კონტროლის განხორციელების დონე დამოკიდებულია სხვადასხვა ფაქტორზე, მათ შორის განხორციელებულ ფუნქციებზე, მათ კომპლექსურობაზე და სირთულეზე, გადახრების პოტენციურ შედეგებზე და ა.შ. ამგვარად აუდიტორებმა უნდა დაადასტურონ, რომ ორგანიზაცია: ა) ახორციელებს ქმედებებს, რომლებიც განისაზღვრება რისკების და შესაძლებლობების მოპყრობის მიზნით განსახორციელებელი აქტივობებით (ოტს 27001:2021, 3.4.1.); ბ) აღასრულებს გეგმებს ინფორმაციული უსაფრთხოების მიზნების მისაღწევად (ოტს 27001:2021, 3.4.2.); გ) დოკუმენტირებული ინფორმაციის მოთხოვნების (ოტს 27001:2021, 3.5.5) შესაბამისად ქმნის და აკონტროლებს დოკუმენტაციას, რომელიც აუცილებელია რწმენის მისაღწევად, რომ ოპერაციული კონტროლის პროცესები და ინფორმაციული უსაფრთხოების კონტროლები განხორციელდა გეგმის შესაბამისად; დ) აკონტროლებს დაგეგმილ ცვლილებებს და გადახედავს დაუგეგმავი ცვლილებების შედეგებს, რათა შემცირებულ იქნეს ტექნიკური მოთხოვნების შეუსრულებლობის შანსი ან ახალი რისკების წარმოშობა; ე) ახორციელებს საჭირო ქმედებებს ოპერაციული კონტროლების ჩავარდნით გამოწვეული არასასურველი ეფექტების შედეგებთან მოპყრობის მიზნით; ვ) უზრუნველყოფს, რომ აუთსორსირებული პროცესები იყოს განსაზღვრული და გაკონტროლებული. A.5.2. ინფორმაციული უსაფრთხოების რისკების შეფასება (ოტს 27001:2021, 3.6.2.) ოტს 27001:2021-ის დაკავშირებული პუნქტები და ქვეპუნქტები ოტს 27001:2021, 3.4.1.2. რელევანტური დეფინიციები ინფორმაციული უსაფრთხოება. აუდიტორული მტკიცებულება აუდიტორული მტკიცებულებები შეიძლება მოპოვებულ იქნეს დოკუმენტირებული ინფორმაციიდან ან ინფორმაციის სხვა წყაროებიდან შემდეგ საკითხებზე: ა) იუმს-ის დაგეგმვა (ოტს 27001:2021, 3.4.1.1.); ბ) ინფორმაციული უსაფრთხოების რისკების შეფასების პროცესი (ოტს 27001:2021, 3.4.1.2.); გ) ინფორმაციული უსაფრთხოების რისკების შეფასების შედეგები (ოტს 27001:2021, 3.6.2.); დ) გამოყენებადობის განაცხადი; ე) რისკების მოპყრობის გეგმა. აუდიტის პრაქტიკული სახელმძღვანელო აუდიტორებმა უნდა დაადასტურონ, რომ ინფორმაციული უსაფრთხოების რისკების შეფასების პროცესი, რომელიც განისაზღვრება ოტს 27001:2021-ით აღსრულებულია და ინტეგრირებულია ორგანიზაციის ოპერაციებში და ხორციელდება პერიოდულად, ან როდესაც ადგილი აქვს მნიშვნელოვან დაგეგმილ ან დაუგეგმავ ცვლილებებს, რა დროსაც მხედველობაში მიიღება ოტს 27001:2021, 3.4.1.2. ა) პუნქტის მოთხოვნები; აუდიტორებმა უნდა დაადასტურონ, რომ: ა) დაგეგმილი პერიოდულობა, რომლითაც ხორციელდება რისკების შეფასება შეესაბამება იუმს-ს; ბ) იუმს-ში (ან მის კონტექსტში) მომხდარი ცვლილების ან ინფორმაციული