Постановление Правления Национального Банка Республики Казахстан от 29 октября 2018 года № 245 «Об установлении Перечня вопросов, подлежащих проверке в рамках аудита иной информации, Требований к содержанию, срокам представления аудиторской организацией аудиторского заключения по аудиту иной информации, Требований к аудиторам в составе аудиторской организации, привлекаемой к аудиту иной информации»
1. В рамках оценки системы управления рисками и внутреннего контроля в банке, страховой (перестраховочной) организации, профессиональном участнике рынка ценных бумаг (далее – финансовая организация) проверке подлежат следующие вопросы:
3. В рамках оценки системы управления рисками информационных технологий, эффективности системы информационной безопасности проверке подлежат следующие вопросы:
1) эффективность процесса оценки рисков информационных технологий;
2) полнота и эффективность общих компьютерных контролей, включая операционную эффективность имеющихся контролей;
3) полнота автоматизированных контролей, а также операционная эффективность автоматизированных контролей в бизнес-процессах;
4) достаточность вычислительных мощностей для текущих и будущих потребностей финансовых организаций;
5) эффективность процесса оценки рисков информационной безопасности;
6) эффективность существующего контроля в области обеспечения информационной безопасности;
7) эффективность мониторинга и анализа информации по инцидентам информационной безопасности, а также реагирования на инциденты информационной безопасности;
8) эффективность процесса управления непрерывностью деятельности финансовой организации.
3) для проверки вопросов, указанных в пункте 3 Перечня вопросов, подлежащих проверке в рамках аудита иной информации, установленного согласно приложению 1 к настоящему постановлению, не менее двух аудиторов и руководитель аудита иной информации имеют одну из полных квалификаций ITIL (Information Technology Infrastructure Library), COBIT (Control Objectives for Information and Related Technologies), ISO 27001 LA (ISO 27001 Lead Auditor), CISA (Certified Information Systems Auditor), CISM (Certified Information Security Manager), CRISC (Certified in Risk and Information Systems Control), TOGAF (The Open Group Architecture Framework), CISSP (Certified Information Systems Security Professional);
© https://nationalbank.kz