Please enable JavaScript.

Coggle requires JavaScript to display documents.

СТАНДАРТ ISO/IEC 27006 (Ч.2) - Coggle Diagram

- - - - Критерії сертифікаційного аудиту
        
        Аудит СМІБ організації-клієнта повинен здійснюватися на основі критеріїв, що містяться в стандарті ISO / IEC 27001 по СМІБ. а також в інших документах, необхідних для проведення сертифікації конкретних виконуваних функцій.
      - Політика і процедури
        
        Документація органу сертифікації повинна включати політику та процедури здійснення процесу сертифікації, включаючи перевірки застосування документів, використаних при сертифікації систем СМІБ. а також процедури проведення аудиту та сертифікації СМІБ організації клієнта.
      - Аудиторська група
        
        Аудиторська група повинна офіційно призначатися і забезпечуватися відповідними робочими документами.
    - - Час має розраховуватися на основі таких факторів, як:
        
        масштаб області дії СМІБ
        
        складність СМІБ
        
        вид (и) діяльності, здійснюваної в рамках області дії СМІБ
        
        рівень та різноманітність технології
        
        кількість об'єктів організації-клієнта
        
        раніше продемонстроване функціонування СМІБ
        
        обсяг аутсорсингу і угод з третіми сторонами
        
        стандарти і нормативні вимоги
    - - Орган сертифікації повинен мати процедури, що дозволяють вимагати від організації-клієнта здатності продемонструвати, що внутрішні аудити СМІБ сплановані, а програма та процедури їх проведення є чинними.
    - - У звіті про результати аудиту повинна бути представлена наступна інформація:
        
        a) причина аудиту, включаючи короткий виклад аналізу документів;
        
        b) причина сертифікаційного аудиту по аналізу ступеня ризику інформаційної безпеки організації-клієнта;
        
        c) загальний час, витрачений на аудит, і докладний опис часу, витраченого на аналіз документів, оцінку аналізу ризиків, аудит на містах і складання звітів про результати аудиту:
        
        d) питання аудиту, основна причина їх вибору і застосована методологія.
  - - - Аудитори повинні бути здатні довести свої знання і досвід наприклад за допомогою:
        
        a) загальновизнаних кваліфікацій по СМІБ:
        
        b) реєстрації в якості аудитора.
        
        c) пройдених курсів підготовки по СМІБ;
        
        d) останніх документів, що підтверджують факт безперервного підвищення кваліфікації;
        
        e) практичної демонстрації проведення аудиту реальних систем клієнта в присутності інших аудиторів.
    - - Орган сертифікації повинен вимагати від організації-клієнта зробити всі необхідні приготування до проведення сертифікаційного аудиту, включаючи приготування для вивчення документації і доступ до всіх областей, документам (включаючи звіти про внутрішній аудит і звіти про незалежних перевірках інформаційної безпеки) і персоналу з метою сертифікаційного аудиту, аудиту повторної сертифікації та задоволення скарг.
    - - Для прийняття рішення про сертифікацію орган сертифікації повинен зажадати докладні звіти, що надають достатню інформацію для прийняття цього рішення
    - - Суб'єкт, який може бути фізичною особою, що приймає рішення про дозвіл / скасування сертифікації в рамках органу сертифікації, повинен мати достатній рівень знань і досвіду у всіх областях для оцінки процедур аудиту і рекомендацій аудиторської групи.