უსაფრთხოების ინციდენტების შემთხვევაში ორგანიზაცია განსაზღვრავს ამ ცვლილებებიდან ან ინციდენტებიდან რომელი მოითხოვს  ინფორმაციული უსაფრთხოების რისკების დამატებით შეფასებას. დამატებითი ინფორმაციისთვის იხილეთ აუდიტის პრაქტიკული სახელმძღვანელო A.3.1.2. A.5.3. ინფორმაციული უსაფრთხოების რისკების მოპყრობა (ოტს 27001:2021, 3.6.3.) ოტს 27001:2021-ის დაკავშირებული პუნქტები და ქვეპუნქტები; ოტს:27002:2021 ოტს 27001:2021, 3.4.1.3, ოტს 27002:2021 რელევანტური დეფინიციები კონტროლი, კონტროლის მიზნები, დოკუმენტირებული ინფორმაცია, ინფორმაციული უსაფრთხოება, ნარჩენი რისკი, რისკების შეფასება, რისკის კრიტერიუმი, რისკის მფლობელი, რისკის მოპყრობა. აუდიტორული მტკიცებულება აუდიტორული მტკიცებულება შესაძლოა მოპოვებულ იქნეს დოკუმენტირებული ინფორმაციიდან ან ინფორმაციის სხვა წყაროებიდან შემდეგ საკითხებზე: ა) იუმს-ის დაგეგმვა; ბ) ინფორმაციული უსაფრთხოების რისკების მოპყრობის პროცესი; გ) რისკების მოპყრობის გეგმები; დ) ინფორმაციული უსაფრთხოების რისკების მოპყრობის შედეგები; ე) გამოყენებადობის განაცხადი. აუდიტის პრაქტიკული სახელმძღვანელო აუდიტორებმა უნდა დაადასტურონ, რომ ინფორმაციული უსაფრთხოების რისკების მოპყრობის პროცესი, რომელიც განისაზღვრება იუმს-ის გეგმით (ოტს 27001:2021, 3.4.1.) აღსრულებულია და ინტეგრირებულია ორგანიზაციის ოპერაციებში და აღსრულდება ინფორმაციული უსაფრთხოების რისკების შეფასების პროცესის ყოველი გამეორების შემდეგ (ოტს 27001:2021, 3.6.2.) ან რისკების მოპყრობის ჩავარდნის შემთხვევაში. დამატებითი ინფორმაციისთვის იხილეთ A.3.1.3.    A.6. ფუნქციონირების შეფასება (ოტს 27001:2021, პუნქტი 3.7.) A.6.1.მონიტორინგი, გაზომვა, ანალიზი და შეფასება (ოტს 27001:2021, 3.7.1.) ოტს 27001:2021-ის დაკავშირებული პუნქტები და ქვეპუნქტები ოტს 27001:2021, 3.3.3, 3.4.1.1., 6.2. რელევანტური დეფინიციები განგრძობადი გაუმჯობესება, ეფექტიანობა, გაზომვა, მონიტორინგი, ფუნქციონირება, ინფორმაციული უსაფრთხოების შემთხვევა, ინფორმაციული უსაფრთხოების ინციდენტი, ინფორმაციის საჭიროება. აუდიტორული მტკიცებულება აუდიტორული მტკიცებულება შესაძლოა მოპოვებულ იქნეს დოკუმენტირებული ინფორმაციიდან ან ინფორმაციის სხვა წყაროებიდან მონიტორინგის, გაზომვის, ანალიზის და შეფასების შედეგების შესახებ (იხ. ოტს 27001:2021, 3.7.1). მტკიცებულებები ასევე შესაძლებელია მოპოვებული იქნეს დოკუმენტირებული ინფორმაციიდან ან ინფორმაციის სხვა წყაროდან შემდეგ საკითხებზე: ა) ინფორმაციული უსაფრთხოების მიზნები შესაბამის ფუნქციებზე და დონეებზე; ბ) ინფორმაციული უსაფრთხოების მიღწევის გზების დაგეგმვა; გ) სტატუსი