Please enable JavaScript.
Coggle requires JavaScript to display documents.
ISO/IEC 27006:2007 Часть 2 - Coggle Diagram
ISO/IEC 27006:2007 Часть 2
ВИМОГИ ДО ПРОЦЕСУ
Загальні вимоги
Загальні вимоги до аудиту СМІБ
Критерії сертифікаційного аудиту
Документація органу сертифікації повинна включати політику та процедури здійснення процесу сертифікації, включаючи перевірки застосування документів, використаних при сертифікації систем СМІБ. а також процедури проведення аудиту та сертифікації СМІБ організації клієнта.
Політика і процедури
Аудиторська група повинна офіційно призначатися і забезпечуватися відповідними робочими документами
Аудиторська група
Аудит СМІБ організації-клієнта повинен здійснюватися на основі критеріїв, що містяться в стандарті ISO / IEC 27001 по СМІБ. а також в інших документах, необхідних для проведення сертифікації конкретних виконуваних функцій.
Область дії сертифікації
Аудиторська група повинна перевірити СМІБ організації-клієнта, що входить в задану область дії
Час аудиту
Органи сертифікації повинні надавати аудиторам достатній час для здійснення всіх дій, пов'язаних з початковим аудитом, наглядовим або аудитом повторної сертифікації. Час має розраховуватися на основі таких факторів, як
a) масштаб області дії СМІБ (наприклад, кількість використовуваних інформаційних систем. кількість співробітників)
b) складність СМІБ (наприклад, критичність інформаційних систем, ситуація з ризиками СМІБ), див. також додаток А
Вид(и) діяльності, здійснюваної в рамках області дії СМІБ
Рівень та різноманітність технології, використаної при впровадженні різних компонентів СМІБ
кількість об'єктів організації-клієнта
раніше продемонстроване функціонування СМІБ
обсяг аутсорсингу і угод з третіми сторонами, використаних в рамках СМІБ
стандарти і нормативні вимоги, що застосовуються до сертифікації
Множинні об'єкти (майданчики)
9.1.4.1
Всі об'єкти включаються в програму внутрішнього аудиту СМІБ організації-клієнта
Всі об'єкти включаються до програми перевірки СМІБ керівництвом організації-клієнта
Всі об'єкти працюють в рамках однієї і тієї ж СМІБ, яка управляється централізовано, перевіряється і підлягає перевірці центральним керівництвом
9.1.4.2
Початкова перевірка договору виявляє в максимально можливій мірі різницю між об'єктами з метою визначення адекватного обсягу вибірки
Орган сертифікації здійснив вибірку представницького числа об'єктів з урахуванням наступного
Потенційної взаємодії з критичними інформаційними системами або інформаційними системами обробки інформації обмеженого доступу
Відмінностей в вжиті заходи
Відмінностей в робочих навичках
Складності інформаційних систем в різних об'єктах
Складності СМІБ
Відмінностей в бізнес-цілях об'єктів
Результатів внутрішніх аудитів головного офісу і об'єктів
Відмінностей в розмірах об'єктів
Результатів аналізу, проведеного керівництвом
Будь-яких відрізняються юридичних вимог
Представницький зразок вибирається на всіх об'єктах в сфері дії СМІБ організації-клієнта: цей вибір повинен ґрунтуватися на суб'єктивному виборі для відображення чинників, представлених в пункті Ь), а також елемента випадковості
Кожен включений в СМІБ об'єкт, який піддається значним ризикам, перевіряється органом сертифікації до проведення сертифікації
Програма нагляду, розроблена на основі вищевикладених вимог, охоплює за відповідний період часу всі об'єкти організації-клієнта або об'єкти, що входять в область дії сертифікації СМІБ
При виявленні невідповідності в головному офісі або в одному з об'єктів застосовуються коригувальні дії по відношенню до головного офісу і всім, що сертифікується об'єктів
Методологія аудиту
Орган сертифікації повинен мати процедури, що дозволяють вимагати від організації-клієнта здатності продемонструвати, що внутрішні аудити СМІБ сплановані, а програма та процедури їх проведення є чинними
