Please enable JavaScript.

Coggle requires JavaScript to display documents.

ISO/ІЕС 27006 _1 - Coggle Diagram

- - - - a) сертифікацію, включаючи інформаційні наради, наради з планування, вивчення документів, проведення аудиту і подальшу діяльність щодо невідповідностей;
      - b) організацію курсів навчання та участь в них в якості викладача за умови, що якщо ці курси пов'язані з менеджментом інформаційної безпеки, взаємопов'язаними системами менеджменту або з проведенням аудиту, то органам сертифікації необхідно обмежуватися наданням загальної інформації та рекомендаціями, які є вільно доступним громадським надбанням, тобто вони не повинні надавати консультації, орієнтовані на конкретну компанію, що суперечить вимогам пункту с);
      - c) забезпечення доступності або публікацію за запитом інформації, яка описує інтерпретацію органом сертифікації вимог стандартів по сертифікаційного аудиту;
      - d) проведення заходів, що передують аудиту, що мають на меті виключно визначення готовності до сертифікаційного аудиту; проте подібні дії не повинні призводити до надання рекомендацій або консультацій, що суперечать цьому пункту, і орган сертифікації повинен вміти підтвердити, що подібні дії не суперечать цим вимогам і не використовуються для обґрунтування можливого скорочення тривалості сертифікаційного аудиту:
      - e) проведення аудитів другою і третьою стороною відповідно до стандартів або нормативними вимогами, крім тих. які є частиною області акредитації;
      - f) підвищення значимості сертифікаційних аудитів та інспекцій з метою нагляду, наприклад, шляхом визначення сприятливих можливостей для поліпшень, які стають очевидними в процесі аудиту, який не рекомендуючи при цьому конкретних рішень.
- - - - Орган сертифікації повинен гарантувати знання їм технологічних і правових питань, що відносяться до СМІБ організації-клієнта, яку він оцінює.
        Орган сертифікації повинен мати ефективну систему для аналізу компетентності в сфері менеджменту інформаційної безпеки, яка застосовується по відношенню до всіх технічних областям, в яких він діє.
      - Зокрема, орган сертифікації повинен бути здатний продемонструвати, що він володіє компетентністю для виконання наступних видів діяльності:
        
        a) вивчення сфер діяльності організації-клієнта і пов'язаних з ними ділових ризиків;
        
        b) визначення рівня компетентності, необхідної органу сертифікації для здійснення сертифікації щодо певної діяльності, пов'язаної з інформаційною безпекою, загроз активів, вразливостей і впливів на організацію-клієнта;
        
        c) підтвердження наявності необхідної компетентності.
      - Керівництво органу сертифікації повинно мати у своєму розпорядженні необхідними процедурами та ресурсами для визначення компетентності окремих аудиторів щодо завдань, які вони повинні виконати в області сертифікації, в рамках якої вони діють. Компетентність аудиторів може бути встановлена на основі підтвердженого досвіду і спеціального навчання або шляхом співбесіди (див. також додаток В). Орган сертифікації повинен бути здатний ефективно підтримувати зв'язок з клієнтами, яким він надає послуги.
  - - - a) вибір аудиторів СМІБ, що відповідають меті аудиту, і перевірка їх компетентності;
      - b) інструктаж аудиторів СМІБ і організація необхідного навчання;
      - c) прийняття рішення про дозвіл, підтримки, скасування, призупинення, продовження або скорочення термінів дії сертифікації;
      - d) організація та ведення робіт з розгляду апеляцій і скарг.
    - - a) знання стандарту СМІБ та інших відповідних нормативних документів;
      - b) розуміння питань інформаційної безпеки;
      - c) розуміння оцінки ризику та менеджменту ризику з точки зору діяльності;
      - d) технічні знання про діяльність, що підлягає аудиту;
      - e) Загальне знання нормативних вимог, що ставляться до СМІБ;
      - f) знання систем менеджменту;
      - g) розуміння принципів аудиту, заснованих на ISO 19011: 2002;
      - h) знання аналізу ефективності СМІБ і вимірювання ефективності засобів контролю.
    - - Група повинна:
        
