При отказе клиента в предоставлении информации об индивидуальных особенностях его системы защиты информации аудитору следует:
- Отказаться от проведения аудита.
- Отметить данный факт в договоре и пересмотреть план аудита.
- Собрать необходимую информацию альтернативными способами.
- Выдать положительное аудиторское заключение, основанное на доступной информации.
К сожалению, у нас пока нет статистики ответов на данный вопрос,
но мы работаем над этим.