Звіт з сертифікаційного аудиту
9.1.6.3
Області, включені в аудит (наприклад, вимоги сертифікації та перевірені об'єкти), включаючи значущі контрольні записи і використані методології аудиту
Спостереження як позитивного (наприклад, заслуговують на увагу особливості), так і негативного (наприклад, потенційні невідповідності) характеру
Подробиці виявлених невідповідностей, підтверджені об'єктивними даними, і посилання цих невідповідностей на відповідні вимоги стандарту ISO / IEC 27001 по СМІБ або інші документи, необхідні для сертифікації
Зауваження щодо відповідності СМІБ організації-клієнта вимогам сертифікації з чітким заявою про невідповідність, посилання на версію Положення про застосування і в випадках, де це доречно, будь корисне порівняння з результатами попередніх сертифікаційних аудитів організації-клієнта
Ступінь довіри до внутрішніх аудитів СМІБ і перевірок з боку керівництва
Короткий виклад найважливіших спостережень як позитивного, так і негативного характеру. що стосуються впровадження та результативності СМІБ
Рекомендацію аудиторської групи щодо того, чи слід сертифікувати СМІБ організації-клієнта. з інформацією для обґрунтування цієї рекомендації
9.1.6.1
Подає до органу сертифікації звіт про результати аудиту щодо відповідності СМІБ організації-клієнта всім вимогам сертифікації
Перед тим, як аудиторська група залишить територію організації-клієнта, проводиться зустріч аудиторської групи і керівництва організації-клієнта, в ході якої аудиторська група
В письмовій або усній формі повідомляє про відповідність СМІБ організації-клієнта певним вимогам сертифікації
Надає можливість представникам організації-клієнта задавати питання з приводу зроблених висновків і підстав для них
9.1.6.2
Причина аудиту, включаючи короткий виклад аналізу документів
Причина сертифікаційного аудиту по аналізу ступеня ризику інформаційної безпеки організації-клієнта
Загальний час, витрачений на аудит, і докладний опис часу, витраченого на аналіз документів, оцінку аналізу ризиків, аудит на містах і складання звітів про результати аудиту
Питання аудиту, основна причина їх вибору і застосована методологія
Початковий аудит і сертифікація
Початковий сертифікаційний аудит
Демонстрація компетентності аудиторів
Загальновизнаних кваліфікацій по СМІБ
Практичної демонстрації проведення аудиту реальних систем клієнта в присутності інших аудиторів
Останніх документів, що підтверджують факт безперервного підвищення кваліфікації
Пройдених курсів підготовки по СМІБ
Реєстрації в якості аудитора
Компетентність аудиторської групи
В кожній з розглянутих областей, принаймні, один член аудиторської групи повинен задовольняти критеріям органу сертифікації, щоб взяти на себе відповідальність в групі за
Керівництво групою
Системи і процеси менеджменту, застосовні в СМІБ
Знання законодавчих і нормативних вимог в окремій галузі інформаційної безпеки
Ідентифікацію загроз інформаційній безпеці і тенденцій інцидентів
Ідентифікацію вразливостей організації-клієнта і розуміння ймовірності їх використання, впливу, зменшення і контролю
Знання засобів контролю СМІБ і їх реалізації
Знання аналізу результативності СМІБ і засобів контролю
Взаємопов'язані і / або відповідні стандарти СМІБ. кращий практичний досвід в промисловості. політики та процедур безпеки
Знання методів обробки інцидентів і забезпечення безперервності бізнесу
Знання матеріальних і нематеріальних інформаційних активів і аналіз впливу
Знання сучасної технології, де безпеку може бути доречною або може представляти проблему
Знання процесів і методів менеджменту ризиків
