Please enable JavaScript.

Coggle requires JavaScript to display documents.

ISO/ІЕС 27006 «Інформаційні технології. Методики безпеки. Вимоги до…

- - - - Орган сертифікації може виконувати такі обов'язки, без яких він вважається консультативним органом, який має потенційний конфлікт інтересів
        
        a) сертифікацію, включаючи інформаційні наради, наради з планування, вивчення документів, проведення аудиту (НЕ внутрішніх аудитів СМІБ або внутрішніх перевірок безпеки) і подальшу діяльність щодо невідповідностей;
        
        d) проведення заходів, що передують аудиту, що мають на меті виключно визначення готовності до сертифікаційного аудиту; проте подібні дії не повинні призводити до надання рекомендацій або консультацій, що суперечать цьому пункту, і орган сертифікації повинен вміти підтвердити, що подібні дії не суперечать цим вимогам і не використовуються для обґрунтування можливого скорочення тривалості сертифікаційного аудиту:
        
        c) забезпечення доступності або публікацію за запитом інформації, яка описує інтерпретацію органом сертифікації вимог стандартів по сертифікаційного аудиту;
        
        b) організацію курсів навчання та участь в них в якості викладача за умови, що якщо ці курси пов'язані з менеджментом інформаційної безпеки, взаємопов'язаними системами менеджменту або з проведенням аудиту, то органам сертифікації необхідно обмежуватися наданням загальної інформації та рекомендаціями, які є вільно доступним громадським надбанням, тобто вони не повинні надавати консультації, орієнтовані на конкретну компанію, що суперечить вимогам пункту с);
        
        e) проведення аудитів другою і третьою стороною відповідно до стандартів або нормативними вимогами, крім тих. які є частиною області акредитації;
- - - - 7.3.1 Залучення зовнішніх аудиторів або зовнішніх технічних експертів в якості членів аудиторської групи
        
        При залученні зовнішніх аудиторів або зовнішніх технічних експертів в якості членів аудиторської групи орган сертифікації повинен гарантувати, що вони компетентні, відповідають застосовним до них положень цього стандарту і не беруть участь ні безпосередньо, ні через свого роботодавця в проектуванні, впровадженні або обслуговуванні СМІБ або пов'язаної з нею системою (системами) менеджменту, оскільки це могло б впливати на їх неупередженість.
  - - - d) організація та ведення робіт з розгляду апеляцій і скарг.
        
        c) прийняття рішення про дозвіл, підтримки, скасування, призупинення, продовження або скорочення термінів дії сертифікації;
        
        b) інструктаж аудиторів СМІБ і організація необхідного навчання;
        
        a) вибір аудиторів СМІБ, що відповідають меті аудиту, і перевірка їх компетентності;
  - - - У число основних елементів забезпечення компетентності, потрібних для проведення сертифікації СМІБ. входять відбір, уявлення фахівців, чиї навички і загальна компетентність відповідають видам діяльності, призначеним для аудиту, і пов'язаних з ними проблем в області інформаційної безпеки, і керівництво ними.
        
        7.1.1.1 Аналіз компетентності та перевірка договору
        
        Орган сертифікації повинен гарантувати знання їм технологічних і правових питань, що відносяться до СМІБ організації-клієнта, яку він оцінює.
        Орган сертифікації повинен мати ефективну систему для аналізу компетентності в сфері менеджменту інформаційної безпеки, яка застосовується по відношенню до всіх технічних областям, в яких він діє.
        
        7.1.1.2 Ресурси
        
        Керівництво органу сертифікації повинно мати у своєму розпорядженні необхідними процедурами та ресурсами для визначення компетентності окремих аудиторів щодо завдань, які вони повинні виконати в області сертифікації, в рамках якої вони діють. Компетентність аудиторів може бути встановлена на основі підтвердженого досвіду і спеціального навчання або шляхом співбесіди (див. також додаток В). Орган сертифікації повинен бути здатний ефективно підтримувати зв'язок з клієнтами, яким він надає послуги.
- - - - 8.4.1 Контроль за маркуванням сертифікації
        
        Орган сертифікації повинен належним чином контролювати за правом власності, використанням і демонстрацією своїх сертифікаційних знаків СМІБ. Якщо орган сертифікації дає право використовувати знак для позначення сертифікації СМІБ. то він повинен бути впевнений, що організація-клієнт використовує спеціальний знак відповідно до письмового дозволу, отриманим від органу сертифікації. Орган сертифікації не повинен дозволяти організації-клієнту використовувати цей знак на продукті таким способом, що він може інтерпретуватися як позначення відповідності продукту.
  - - - 8.2.1 Документи по сертифікації СМІБ
        
        Орган сертифікації повинен надати кожній зі своїх організацій-клієнтів, чия СМІБ сертифікована, документи по сертифікації, такі як лист або сертифікат, підписаний уповноваженою посадовою особою. Для організації-клієнта і кожної з її сертифікованих інформаційних систем ці документи повинні визначати область дії сертифікації та відповідати стандарту ISO / IEC 27001 по СМІБ. за яким ця СМІБ сертифікована. Крім того, в сертифікаті має бути посилання на певну версію Положення про застосування.
  - - - Перед проведенням аудиту орган сертифікації повинен зробити запит організації-клієнту про наявність документів про СМІБ, які не можуть бути надані для перевірки аудиторської групи, так як вони містять конфіденційну або секретну інформацію. Орган сертифікації повинен визначити, чи може бути адекватним проведення аудиту СМІБ при відсутності цих документів. Якщо орган сертифікації приходить до висновку, що неможливо провести аудит СМІБ адекватно без перевірки певних конфіденційних або секретних документів, він повинен попередити організацію-клієнта, що сертифікаційний аудит не може бути проведений до тих пір, поки не буде забезпечено доступ до цих документів.
  - - - 8.1.1 Процедури вирішення, підтримки, продовження, скорочення, призупинення та відмови в сертифікації
        
        Орган сертифікації повинен вимагати від організації-клієнта наявності задокументованої і впровадженої СМІБ. яка відповідає ISO/IEC 27001 та іншим документам, необхідним для сертифікації.