და ფარგლები, რომლებშიც აღსრულდება ინფორმაციული უსაფრთხოების მიზნები; დ) იუმს-ის ფუნქციონირების მოხსენება უმაღლესი მენეჯმენტისთვის; ე) რისკის შეფასების შედგები და რისკის მოპყრობის გეგმის სტატუსი; ვ) მონიტორინგის, გაზომვის, ანალიზის და შეფასების მეთოდები; ზ) მენეჯმენტის მიერ გადახედვა და მენეჯმენტის მიერ გადახედვის შედეგები; თ) ინფორმაციული უსაფრთხოების გადახედვის მოხსენებები; ი) ინფორმაციული უსაფრთხოების სისუსტეების მოხსენებები; კ) ინფორმაციული უსაფრთხოების ინციდენტების მოხსენებები. აუდიტის პრაქტიკული სახელმძღვანელო აუდიტორებმა უნდა დაადასტურონ, რომ ორგანიზაციამ: ა) შეაფასა ინფორმაციული უსაფრთხოების ფუნქციონირება და მისი იუმს-ის ეფექტიანობა; ბ) განსაზღვრა: ბ.ა) რა უნდა დაექვემდებაროს მონიტორინგს და გაზომვას (რაოდენობრივად ან ხარისხობრივად), მათ შორის ინფორმაციული უსაფრთხოების პროცესები და კონტროლები; ბ.ბ) მონიტორინგის, გაზომვის, ანალიზის და შეფასების მეთოდები ვალიდური შედეგების მისაღებად; ბ.გ) როდის უნდა განხორციელდეს მონიტორინგი და გაზომვა; ბ.დ) ვინ უნდა განახორციელოს მონიტორინგი და გაზომვა; ბ.ე) როდის უნდა გაანალიზდეს და შეფასდეს მონიტორინგის და გაზომვის შედეგები; ბ.ვ) ვინ ახორციელებს ამ შედეგების ანალიზს და შეფასებას. აუდიტორებმა უნდა გადახედონ ინფორმაციული უსაფრთხოების ფუნქციონირებას, ისეთი დოკუმენტური მტკიცებულებების გამოყენებით, როგორიც არის გეგმები, მოხსენებები უმაღლესი მენეჯმენტისთვის იუმს-ის ფუნქციონირების შესახებ, შიდა აუდიტის მოხსენებები და ინფორმაციული უსაფრთხოების შემთხვევების, სისუსტეების და ინფორმაციული უსაფრთხოების ინციდენტების მოხსენებები. აუდიტორებმა ასევე უნდა შეაფასონ, თუ როგორ ხდება შეუსაბამობების, დამუშავების ხარვეზების, ინფორმაციული უსაფრთხოების დარღვევების და სხვა ინციდენტების წინასწარ განჭვრეტა, გამოვლენა, მოხსენება და მოპყრობა. აუდიტორებმა უნდა განსაზღვრონ, თუ როგორ აფასებს ორგანიზაცია მის მიერ განხორციელებული ქმედებების ეფექტიანობას, რომლებიც ხორციელდება რისკების და შესაძლებლობების მოპყრობის მიზნით იმის უზრუნველსაყოფად, რომ ინფორმაციული უსაფრთხოების კონტროლები, რომლებიც განისაზღვრება რისკების მოპყრობით, ეფექტიანად არის აღსრულებული და ფუნქციონირებს. აუდიტორებმა ასევე უნდა შეაფასონ ინფორმაციული უსაფრთხოების ფუნქციონირების შეფასებები, რომლებიც გამოიყენება იუმს-ის განგრძობადი გაუმჯობესების მიზნით. აუდიტორებმა ასევე უნდა დაადასტურონ, რომ ცვლილებები და შედეგები აისახება რისკების შეფასების და რისკების მოპყრობის პროცესებში. დამატებით, აუდიტორებმა უნდა დაადასტურონ, რომ დოკუმენტირებული