Please enable JavaScript.
Coggle requires JavaScript to display documents.
ISO/ІЕС 27006 - Coggle Diagram
ISO/ІЕС 27006
Загальні вимоги
сертифікацію, включаючи інформаційні наради, наради з планування, вивчення документів, проведення аудиту
-
-
проведення заходів, що передують аудиту, що
мають на меті виключно визначення готовності до сертифікаційного аудиту
-
-
Терміни та визначення
Сертифікат
Документ, виданий органом сертифікації відповідно до умов його акредитації та містить відповідний символ або заяву про акредитацію
Орган сертифікації
Третя сторона, яка оцінює і сертифікує СМІБ організації-клієнта на відповідність діючим стандартам СМІБ і будь-якої додаткової документації, необхідної в рамках цієї системи.
Документ сертифікації
Документ, який вказує, що СМІБ організації-клієнта відповідає стандартам СМІБ і додаткової документації, необхідної в рамках цієї системи
Маркування
Юридично зареєстрований товарний знак або захищений іншим чином символ, який випускається за правилами органу акредитації або органу сертифікації, вказує на те. що орган досить впевнений в системах або що відповідні продукти або суб'єкти відповідають вимогам певного стандарту
Організація
Державна або приватна компанія, корпорація, фірма, підприємство, управління або установа або їх частина, або їх комбінація, що має власні функції і адміністрацію і здатна забезпечити інформаційну безпеку.
Вимоги до інформації
первинного сертифікаційного аудиту СМІБ організації-клієнта відповідно до положень ISO 19011, ISO / IEC 17021 та іншими відповідними документами
наглядових і повторних сертифікаційних аудитів СМІБ організації-клієнта відповідно до ISO 19011 та ISO / IEC 17021, що проводяться періодично на предмет перевірки безперервного відповідності певним вимогам, а також для підтвердження і реєстрації, що організація-клієнт своєчасно вживає коригувальні дії щодо виправлення всіх невідповідностей
Орган сертифікації повинен надати кожній зі своїх організацій клієнтів, чия СМІБ сертифікована, документи по сертифікації, такі як лист або сертифікат, підписаний уповноваженою посадовою особою.
Орган сертифікації повинен належним чином контролювати за правом власності, використанням і демонстрацією своїх сертифікаційних знаків СМІБ
НОРМАТИВНІ ПОСИЛАННЯ
ISO/IEC 17021: 2006
Оцінка відповідності. Вимоги до органів, які забезпечують аудит і сертифікацію систем менеджменту
ISO/IEC 27001: 2005
Інформаційні технології. Методи забезпечення безпеки. Системи менеджменту інформаційної безпеки. Вимоги
-
ОБЛАСТЬ ЗАСТОСУВАННЯ
Цей стандарт на основі стандартів ISO/IEC 17021 та ISO/IEC 27001 встановлює вимоги до органів, що здійснюють аудит і сертифікацію системи менеджменту інформаційної безпеки (СМІБ ). і сприяє проведенню акредитації органів сертифікації.
Будь-який орган, який здійснює сертифікацію СМІБ. повинен продемонструвати в плані компетентності та надійності свою відповідність вимогам даного стандарту, а що містяться в стандарті вказівки додатково роз'яснюють ці вимоги до органу, який здійснює сертифікацію СМІБ
Вимоги до ресурсів
-
Аудитор повинен
-
мати досвід практичної роботи в режимі повної зайнятості в області інформаційних технологій не менше чотирьох років
успішно завершити навчання тривалістю не менше п'яти днів, програма якого включає питання аудиту СМІБ і менеджменту аудиту
вміти розглядати складні операції в широкій перспективі і розуміти роль окремих підрозділів у великих організаціях-клієнтах
підтримувати свої знання та навички в сфері інформаційної безпеки та аудиту на сучасному рівні шляхом постійного підвищення професійного рівня
Конфіденційність
Перед проведенням аудиту орган сертифікації повинен зробити запит організації-клієнту про наявність документів про СМІБ, які не можуть бути надані для перевірки аудиторської групи, так як вони містять конфіденційну або секретну інформацію
Орган сертифікації повинен визначити, чи може бути адекватним проведення аудиту СМІБ при відсутності цих документів. Якщо орган сертифікації приходить до висновку, що неможливо провести аудит СМІБ адекватно без перевірки певних конфіденційних або секретних документів він повинен попередити організацію-клієнта, що сертифікаційний аудит не може бути
проведений до тих пір, поки не буде забезпечено доступ до цих документів