Please enable JavaScript.
Coggle requires JavaScript to display documents.
ISO/IEC 27006 p.1 - Coggle Diagram
ISO/IEC 27006 p.1
Загальні вимоги
-
проведення заходів, що передують аудиту, що мають на меті виключно визначення готовності до сертифікаційного аудиту
-
-
сертифікацію, включаючи інформаційні наради, наради з планування, вивчення документів, проведення аудиту
-
Терміни та визначення
Документ сертифікації (certificatton document) - Документ, який вказує, що СМІБ організації-клієнта відповідає стандартам СМІБ і додаткової документації, необхідної в рамках цієї системи.
Маркування (mark) - Юридично зареєстрований товарний знак або захищений іншим чином символ, який випускається за правилами органу акредитації або органу сертифікації, вказує на те. що орган досить впевнений в системах або що відповідні продукти або суб'єкти відповідають вимогам певного стандарту
Орган сертифікації (certification body) - Третя сторона, яка оцінює і сертифікує СМІБ організації-клієнта на відповідність діючим стандартам СМІБ і будь-якої додаткової документації, необхідної в рамках цієї системи.
Організація (organization) - Державна або приватна компанія, корпорація, фірма, підприємство, управління або установа або їх частина, або їх комбінація, що має власні функції і адміністрацію і здатна забезпечити інформаційну безпеку..
Сертифікат (certificate) - Документ, виданий органом сертифікації відповідно до умов його акредитації та містить відповідний символ або заяву про акредитацію
Нормативні посилання
ISO/IEC 27001: 2005 Інформаційні технології. Методи забезпечення безпеки. Системи менеджменту інформаційної безпеки.
ISO/IEC 19011: 2002 Настанови щодо здійснення аудитів систем управління якістю та / або систем екологічного менеджменту
ISO/IEC 17021: 2006 Оцінка відповідності. Вимоги до органів, які забезпечують аудит і сертифікацію систем менеджменту
Область застосування
Цей стандарт на основі стандартів ISO/IEC 17021 та ISO/IEC 27001 встановлює вимоги до органів, що здійснюють аудит і сертифікацію системи менеджменту інформаційної безпеки (СМІБ). і сприяє проведенню акредитації органів сертифікації.
Будь-який орган, який здійснює сертифікацію СМІБ. повинен продемонструвати в плані компетентності та надійності свою відповідність вимогам даного стандарту, а що містяться в стандарті вказівки додатково роз'яснюють ці вимоги до органу, який здійснює сертифікацію СМІБ.
Вимоги до ресурсів
Орган сертифікації повинен бути здатний продемонструвати, що він володіє компетентністю для виконання наступних видів діяльності:
визначення рівня компетентності, необхідної органу сертифікації для здійснення сертифікації
-
-
Аудитор повинен:
успішно завершити навчання тривалістю не менше п'яти днів, програма якого включає питання аудиту СМІБ і менеджменту аудиту;
вміти розглядати складні операції в широкій перспективі і розуміти роль окремих підрозділів у великих організаціях-клієнтах;
мати досвід практичної роботи в режимі повної зайнятості в області інформаційних технологій не менше чотирьох років
підтримувати свої знання та навички в сфері інформаційної безпеки та аудиту на сучасному рівні шляхом постійного підвищення професійного рівня.
-
-
Конфіденційність
Перед проведенням аудиту орган сертифікації повинен зробити запит організації-клієнту про наявність документів про СМІБ, які не можуть бути надані для перевірки аудиторської групи, так як вони містять конфіденційну або секретну інформацію.
Орган сертифікації повинен визначити, чи може бути адекватним проведення аудиту СМІБ при відсутності цих документів. Якщо орган сертифікації приходить до висновку, що неможливо провести аудит СМІБ адекватно без перевірки певних конфіденційних або секретних документів він повинен попередити організаціюклієнта, що сертифікаційний аудит не може бути проведений до тих пір, поки не буде забезпечено доступ до цих документів.