Please enable JavaScript.

Coggle requires JavaScript to display documents.

ISO/ІЕС 27006 _2 - Coggle Diagram

- - - - 9.1.1.1 Критерії сертифікаційного аудиту
        Аудит СМІБ організації-клієнта повинен здійснюватися на основі критеріїв, що містяться в стандарті ISO / IEC 27001 по СМІБ. а також в інших документах, необхідних для проведення сертифікації конкретних виконуваних функцій. Якщо потрібно роз'яснення щодо застосування цих документів до конкретної програми сертифікації, то подібне роз'яснення повинно даватися відповідної незалежною комісією або особами, мають необхідну технічну компетентністю, і публікуватися органом по сертифікації.
      - 9.1.1.2 Політика і процедури
        Документація органу сертифікації повинна включати політику та процедури здійснення процесу сертифікації, включаючи перевірки застосування документів, використаних при сертифікації систем СМІБ. а також процедури проведення аудиту та сертифікації СМІБ організації клієнта.
      - 9.1.1.3 Аудиторська група
        Аудиторська група повинна офіційно призначатися і забезпечуватися відповідними робочими документами. План і дата аудиту повинні бути погоджені з організацією-клієнтом. Повноваження. дані аудиторської групи, повинні бути чітко визначені, доведені до організації-клієнта і повинні зобов'язувати аудиторську групу перевіряти структуру, політику і процедури організації-клієнта. підтверджувати їх [структури, політику і процедури] відповідність усім вимогам, які належать до області дії сертифікації, а також, що зазначені процедури виконуються і можна бути впевненим в ефективності СМІБ організації-клієнта.
    - - h) стандарти і нормативні вимоги, що застосовуються до сертифікації.
      - g) обсяг аутсорсингу і угод з третіми сторонами, використаних в рамках СМІБ;
      - f) раніше продемонстроване функціонування СМІБ;
      - e) кількість об'єктів організації-клієнта;
      - d) рівень та різноманітність технології, використаної при впровадженні різних компонентів СМІБ
      - c) вид (и) діяльності, здійснюваної в рамках області дії СМІБ:
      - b) складність СМІБ (наприклад, критичність інформаційних систем, ситуація з ризиками СМІБ), див. також додаток А;
      - a) масштаб області дії СМІБ (наприклад, кількість використовуваних інформаційних систем. кількість співробітників);
    - - Рішення по вибірці об'єктів в області сертифікації СМІБ є більш складними, ніж ті ж самі рішення в системах менеджменту якості. Там, де організація-клієнт має кількість об'єктів сертифікації, яке задовольняє критеріям від а) до с), наведеним нижче, органи сертифікації можуть використовувати заснований на вибірці підхід до сертифікаційного аудиту численних об'єктів:
        
        a) всі об'єкти працюють в рамках однієї і тієї ж СМІБ, яка управляється централізовано, перевіряється і підлягає перевірці центральним керівництвом;
        
        b) всі об'єкти включаються в програму внутрішнього аудиту СМІБ організації-клієнта:
        
        c) всі об'єкти включаються до програми перевірки СМІБ керівництвом організації-клієнта.
      - Орган сертифікації, який бажає використовувати підхід, заснований на вибірці, повинен виконувати процедури, що забезпечують наступне:
        
        a) початкова перевірка договору виявляє в максимально можливій мірі різницю між об'єктами з метою визначення адекватного обсягу вибірки;
        
        b) орган сертифікації здійснив вибірку представницького числа об'єктів з урахуванням наступного:
        
        a. результатів внутрішніх аудитів головного офісу і об'єктів;
        
        b. результатів аналізу, проведеного керівництвом;
        
        c. відмінностей в розмірах об'єктів;
        
        d. відмінностей в бізнес-цілях об'єктів;
        
        e. складності СМІБ;
        
        f. складності інформаційних систем в різних об'єктах;
        
        c) представницький зразок вибирається на всіх об'єктах в сфері дії СМІБ організації-клієнта: цей вибір повинен ґрунтуватися на суб'єктивному виборі для відображення чинників, представлених в пункті Ь), а також елемента випадковості;
        
        d) кожен включений в СМІБ об'єкт, який піддається значним ризикам, перевіряється органом сертифікації до проведення сертифікації;
        