        a) мати відповідні технічні знання про конкретні дії в рамках сфери застосування СМІБ. для якої проводиться сертифікація, і. якщо необхідно, з взаємопов'язаними процедурами і їх потенційними ризиками інформаційної безпеки
        
        b) мати достатній рівень знання роботи організації-клієнта для проведення надійного сертифікаційного аудиту її СМІБ в частині менеджменту аспектів, пов'язаних з інформаційною безпекою її діяльності, продуктів і послуг;
        
        c) мати відповідний знанням нормативних вимог до СМІБ організації-клієнта.
    - - Органи сертифікації повинні здійснювати процедури з наступних питань:
        
        a) вибір аудиторів і технічних експертів на основі їх компетентності, навчання, кваліфікації та досвіду:
        b) первісна оцінка поведінки аудиторів і технічних експертів під час проведення сертифікаційного аудиту і наступний моніторинг діяльності аудиторів і технічних експертів.
    - - Аудитор повинен:
        
        a) мати освіту не нижче середнього:
        
        b) мати досвід практичної роботи в режимі повної зайнятості в області інформаційних технологій не менше чотирьох років. з яких він не менше двох років повинен був займатися діяльністю, пов'язаної з інформаційною безпекою;
        
        c) успішно завершити навчання тривалістю не менше п'яти днів, програма якого включає питання аудиту СМІБ і менеджменту аудиту;
        
        d) набути досвіду, що стосується всього процесу оцінки інформаційної безпеки, до прийняття на себе відповідальності за діяльність в якості аудитора. Цей досвід повинен бути придбаний за допомогою участі, як мінімум, в чотирьох аудитах сертифікації загальною тривалістю, в крайньому випадку, двадцять днів, включно з перевіркою документації та аналіз ризику, оцінку реалізації та складання звіту про результати аудиту:
        
        e) мати достатній сучасним досвідом:
        
        f) вміти розглядати складні операції в широкій перспективі і розуміти роль окремих підрозділів у великих організаціях-клієнтах;
        
        g) підтримувати свої знання та навички в сфері інформаційної безпеки та аудиту на сучасному рівні шляхом постійного підвищення професійного рівня.
  - - - При залученні зовнішніх аудиторів або зовнішніх технічних експертів в якості членів аудиторської групи орган сертифікації повинен гарантувати, що вони компетентні, відповідають застосовним до них положень цього стандарту і не беруть участь ні безпосередньо, ні через свого роботодавця в проектуванні, впровадженні або обслуговуванні СМІБ або пов'язаної з нею системою (системами) менеджменту, оскільки це могло б впливати на їх неупередженість.
        
        7.3.1.1 Залучення технічних експертів
        Членами аудиторської групи можуть бути технічні експерти зі спеціальними знаннями, які стосуються процесу і питань, пов'язаних з інформаційною безпекою та безпекою процесу, і законодавства, що зачіпає інтереси організації-клієнта, але не задовольняють всім критеріям пункту 7.2. Технічні експерти повинні працювати під наглядом аудитора.
- - - - Орган сертифікації повинен вимагати від організації-клієнта наявності задокументованої і впровадженої СМІБ. яка відповідає ISO/IEC 27001 та іншим документам, необхідним для сертифікації.
        У органу сертифікації повинні бути документально підтверджені процедури для наступного:
        
        a) первинного сертифікаційного аудиту СМІБ організації-клієнта відповідно до положень ISO 19011, ISO / IEC 17021 та іншими відповідними документами;
        
        b) наглядових і повторних сертифікаційних аудитів СМІБ організації-клієнта відповідно до ISO 19011 та ISO / IEC 17021, що проводяться періодично на предмет перевірки безперервного відповідності певним вимогам, а також для підтвердження і реєстрації, що організація-клієнт своєчасно вживає коригувальні дії щодо виправлення всіх невідповідностей.