Аудиторська група повинна бути компетентною для відстеження вказівок на інциденти безпеки в СМІБ організації-клієнта до відповідних елементів СМІБ
Аудиторська група повинна володіти відповідним досвідом роботи і застосовувати вищевказані пункти на практиці
Загальна підготовка до первісного аудиту
Копію документації СМІБ. необхідну по ISO / IEC 27001: 2005, пункт 4.3.1
Загальну інформацію, що стосується СМІБ і здійснюваних нею дій
Інформація для рішення первісної сертифікації
Рішення про сертифікацію
Діяльність з нагляду
Аудити нагляду
9.3.1.1
Зміни в документально оформленою системі
Області, які слід змінити
Інформацію, що надходить від зовнішніх сторін, як це вимагається стандартом ISO / IEC 27001 і іншими документами, необхідними для сертифікації
Елементи, вибрані з ISO / IEC 27001
Елементи підтримки функціонування системи, якими є внутрішній аудит СМІБ. аналіз з боку керівництва, а також попереджувальні та коригувальні дії
При необхідності інші вибрані області
9.3.1.2
Функціонування процедур періодичної оцінки і перевірки відповідності правовим і нормативним вимогам, пов'язаним з інформаційною безпекою
Заходи, вжиті стосовно невідповідностей, виявлених під час останнього аудиту
Результативність СМІБ щодо досягнення цілей політики інформаційної безпеки організації-клієнта
9.3.1.3
Програма нагляду органу сертифікації повинна визначатися органом сертифікації. Конкретні дати інспекцій можуть узгоджуватися з сертифікується організацією-клієнтом
Аудити нагляду можуть об'єднуватися з аудитами інших систем менеджменту. У звітах повинні чітко вказуватися аспекти, значимі для кожної системи менеджменту
Орган сертифікації повинен бути здатний адаптувати свою програму нагляду до проблем інформаційної безпеки, пов'язаних з погрозами активів, уразливими і впливами на організацію-клієнта, і обгрунтувати цю програму
Орган сертифікації повинен бути для здійснення нагляду за належним використанням сертифіката
Повторна сертифікація
Аудити повторної сертифікації
Органи сертифікації повинні мати строго певні процедури, які стверджують обставини і умови, при яких підтримується сертифікація
Спеціальні аудити
Особливі випадки
Дії з нагляду повинні проводитися за спеціальним положенням в разі здійснення організацією-клієнтом з сертифікованої СМІБ суттєвої модифікації своєї системи або внесення змін, які можуть зачіпати основу її сертифікації
Застосовуються вимоги ISO / IEC 17021: 2006, пункт 9.5. Крім того, застосовуються такі, специфічні для СМІБ, вимоги і положення.
Призупинення, скасування або скорочення сфери дії сертифікації
Застосовуються вимоги ISO / IEC 17021: 2006, пункт 9.6
Апеляції
Скарги
Застосовуються вимоги ISO / IEC 17021: 2006, пункт 9.8. Крім того, застосовуються такі, специфічні для СМІБ. вимоги і положення
Jцінки та пом'якшення будь-яких несприятливих інцидентів інформаційної безпеки та пов'язаних з ними впливів
Pабезпечення задовільного взаємодії з іншими компонентами СМІБ
Pапобігання повторення
Відновленню відповідності
Jцінці результативності прийнятих виправних / коригувальних заходів
Повідомленням відповідних органів, якщо це потрібно за матеріальним становищем
Документи заявників та клієнтів
Застосовуються вимоги ISO / IEC 17021: 2006, пункт 9.9
ВИМОГИ СИСТЕМИ МЕНЕДЖМЕНТУ ДО ОРГАНІВ СЕРТИФІКАЦІ
Варіанти
Застосовуються вимоги ISO / IEC 17021: 2006. пункт 10.1
Варіант 1 - Вимоги системи менеджменту відповідно до ISO 9001
Застосовуються вимоги ISO / IEC 17021: 2006, пункт 10.2.
10.3 Варіант 2 - Загальні вимоги системи менеджменту
Застосовуються вимоги ISO / IEC 17021: 2006. пункт 10.3. Крім того, застосовуються такі, специфічні для СМІБ, вимоги і положення
10.3.1 ІБ Впровадження системи менеджменту інформаційної безпеки
Рекомендується, щоб органи сертифікації впроваджували СМІБ відповідно до ISO / IEC 27001: 2005