Please enable JavaScript.
Coggle requires JavaScript to display documents.
СТАНДАРТ ISO/IEC 27006 (Ч.3) - Coggle Diagram
СТАНДАРТ ISO/IEC 27006 (Ч.3)
Додаток А
Потенціал ризику організації-клієнта
При визначенні часу аудиту та компетентності аудитора повинна враховуватися складність СМІБ.
Специфічні для сектора категорії ризику інформаційної безпеки
Ризики для інформації можуть бути специфічними для виду розглянутої інформації або сектора, в якому функціонує організація-клієнт.
Додаток В
Загальна оцінка компетентності
Існує кілька способів, за допомогою яких аудитор може продемонструвати свої знання та досвід, наприклад, за допомогою використання загальновизнаних кваліфікацій, реєстрації під IRCA або будь-який інший визнаної форми реєстрації аудитора. Необхідний рівень компетентності для аудиторської групи повинен бути встановлений, узгоджуючи з промислової/технологічної областю організації та фактором складності.
Специфічна оцінка компетентності
Знання заходів управління з програми А ISO/IEC 27001:2005
Типові знання, пов'язані з системою менеджменту інформаційної безпеки
Додаток С
Введення
Ця програма являє собою керівництво для органу сертифікації по розробці власних процедур визначення часу, необхідного для сертифікації області дії СМІБ організацій-клієнтів різних розмірів і складності в широкому спектрі діяльності.
Процедура визначення тривалості аудиту
Досвід показує, що область дії СМІБ і кількість співробітників, розмір, характеристики, складність і значимість потенційних ризиків інформаційної безпеки повинні враховуватися при визначенні необхідного часу аудитора. Ці та інші фактори повинні розглядатися в процесі аналізу договору органу сертифікації з урахуванням їх потенційного впливу на призначення часу аудитора.
Таблиця часу аудитора
Загальні положення
У таблиці часу аудитора встановлено середня кількість днів для початкового аудиту яка доцільна для області дії СМІБ з заданим числом співробітників. Для областей дії подібних за розмірами СМІБ потрібна різна кількість часу аудитора.
Пояснення термінів
Термін «співробітники», що згадується в таблиці часу аудитора, відноситься до всіх осіб, чия робоча діяльність має відношення до області дії СМІБ. Загальна кількість співробітників всіх змін є відправною точкою для визначення тривалості аудиту.
Термін «час аудитора» означає час, витрачений аудитором або аудиторською групою на перший і другий етапи аудиту та планування (включаючи при необхідності зовнішню перевірку документів); узгодження з організацією-клієнтом. персоналом, записами, документацією і процесом; написання звіту.
Тимчасовий об'єкт - це місце, відмінне від об'єкта/місця. ідентифікованого в документі по сертифікації. де діяльність в рамках області дії сертифікації реалізується за певний період часу.
Додаток D
Мета
Свідотство аудиту
Найкраще свідчення аудиту може бути отримано в процесі візуального спостереження аудитора. Свідоцтво може бути отримано на основі перегляду результатів здійснення контролю. Свідоцтво може бути результатом прямого випробування аудитором (або повторного дії) засобами контролю. Свідоцтва можуть збиратися за допомогою проведення опитування співробітників/підрядників про процеси і засоби контролю та визначення, чи є вони дійсно коректними.
Як працювати з аблицею 0.1
Колонки «Організаційний контроль» і «Технічний контроль»
«X» у відповідній колонці показує, чи є контроль організаційним або технічним. Так як деякі засоби контролю є як організаційними, так і технічними, для таких засобів контролю ставляться відмітки в обох колонках.
Колонка «Випробування системи»
«Випробування системи» означає пряму перевірку систем (наприклад, перевірка параметрів настроювання системи або конфігурації).
Існують дві категорії перевірки технічних засобів контролю:
«Можливо»: тестування системи можливо для оцінки введення в дію засоби контролю, але зазвичай це не є необхідним;
«Рекомендується»: тестування системи зазвичай необхідно.
Колонка «Візуальна перевірка»
Візуальна перевірка» означає, що зазвичай засоби контролю для оцінки їх ефективності вимагають візуального огляду на місці. Це означає, що недостатньо перевірити відповідну документацію на папері або за допомогою опитувань - аудитор повинен перевірити цей засіб контролю на місці його експлуатації.
Колонка «Вказівки щодо аналізу аудиту»
У колонці «Вказівки щодо аналізу аудиту» представлені можливі області підвищеної уваги для оцінки класифікованого заходу управління в якості подальшого керівництва для аудитора.
Додаток Е
Перелік національних стандартів України, ідентичних з міжнародними стандартами, посилання на які є в цьому стандарті