Досвід показує, що область дії СМІБ і кількість співробітників (як проілюстровано а таблиці часу аудитора в пункті С.З), розмір, характеристики, складність і значимість потенційних ризиків інформаційної безпеки (нижче пояснюється більш детально) обумовлюють час для аудитів даної СМІБ. В пункті ІБ 9.1.3, а також в пунктах ІБ 9.2.3.1. ІБ 9.2.3.2 і ІБ 9.2.3.3 перераховуються критерії, які повинні враховуватися при визначенні необхідного часу аудитора
Важливо відзначити, що всі ці фактори повинні братися до уваги при визначенні тривалості аудиту і що таблиця часу аудитора в пункті С.З не може використовуватися окремо. Наступні приклади ілюструють фактори, які можуть вплинути на тривалість аудиту, і конкретизують перелік чинників. даних в пункті ІБ 9.1.3. а саме
• чинники, що стосуються розміру області дії СМІБ
• обсяг і різноманітність технологій, використаних в реалізації різних компонентів СМІБ
• вид (и) діяльності, здійснюваної а області дії СМІБ. вимоги безпеки, правові, регулюючі. договірні і вимоги, що стосуються цих видів діяльності
• кількість об'єктів в межах області дії СМІБ. наскільки вони ідентичні або різні і чи буде перевірятися вся сукупність об'єктів або вибірка з них
• чинники, що стосуються складності СМІБ
• обсяг аутсорсингу і заходів третьої сторони, використаних в області дії СМІБ і залежність від цих послуг
• стандарти, закони та нормативи, що застосовуються до сертифікації, і специфічні для сектора вимоги, які можуть застосовуватися
-
Сертифікація СМІБ зазвичай займає більше часу, ніж сертифікація системи менеджменту якості або системи екологічного менеджменту, через зрослі вимоги до СМІБ. таких як вимоги до політики СМІБ. менеджменту ризику, цілям управління СМІБ і засобів контролю. Орган сертифікації повинен
перевірити правильність і послідовність методу, за допомогою якого організація-клієнт визначає значимість ризиків інформаційної безпеки і впливів на неї
підтвердити, що система, призначена для досягнення відповідності
-
підтвердити, що цілі управління і засоби контролю обрані і реалізовані правильно, їх результативність оцінюється і що процес досягнення «запобігання і відповідного реагування на порушення безпеки» є правильним і дотримується
реагувати на зрослі вимоги, що з'явилися в результаті першого етапу аудиту