Please enable JavaScript.

Coggle requires JavaScript to display documents.

ISO/IEC 27006 p.2 - Coggle Diagram

- - - - Другий етап аудиту завжди проводиться на об'єктах організації-клієнта. На основі отриманих даних, відображених у звіті про результати першого етапу аудиту, орган сертифікації намічає план проведення другого етапу аудиту. Цілями другого етапу аудиту є:
        
        a) підтвердження, що організація-клієнт дотримується власних політики, цілей і процедур;
        
        b) підтвердження відповідності СМІБ всім вимогам стандарту ISO / IEC 27001: 2005 та цілям політики організації-клієнта.
    - - Мета першого етапу аудиту - забезпечити концентрацію на плануванні аудиту другого етапу шляхом ознайомлення зі СМІБ організації-клієнта в контексті її політики і цілей і, особливо, стану готовності організації-клієнта до аудиту.
  - - - b) аудиторська група повинна бути компетентною для відстеження вказівок на інциденти безпеки в СМІБ організації-клієнта до відповідних елементів СМІБ;
      - c) аудиторська група повинна володіти відповідним досвідом роботи і застосовувати вищевказані пункти на практиці (це не означає, що аудитор повинен бути досвідченим у всіх областях інформаційної безпеки, але в цілому аудиторська група повинна мати достатні знання і досвід, щоб охопити всю область дії перевіряється СМІБ).
      - a) в кожній з розглянутих областей, принаймні, один член аудиторської групи повинен задовольняти критеріям органу сертифікації, щоб взяти на себе відповідальність в групі за:
        
        керівництво групою, системи і процеси менеджменту, застосовні в СМІБ, знання законодавчих і нормативних вимог в окремій галузі інформаційної безпеки, ідентифікацію загроз інформаційній безпеці і тенденцій інцидентів, ідентифікацію вразливостей організації-клієнта і розуміння ймовірності їх використання, впливу, зменшення і контролю, знання засобів контролю СМІБ і їх реалізації, знання аналізу результативності СМІБ і засобів контролю,взаємопов'язані і / або відповідні стандарти СМІБ. кращий практичний досвід в промисловості. політики та процедур безпеки,знання методів обробки інцидентів і забезпечення безперервності бізнесу,знання матеріальних і нематеріальних інформаційних активів і аналіз впливу,знання сучасної технології, де безпеку може бути доречною або може представляти проблему,знання процесів і методів менеджменту ризиків;
- - - - 1) в письмовій або усній формі повідомляє про відповідність СМІБ організації-клієнта певним вимогам сертифікації;
      - 2) надає можливість представникам організації-клієнта задавати питання з приводу зроблених висновків і підстав для них;
- - - - c) зміни в документально оформленою системі;
      - d) області, які слід змінити;
      - b) інформацію, що надходить від зовнішніх сторін, як це вимагається стандартом ISO / IEC 27001 і іншими документами, необхідними для сертифікації:
      - e) елементи, вибрані з ISO / IEC 27001;
      - a) елементи підтримки функціонування системи, якими є внутрішній аудит СМІБ. аналіз з боку керівництва, а також попереджувальні та коригувальні дії
      - f) при необхідності інші вибрані області.
- - - - e. складності СМІБ;
      - f. складності інформаційних систем в різних об'єктах;
      - d. відмінностей в бізнес-цілях об'єктів;
      - g. відмінностей в робочих навичках;
      - c. відмінностей в розмірах об'єктів;
      - h. відмінностей в вжиті заходи:
      - b. результатів аналізу, проведеного керівництвом;
      - a. результатів внутрішніх аудитів головного офісу і об'єктів;
      - i. потенційної взаємодії з критичними інформаційними системами або інформаційними системами обробки інформації обмеженого доступу;
      - j. будь-яких відрізняються юридичних вимог;