Please enable JavaScript.
Coggle requires JavaScript to display documents.
27006 - Coggle Diagram
27006
Загальні вимоги
сертифікацію, включаючи інформаційні наради, наради з планування, вивчення документів, проведення аудиту
-
проведення заходів, що передують аудиту, що мають на меті виключно визначення готовності до сертифікаційного аудиту
-
-
-
Терміни та визначення
Сертифікат (certificate)
Документ, виданий органом сертифікації відповідно до умов його акредитації та містить відповідний символ або заяву про акредитацію
-
-
Маркування (mark) -
Юридично зареєстрований товарний знак або захищений іншим чином символ, який випускається за правилами органу акредитації або органу сертифікації, вказує на те. що орган досить впевнений в системах або що відповідні продукти або суб'єкти відповідають вимогам певного стандарту.
-
НОРМАТИВНІ ПОСИЛАННЯ
ISO/IEC 17021: 2006
Оцінка відповідності. Вимоги до органів, які забезпечують аудит і сертифікацію систем менеджменту
ISO/IEC 27001: 2005
Інформаційні технології. Методи забезпечення безпеки. Системи менеджменту інформаційної безпеки. Вимоги
-
Вимоги до ресурсів
входять відбір,
уявлення фахівців, чиї навички і загальна компетентність
Орган сертифікації повинен бути здатний продемонструвати, що він володіє компетентністю для виконання наступних видів діяльності:
-
визначення рівня компетентності, необхідної органу сертифікації для здійснення сертифікації
-
Аудитор повинен
мати досвід практичної роботи в режимі повної зайнятості в області інформаційних технологій не менше чотирьох років
успішно завершити навчання тривалістю не менше п'яти днів, програма якого включає питання аудиту СМІБ і менеджменту аудиту;
вміти розглядати складні операції в широкій перспективі і розуміти роль окремих підрозділів у великих організаціях-клієнтах;
підтримувати свої знання та навички в сфері інформаційної безпеки та аудиту на сучасному рівні шляхом постійного підвищення професійного рівня.
Вимоги до інформації
-
конфіденційність
Перед проведенням аудиту орган сертифікації повинен зробити запит організації-клієнту про наявність документів про СМІБ, які не можуть бути надані для перевірки аудиторської групи, так як вони містять конфіденційну або секретну інформацію.
Орган сертифікації повинен визначити, чи може бути адекватним проведення аудиту СМІБ при відсутності цих документів.
ОБЛАСТЬ ЗАСТОСУВАННЯ
Будь-який орган, який здійснює сертифікацію СМІБ. повинен продемонструвати в плані компетентності та надійності свою відповідність вимогам даного стандарту, а що містяться в стандарті вказівки додатково роз'яснюють ці вимоги до органу, який здійснює сертифікацію СМІБ.