Please enable JavaScript.
Coggle requires JavaScript to display documents.
ISO/ІЕС 27006 - Coggle Diagram
ISO/ІЕС 27006
аудити нагляду
Процедури аудиту нагляду повинні узгоджуватися з процедурами, що відносяться до сертифікаційного аудиту СМІБ організації-клієнта, як визначено в цьому стандарті
мета
-
розгляд передумов для змін у цій системі, ініційованих в результаті змін в роботі організації-клієнта
-
програми нагляду
включають
a) елементи підтримки функціонування системи, якими є внутрішній аудит СМІБ. аналіз з боку керівництва, а також попереджувальні та коригувальні дії:
b) інформацію, що надходить від зовнішніх сторін, як це вимагається стандартом ISO / IEC 27001 і іншими документами, необхідними для сертифікації:
-
d) області, які слід змінити;
e) елементи, вибрані з ISO / IEC 27001;
-
аналіз факторів
-
b) функціонування процедур періодичної оцінки і перевірки відповідності правовим і нормативним вимогам, пов'язаним з інформаційною безпекою;
c) заходи, вжиті стосовно невідповідностей, виявлених під час останнього аудиту
нагляд виконується
відповідно до
a) орган сертифікації повинен бути здатний адаптувати свою програму нагляду до проблем інформаційної безпеки, пов'язаних з погрозами активів, уразливими і впливами на організацію-клієнта, і обгрунтувати цю програму:
b) програма нагляду органу сертифікації повинна визначатися органом сертифікації. Конкретні дати інспекцій можуть узгоджуватися з сертифікується організацією-клієнтом:
c) аудити нагляду можуть об'єднуватися з аудитами інших систем менеджменту. У звітах повинні чітко вказуватися аспекти, значимі для кожної системи менеджменту;
-
-
-
спеціальні аудити
Застосовуються вимоги ISO / IEC 17021: 2006, пункт 9.5
застосовуються такі, специфічні для СМІБ, вимоги і положення
особливі випадки
Дії з нагляду повинні проводитися за спеціальним положенням в разі здійснення організацією-клієнтом з сертифікованої СМІБ суттєвої модифікації своєї системи або внесення змін, які можуть зачіпати основу її сертифікації.
скарги
вимоги ISO / IEC 17021: 2006, пункт 9.8
-
-
Вимоги до організацій, що проводять аудит і сертифікацію систем менеджменту інформаційної безпеки
вимоги до процесу
аудит СМІБ
загальні вимоги
-
-
аудиторська група
-
-
повноваження
-
-
повинні зобов'язувати аудиторську групу перевіряти структуру, політику і процедури організації-клієнта
-
-
методологія
-
Процедури сертифікації повинні концентруватися на встановленні того, що СМІБ організації-клієнта
-
-
області дії
визначення
характеристики бізнесу, організації
-
-
-
-
-
-
Призупинення, скасування або скорочення сфери дії сертифікації
вимоги ISO / IEC 17021: 2006, пункт 9.6
-
-
-
-
-