ინფორმაცია იმ ქმედებების შესახებ, რომლებიც ხორციელდება რისკების და შესაძლებლობების მოპყრობის მიზნით განახლებულია. აუდიტორებმა უნდა შეამოწმონ, რომ ინფორმაცია იმ მახასიათებლების შესახებ, რომელთა მონიტორინგი, გაზომვა, ანალიზი და შეფასებაც  ხორციელდება არის საჭირო და საკმარისი იმის შესახებ სამსჯელოდ, თუ რამდენად არის იუმს-ით დაგეგმილი აქტივობები განხორციელებული და დაგეგმილი შედეგები მიღწეული. აუდიტორებმა უნდა დაადასტურონ, რომ მონიტორინგის, გაზომვის, ანალიზის ან შეფასების შედეგად მიღებული ინფორმაცია წარედგინება უმაღლეს მენეჯმენტს, მენეჯმენტის მიერ გადახედვის მოთხოვნის შესაბამისად (ოტს 27001:2021, 3.7.3.). A.6.2. შიდა აუდიტი (ოტს 27001:2021, 3.7.2) ოტს 27001:2021-ის დაკავშირებული პუნქტები და ქვეპუნქტები 27001:2021, 3.7.3. რელევანტური დეფინიციები აუდიტი, აუდიტის ფარგლები, კომპეტენცია. აუდიტორული მტკიცებულება აუდიტორული მტკიცებულება შესაძლოა მოპოვებულ იქნეს დოკუმენტირებული ინფორმაციიდან ან ინფორმაციის სხვა წყაროებიდან შემდეგ საკითხებზე: ა) შიდა აუდიტის პროგრამ(ებ)ა; ბ) შიდა აუდიტის გეგმები; გ) შიდა აუდიტის შედეგები; დ) შიდა აუდიტორების კომპეტენცია; ე) მენეჯმენტის მიერ გადახედვის შედეგები. აუდიტის პრაქტიკული სახელმძღვანელო შენიშვნა: აღნიშნული პუნქტი წარმოადგენს გარე აუდიტის სახელმძღვანელოს ან შესაძლოა გამოყენებულ იქნეს შიდა აუდიტის თვითშემოწმების/შეფასების მიზნებისთვის. აუდიტორებმა უნდა დაადასტურონ, რომ ორგანიზაცია გეგმავს, აღასრულებს და ინარჩუნებს შიდა აუდიტის პროგრამებს ინფორმაციის მისაღებად იმის თაობაზე, შეესაბამება თუ არა იუმს-ი ოტს 27001:2021-ის მოთხოვნებს ან მოთხოვნებს, რომლებიც ორგანიზაციის მიერ იქნა სავალდებულოდ აღიარებული და არის თუ არა იუმს-ი ეფექტიანად აღსრულებული და მხარდაჭერილი გეგმის შესაბამისად. აუდიტორებმა უნდა შეამოწმონ, რომ: ა) შიდა აუდიტი დაგეგმილია პროცესების მნიშვნელობის  და წინა აუდიტის შედეგების გათვალისწინებით; ბ) შიდა აუდიტის დაგეგმვის და ჩატარების მიდგომები განსაზღვრულია; გ) როლები და პასუხისმგებლობები აუდიტის პროგრამის შიგნით განაწილებულია შიდა აუდიტის პროცესის დამოუკიდებლობის და მთლიანობის მოთხოვნების გათვალისწინებით; დ) აუდიტის მიზნები, აუდიტის კრიტერიუმები და აუდიტის ფარგლები განსაზღვრულია ყოველი დაგეგმილი აუდიტისთვის; ე) იგი შექმნილია იმის შემოწმების მიზნით, რომ იუმს-ი: ე.ა) შეესაბამება ოტს 27001:2021-ს მოთხოვნებს; ე.