        e) програма нагляду, розроблена на основі вищевикладених вимог, охоплює за відповідний період часу всі об'єкти організації-клієнта або об'єкти, що входять в область дії сертифікації СМІБ;
        
        f) при виявленні невідповідності в головному офісі або в одному з об'єктів застосовуються коригувальні дії по відношенню до головного офісу і всім, що сертифікується об'єктів.
    - - Орган сертифікації може використовувати різні процедури, пов'язані зі складанням звітів, які відповідають його потребам, але ці процедури, як мінімум, повинні забезпечити наступне:
        
        a) перед тим, як аудиторська група залишить територію організації-клієнта, проводиться зустріч аудиторської групи і керівництва організації-клієнта, в ході якої аудиторська група:
        
        1) в письмовій або усній формі повідомляє про відповідність СМІБ організації-клієнта певним вимогам сертифікації;
        2) надає можливість представникам організації-клієнта задавати питання з приводу зроблених висновків і підстав для них;
        
        b) подає до органу сертифікації звіт про результати аудиту щодо відповідності СМІБ організації-клієнта всім вимогам сертифікації.
      - У звіті про результати аудиту повинна бути представлена наступна інформація:
        
        a) причина аудиту, включаючи короткий виклад аналізу документів;
        
        b) причина сертифікаційного аудиту по аналізу ступеня ризику інформаційної безпеки організації-клієнта;
        
        c) загальний час, витрачений на аудит, і докладний опис часу, витраченого на аналіз документів, оцінку аналізу ризиків, аудит на містах і складання звітів про результати аудиту:
        
        d) питання аудиту, основна причина їх вибору і застосована методологія.
      - Звіт про результати аудиту, представлений органу сертифікації, повинен бути досить докладним для спрощення прийняття рішення про сертифікацію та його підтримки і повинен містити:
        
        a) області, включені в аудит (наприклад, вимоги сертифікації та перевірені об'єкти), включаючи значущі контрольні записи і використані методології аудиту
        
        b) спостереження як позитивного (наприклад, заслуговують на увагу особливості), так і негативного характеру.
        
        c) подробиці виявлених невідповідностей, підтверджені об'єктивними даними, і посилання цих невідповідностей на відповідні вимоги стандарту ISO / IEC 27001 по СМІБ або інші документи, необхідні для сертифікації:
        
        d) зауваження щодо відповідності СМІБ організації-клієнта вимогам сертифікації з чітким заявою про невідповідність, посилання на версію Положення про застосування і в випадках, де це доречно, будь корисне порівняння з результатами попередніх сертифікаційних аудитів організації-клієнта.
  - - - До всієї аудиторської групи застосовуються такі вимоги:
        
        a) в кожній з розглянутих областей, принаймні, один член аудиторської групи повинен задовольняти критеріям органу сертифікації, щоб взяти на себе відповідальність в групі за:
        
        1) керівництво групою;
        
        2) системи і процеси менеджменту, застосовні в СМІБ;
        
        3) знання законодавчих і нормативних вимог в окремій галузі інформаційної безпеки;
        
        4) ідентифікацію загроз інформаційній безпеці і тенденцій інцидентів;
        
        5) ідентифікацію вразливостей організації-клієнта і розуміння ймовірності їх використання, впливу, зменшення і контролю;
        
        6) знання засобів контролю СМІБ і їх реалізації;
        
        7) знання аналізу результативності СМІБ і засобів контролю:
        
        b) аудиторська група повинна бути компетентною для відстеження вказівок на інциденти безпеки в СМІБ організації-клієнта до відповідних елементів СМІБ;
        
        c) аудиторська група повинна володіти відповідним досвідом роботи і застосовувати вищевказані пункти на практиці (це не означає, що аудитор повинен бути досвідченим у всіх областях інформаційної безпеки, але в цілому аудиторська група повинна мати достатні знання і досвід, щоб охопити всю область дії перевіряється СМІБ).
      - 9.2.1.1 Демонстрація компетентності аудиторів
        Аудитори повинні бути здатні довести свої знання і досвід, як зазначено вище, наприклад за допомогою:
        
        a) загальновизнаних кваліфікацій по СМІБ:
        
        b) реєстрації в якості аудитора.
        
        c) пройдених курсів підготовки по СМІБ;
        
        d) останніх документів, що підтверджують факт безперервного підвищення кваліфікації;
        
        e) практичної демонстрації проведення аудиту реальних систем клієнта в присутності інших аудиторів.
    - - 9.2.3.1 Перший етап аудиту
        
        Мета першого етапу аудиту - забезпечити концентрацію на плануванні аудиту другого етапу шляхом ознайомлення зі СМІБ організації-клієнта в контексті її політики і цілей і, особливо, стану готовності організації-клієнта до аудиту.
        
