Please enable JavaScript.
Coggle requires JavaScript to display documents.
ISO/ІЕС
27006 Часть 1 - Coggle Diagram
ISO/ІЕС
27006 Часть 1
Область застосування
Встановлює вимоги до органів, що здійснюють аудит і сертифікацію системи менеджменту інформаційної безпеки
Будь-який орган, який здійснює сертифікацію СМІБ. повинен продемонструвати в плані компетентності та надійності свою відповідність вимогам даного стандарту,
Нормативні посилання
ISO/IEC 27001: 2005 Інформаційні технології. Методи забезпечення безпеки. Системи менеджменту інформаційної безпеки.
ISO/IEC 19011: 2002 Настанови щодо здійснення аудитів систем управління якістю та / або систем екологічного менеджменту
ISO/IEC 17021: 2006 Оцінка відповідності. Вимоги до органів, які забезпечують аудит і сертифікацію систем менеджменту
Терміни та визначення
Організація (organization) - Державна або приватна компанія, корпорація, фірма, підприємство, управління або установа або їх частина, або їх комбінація, що має власні функції і адміністрацію і здатна забезпечити інформаційну безпеку.
Документ сертифікації (certificatton document) - Документ, який вказує, що СМІБ організації-клієнта відповідає стандартам СМІБ і додаткової документації, необхідної в рамках цієї системи.
Орган сертифікації (certification body) - Третя сторона, яка оцінює і сертифікує СМІБ організації-клієнта на відповідність діючим стандартам СМІБ і будь-якої додаткової документації, необхідної в рамках цієї системи.
Маркування (mark) - Юридично зареєстрований товарний знак або захищений іншим чином символ, який випускається за правилами органу акредитації або органу сертифікації, вказує на те. що орган досить впевнений в системах або що відповідні продукти або суб'єкти відповідають вимогам певного стандарту.
Сертифікат (certificate) - Документ, виданий органом сертифікації відповідно до умов його акредитації та містить відповідний символ або заяву про акредитацію
Загальні вимоги
-
Проведення заходів, що передують аудиту, що мають на меті виключно визначення готовності до сертифікаційного аудиту
-
-
Сертифікацію, включаючи інформаційні наради, наради з планування, вивчення документів, проведення аудиту
-
Вимоги до ресурсів
Відповідають видам діяльності, призначеним для аудиту
-
-
Визначення рівня компетентності, необхідної органу сертифікації для здійснення сертифікації
-
Аудитор повинен
Мати досвід практичної роботи в режимі повної зайнятості в області інформаційних технологій не менше чотирьох років
Успішно завершити навчання тривалістю не менше п'яти днів, програма якого включає питання аудиту СМІБ і менеджменту аудиту
-
Вміти розглядати складні операції в широкій перспективі і розуміти роль окремих підрозділів у великих організаціях-клієнтах
Підтримувати свої знання та навички в сфері інформаційної безпеки та аудиту на сучасному рівні шляхом постійного підвищення професійного рівня
-
Конфіденційність
Перед проведенням аудиту орган сертифікації повинен зробити запит організації-клієнту про наявність документів про СМІБ, які не можуть бути надані для перевірки аудиторської групи, так як вони містять конфіденційну або секретну інформацію
Орган сертифікації повинен визначити, чи може бути адекватним проведення аудиту СМІБ при відсутності цих документів. Якщо орган сертифікації приходить до висновку, що неможливо провести аудит СМІБ адекватно без перевірки певних конфіденційних або секретних документів він повинен попередити організаціюклієнта, що сертифікаційний аудит не може бути проведений до тих пір, поки не буде забезпечено доступ до цих документів.