ბ) შეესაბამება ორგანიზაციის საკუთარ მოთხოვნებს; ვ) იგი შექმნილია იმის შემოწმების მიზნით, რომ იუმს-ი ეფექტიანად არის აღსრულებული და მხარდაჭერილი. აუდიტის კრიტერიუმის მაგალითად შესაძლებელია მოყვანილ იქნეს რეფერირების წყარო (მაგ.: პოლიტიკა, პროცედურა და მოთხოვნები), რომლებთან მიმართებაშიც მოხდება შესაბამისი ჩანაწერების, ფაქტის განცხადების ან სხვა ინფორმაციის შედარება. აუდიტის ფარგლები შესაძლოა მოიცავდეს აღწერას ფიზიკური ლოკაციების, ორგანიზაციული დანაყოფების, აქტივობების და პროცესების, ისევე როგორც აუდიტით მოცული დროის პერიოდის მიხედვით. აუდიტორებმა უნდა დაადასტურონ, რომ შიდა აუდიტის პროგრამა და აუდიტები დაგეგმილი, აღსრულებული და მხარდაჭერილია შიდა პერსონალის მიერ, ან იმართება გარე პირების მიერ, რომლებიც მოქმედებენ ორგანიზაცის სახელით. ორივე შემთხვევაში აუდიტორებმა უნდა დაადასტურონ, რომ პირების შერჩევა, რომლებიც მართავენ შიდა აუდიტის პროგრამას და აუდიტორები, რომლებიც ახორციელებენ შიდა აუდიტს აკმაყოფილებენ კომპეტენციასთან დაკავშირებულ მოთხოვნებს (ოტს 27001:2021, 3.5.2., 3.7.2). აუდიტორებმა უნდა დაადასტურონ, რომ შიდა აუდიტის შედეგები მოხსენდება მენეჯმენტს, რომელიც პასუხისმგებელია აუდიტს დაქვემდებარებულ ფუნქციებზე/დანაყოფზე და ყველა სხვა პირს, რომელიც უნდა იქნეს ინფორმირებული კომუნიცირების შესახებ მოთხოვნების შესაბამისად (ოტს 27001:2021, 3.5.4.). აუდიტორებმა უნდა დაადასტურონ, რომ ინფორმაცია შიდა აუდიტის შედეგების შესახებ გადაიხედება მენეჯმენტის მიერ გადახედვის მოთხოვნების შესაბამისად (ოტს 27001:2021, 3.7.3.).        A.6.3. მენეჯმენტის მიერ გადახედვა (ოტს 27001:2021, 3.7.3) ოტს 27001:2021-ის დაკავშირებული პუნქტები და ქვეპუნქტები ოტს 27001:2021, 3.2.1, 3.2.2, 3.6.2, 3.6.3, 3.7.1, 3.7.2, 3.8.1 და 3.8.2. რელევანტური დეფინიციები განგრძობადი გაუმჯობესება, ეფექტიანობა, ფუნქციონირება. აუდიტორული მტკიცებულება აუდიტორული მტკიცებულება შესაძლოა მოპოვებულ იქნეს დოკუმენტირებული ინფორმაციიდან ან ინფორმაციის სხვა წყაროებიდან შემდეგ საკითხებზე: ა) პერიოდული გადახედვა; ბ) მენეჯმენტის მიერ წინა გადახედვიდან გამომდინარე ქმედებების სტატუსი; გ) ცვლილებები გარე და შიდა საკითხებში, რომლებიც რელევანტურია იუმს-ისთვის; დ) უკუგება ინფორმაციული უსაფრთხოების ფუნქციონირებაზე, მათ შორის შეუსაბამობების და მაკორექტირებელი ქმედებების, მონიტორინგის და გაზომვის შედეგების, აუდიტის შედეგების და ინფორმაციული უსაფრთხოების მიზნების მიღწევაზე; ე) უკუგება დაინტერესებული მხარეების მხრიდან; ვ) რისკების შეფასების შედეგები და რისკების მოპყრობის გეგმის სტატუსი; ზ) განგრძობადი გაუმჯობესების შედეგები. აუდიტის პრაქტიკული სახელმძღვანელო აუდიტორებმა უნდა დაადასტურონ, რომ უმაღლესმა მენეჯმენტმა განახორციელა გადახედვა, გადახედვის