        Перший етап аудиту включає перевірку документації (але не повинен обмежуватися нею). Орган сертифікації повинен домовитися з організацією-клієнтом про місце і час проведення перевірки документів. У будь-якому випадку перевірка документів повинна бути завершена до початку другого етапу аудиту.
        
        Результати першого етапу аудиту повинні бути задокументовані в письмовому звіті. Орган сертифікації повинен проаналізувати звіт першого етапу аудиту до винесення рішення про проведення другого етапу аудиту і для вибору членів аудиторської групи з необхідним рівнем компетентності для проведення другого етапу.
      - 9.2.3.2 Другий етап аудиту
        
        Другий етап аудиту завжди проводиться на об'єктах організації-клієнта. На основі отриманих даних, відображених у звіті про результати першого етапу аудиту, орган сертифікації намічає план проведення другого етапу аудиту. Цілями другого етапу аудиту є:
        
        a) підтвердження, що організація-клієнт дотримується власних політики, цілей і процедур;
        
        b) підтвердження відповідності СМІБ всім вимогам стандарту ISO / IEC 27001: 2005 та цілям політики організації-клієнта.
        
        Для здійснення цього, аудит повинен бути зосереджений на наступному:
        
        a) оцінки ризиків інформаційної безпеки і на те, чи дають ці оцінки зіставні і відтворювані результати;
        
        b) вимоги до документації, перерахованих в ISO / IEC 27001: 2005, пункт 4.3.1;
        
        c) виборі цілей контролю і засобів контролю, заснованих на оцінці ризику і процесах обробки ризику;
        
        d) аналізі результативності СМ І Б і вимірах результативності засобів контролю ІБ, складанні звітів і проведення аналізу щодо цілей СМІБ;
        
        e) внутрішніх аудитів СМІБ і аналізування з боку керівництва;
        
        f) відповідальності керівництва за політику ІБ;
        
        g) відповідно між обраними і впровадженими засобами контролю, заяві про застосування та результати оцінки ступеня ризику, процесі обробки ризику, а також політики і цілі СМІБ;
        
        h) запровадження в дію засобів контролю. беручи до уваги вимірювання результативності засобів контролю організації-клієнта щоб визначити, чи реалізуються засоби контролю і чи ефективні вони для досягнення намічених цілей;
        
        i) програмах, процесах, процедурах, записах, внутрішніх аудитів і аналізах ефективності
      - 9.2.3.3 Особливі елементи аудиту СМІБ
        
        Функцією органу сертифікації є встановлення послідовності для організації-клієнта в створенні і підтримці процедур з ідентифікації, вивчення та оцінки загроз активів, пов'язаним з інформаційною безпекою, вразливістю і впливом на організацію-клієнта.
        Органи сертифікації повинні:
        
        a) вимагати від організації-клієнта свідоцтва, що аналіз загроз, пов'язаних з інформаційною безпекою, є значимим і відповідним роботі організації-клієнта;
        
        b) встановити, чи узгоджуються процедури організації-клієнта з ідентифікації, вивчення та оцінці загроз, пов'язаних з інформаційною безпекою активів, уразливості і впливів, і результати їх застосування з політикою, цілями і планами організації-клієнта.
        
        Підтримка і оцінка виконання правових і нормативних норм є обов'язком організації-клієнта. Орган сертифікації повинен обмежуватися перевірками і вибірками для створення довіри до того, що СМІБ функціонує в даному напрямку. Орган сертифікації повинен підтверджувати наявність у організації-клієнта системи менеджменту для встановлення правового і нормативного відповідності, прийнятного для ризиків інформаційної безпеки і впливів на неї.
        
