У каждой организации имеются надзорные органы (регуляторы), которые определяют законодательно порядок функционирования организации. В законодательных актах регулятора также устанавливается периодичность предоставления той или иной отчетности за прошедшие или текущий периоды по различным направлениям, в том числе и по состоянию информационной безопасности.
Для определения актуального состояния системы обеспечения информационной безопасности знаний и опыта сотрудников службы информационной безопасности бывает недостаточно, т.к. специалисты службы информационной безопасности не всегда успевают пройти соответствующее обучение и закончить курсы повышения квалификации, что может повлечь за собой определенные риски в достоверности предоставления отчетности за установленный период регулятору.
Оптимальным выходом из данной ситуации является проведение аудита независимой организацией, за определенный период. Т.к. аудит — это последний шаг в процессе реализации информационной безопасности. Он определяет состояние информационной безопасности внутри организации, необходимость создания соответствующих политик и процедур, введение в действие которых повышает общий уровень состояния системы обеспечения информационной безопасности.