დაგეგმილი გრაფიკით გათვალისწინებული ინტერვალების შესაბამისად. აუდიტორებმა უნდა დაადასტურონ, რომ უმაღლესი მენეჯმენტი პირადად არის ჩართული ამ გადახედვაში, ახორციელებს იუმს-ში ცვლილებებს და განსაზღვრავს განგრძობადი გაუმჯობესების პრიორიტეტებს. აუდიტორებმა უნდა შეამოწმონ, რომ მენეჯმენტის მიერ გადახედვა მოიცავს ყველა საკითხს, რომელიც გათვალისწინებულია A.6.3. აუდიტორული მტკიცებულების გრაფით. აუდიტორებმა ასევე უნდა დაადასტურონ, რომ მენეჯმენტის მიერ გადახედვის შედეგები მოიცავს გადაწყვეტილებებს იუმს-ის განგრძობადი გაუმჯობესების პრიორიტეტების და მასში ცვლილებების საჭიროების შესახებ.     A.7. გაუმჯობესება (ოტს 27001:2021, პუნქტი 3.8) A. 7.1. შეუსაბამობა და მაკორექტირებელი ქმედებები (3.8.1.) ოტს 27001:2021-ის დაკავშირებული პუნქტები და ქვეპუნქტები ოტს 27001:2021, 3.5.5, 3.6.1, 3.8.2. რელევანტური დეფინიციები კორექცია, მაკორექტირებელი ქმედება, ეფექტიანობა, შეუსაბამობა. აუდიტორული მტკიცებულება აუდიტორული მტკიცებულება შესაძლოა მოპოვებული იქნეს დოკუმენტირებული ინფორმაციიდან ან ინფორმაციის სხვა წყაროებიდან შემდეგ საკითხებზე: ა) შეუსაბამობების ბუნება და განხორციელებული ქმედებები; ბ) მაკორექტირებელი ქმედებების შედეგები; გ) მონიტორინგის და გაზომვის შედეგები; დ) აუდიტის პროგრამები და აუდიტის შედეგები; ე) მენეჯმენტის მიერ გადახედვის შედეგები; ვ) დაინტერსებული მხარეების მოთხოვნები დაკავშირებული ინფორმაციულ უსაფრთხოებასთან; ზ) მაკორექტირებელი ქმედებებით გამოწვეული ცვლილებები იუმს-ში. აუდიტის პრაქტიკული სახელმძღვანელო აუდიტორებმა უნდა დაადასტურონ, რომ: ა) ორგანიზაცია ახდენს რეაგირებას ოტს 27001:2021-ის და იუმს-ის მოთხოვნებთან შეუსაბამობების იდენტიფიცირებისას; ბ) შეუსაბამობა და მაკორექტირებელი ქმედებები მოიცავს ქმედებებს სიტუაციის კორექტირების მიზნით, ასევე გამომწვევი მიზეზის იდენტიფიცირებას, სხვა შემთხვევების არსებობის გამოვლენას ან პოტენციური არსებობის განსაზღვრას და მათი თავიდან აცილებისთვის საჭირო ქმედებების განხორციელებას; გ) ორგანიზაციის რეაგირება მოიცავს ქმედებების შეფასებას, რომლებიც ხორციელდება დაგეგმილი მიზნების მიღწევის დადასტურების მიზნით და იუმს-ის შეფასებას იმის განსაზღვრის მიზნით, განხორციელებული ცვლილებები განაპირობებს თუ არა მომავალში შეუსაბამობების თავიდან არიდებას; დ) შეუსაბამობების, მაკორექტირებელი ქმედების და შედეგების დოკუმენტაცია შედგენილია და კონტროლდება ინფორმაციის დოკუმენტირების შესახებ მოთხოვნების შესაბამისად (იხ. ოტს 27001:2021, 3.5.5.).   