        Організація-клієнт може комбінувати документацію СМІБ з документацією інших систем менеджменту (таких, як система менеджменту якості, охорони праці, екологічного менеджменту). якщо СМІБ може бути чітко ідентифікована разом з відповідними засобами інших систем.
    - - Для прийняття рішення про сертифікацію орган сертифікації повинен зажадати докладні звіти, що надають достатню інформацію для прийняття цього рішення. На різних етапах процесу сертифікаційного аудиту органу сертифікації потрібні звіти аудиторських груп. В поєднанні з інформацією, що зберігається в файлі, ці звіти повинні містити, принаймні, інформацію, необхідну в ІБ 9.1.6.
    - - Суб'єкт, який може бути фізичною особою, що приймає рішення про дозвіл / скасування сертифікації в рамках органу сертифікації, повинен мати достатній рівень знань і досвіду у всіх областях для оцінки процедур аудиту і рекомендацій аудиторської групи.
        Рішення про сертифікацію СМІБ організації-клієнта повинно прийматися органом сертифікації на основі інформації, зібраної в процесі сертифікації, і будь-який інший інформації, що відноситься до справи. Особи, які приймають рішення про сертифікацію, не повинні брати участь в аудиті. Це рішення повинно ґрунтуватися на отриманих даних і рекомендаціях по сертифікації аудиторської групи, представлених в її звіті про результати сертифікаційного аудиту і на будь-який інший релевантної інформації, доступної органу сертифікації.
  - - - Процедури аудиту нагляду повинні узгоджуватися з процедурами, що відносяться до сертифікаційного аудиту СМІБ організації-клієнта, як визначено в цьому стандарті.
        Метою нагляду є підтвердження продовження реалізації затвердженої СМІБ, розгляд передумов для змін у цій системі, ініційованих в результаті змін в роботі організації-клієнта, і підтвердження постійного відповідності вимогам сертифікації.
      - Програми нагляду зазвичай повинні включати:
        
        a) елементи підтримки функціонування системи, якими є внутрішній аудит СМІБ. аналіз з боку керівництва, а також попереджувальні та коригувальні дії:
        
        b) інформацію, що надходить від зовнішніх сторін, як це вимагається стандартом ISO / IEC 27001 і іншими документами, необхідними для сертифікації:
        
        c) зміни в документально оформленою системі;
        
        d) області, які слід змінити;
        
        e) елементи, вибрані з ISO / IEC 27001;
        
        f) при необхідності інші вибрані області.
      - При нагляді з боку органу сертифікації підлягають аналізу, як мінімум, наступні фактори:
        
        a) результативність СМІБ щодо досягнення цілей політики іб організації-клієнта;
        
        b) функціонування процедур періодичної оцінки і перевірки відповідності правовим і нормативним вимогам, пов'язаним з іб;
        
        c) заходи, вжиті стосовно невідповідностей, виявлених під час останнього аудиту.
      - Нагляд, здійснюваний органом сертифікації, повинен щонайменше виконуватися відповідно до пунктів, передбаченими ISO / IEC 17021. При цьому враховується наступне:
        
        a) орган сертифікації повинен бути здатний адаптувати свою програму нагляду до проблем іб, пов'язаних з погрозами активів, уразливими і впливами на організацію-клієнта, і обгрунтувати цю програму:
        
        b) програма нагляду органу сертифікації повинна визначатися органом сертифікації. Конкретні дати інспекцій можуть узгоджуватися з сертифікується організацією-клієнтом:
        
        c) аудити нагляду можуть об'єднуватися з аудитами інших систем менеджменту. У звітах повинні чітко вказуватися аспекти, значимі для кожної системи менеджменту;
        
        d) орган сертифікації повинен бути для здійснення нагляду за належним використанням сертифіката.
  - - - Органи сертифікації повинні мати строго певні процедури, які стверджують обставини і умови, при яких підтримується сертифікація. Якщо під час нагляду або повторних сертифікаційних аудитів виявляються невідповідності, то вони повинні ефективним чином коригуватися в обумовлений органом сертифікації час. Якщо корекція не була проведена в узгоджений термін, область дії сертифікації повинна бути скорочена, дія сертифіката має бути призупинено або він повинен бути скасований. Період часу, необхідний для усунення невідповідності, повинен відповідати його серйозності і ризику довіри до продуктів і послуг організації-клієнта.