A.7.2. განგრძობადი გაუმჯობესება (ოტს 27001:2021, 3.8.2.) ოტს 27001:2021-ის დაკავშირებული პუნქტები და ქვეპუნქტები ოტს 27001:2021, 3.3.1, 3.3.2, 3.4.1, 3.4.2, 3.5.1, 3.6.1, 3.7.1, 3.7.2, 3.7.3, 3.8.1. რელევანტური დეფინიციები განგრძობადი გაუმჯობესება, ეფექტიანობა, ფუნქციონირება აუდიტორული მტკიცებულება აუდიტორული მტკიცებულება შესაძლოა მოპოვებულ იქნეს დოკუმენტირებული ინფორმაციიდან ან ინფორმაციის სხვა წყაროებიდან შემდეგ საკითხებზე: ა) შეუსაბამობის ბუნება და განხორციელებული ქმედებები, მათ შორის მაკორექტირებელი ქმედებების შესახებ მოხსენება; ბ) მაკორექტირებელი ქმედებების შედეგები; გ) მონიტორინგის და გაზომვის შედეგები; დ) აუდიტის პროგრამები და აუდიტის შედეგები; ე) მენეჯმენტის გადახედვის შედეგები; ვ) დაინტერესებული მხარეების მოთხოვნები დაკავშირებული ინფორმაციულ უსაფრთხოებასთან; ზ) ინფორმაციული უსაფრთხოების შემთხვევებთან და ინციდენტებთან დაკავშირებით მიღებული გადაწყვეტილებები.  აუდიტის პრაქტიკული სახელმძღვანელო აუდიტორებმა უნდა დაადასტურონ, რომ ორგანიზაცია ახორციელებს განმეორებად აქტივობებს იუმს-ის სათანადოობის, ადეკვატურობის და ეფექტიანობის გაზომვადი შედეგების გასაუმჯობესებლად. აუდიტორებმა უნდა გადახედონ და განსაზღვრონ, რომ განგრძობადი გაუმჯობესება მოიცავს იუმს-ის დიზაინში და აღსრულებაში ცვლილებების შეტანას, რაც მიზნად ისახავს ორგანიზაციის მიერ იუმს-ის მოთხოვნების აღსრულების და პოლიტიკით განსაზღვრული მიზნების და ვალდებულებების აღსრულების შესაძლებლობის გაუმჯობესებას. აუდიტორებმა უნდა დაადასტურონ, რომ ორგანიზაცია: ა) აღასრულებს ქმედებებს გაუმჯობესების მიზნით, მათ შორის: ა.ა) ახორციელებს ქმედებებს, რათა მოეპყრას რისკებს და შესაძლებლობებს (ოტს 27001:2021, 3.4.1); ა.ბ) განსაზღვრავს მიზნებს (ოტს 27001:2021, 3.4.2); ა.გ) ახდენს ოპერაციული კონტროლების გაუმჯობესებას ახალი ტექნოლოგიების, მეთოდების ან ინფორმაციის გათვალისწინებით (ოტს 27001:2021, 3.6.1); ა.დ) ახდენს ფუნქციონირების ანალიზს და შეფასებას (ოტს 27001:2021, 3.7.1); ბ) ატარებს შიდა აუდიტს (ოტს 27001:2021, 3.7.2); გ) ახდენს მენეჯმენტის მიერ გადახედვას (ოტს 27001:2021, 3.7.3); დ) ახდენს შეუსაბამობების გამოვლენას და აღასრულებს მაკორექტირებელ ქმედებებს (ოტს 27001:2021, 3.8.1); ე) პერიოდულად ახდენს იუმს-ის ეფექტიანობის შეფასებას მონიტორინგის, გაზომვის, ანალიზის და შეფასების მოთხოვნების შესაბამისად (ოტს 27001:2021, 3.7.1), შიდა აუდიტს (ოტს 27001:2021, 3.7.2) და მენეჯმენტის მიერ გადახედვას (ოტს 27001:2021, 3.7.3), რათა გამოავლინოს გაუმჯობესების შესაძლებლობები და გეგმავს სათანადო ღონისძიებებს რისკების და შესაძლებლობების მოპყრობის მიზნით.