Please enable JavaScript.

Coggle requires JavaScript to display documents.

ISO/ІЕС 27006 «Інформаційні технології. Методики безпеки. Вимоги до…

- - - - Критерії сертифікаційного аудиту
        
        Аудит СМІБ організації-клієнта повинен здійснюватися на основі критеріїв, що містяться в стандарті ISO / IEC 27001 по СМІБ.
      - Політика і процедури
        
        Документація органу сертифікації повинна включати політику та процедури здійснення процесу сертифікації, включаючи перевірки застосування документів, використаних при сертифікації систем СМІБ.
      - Аудиторська група
        
        Аудиторська група повинна офіційно призначатися і забезпечуватися відповідними робочими документами.
    - - Аудиторська група повинна перевірити СМІБ організації-клієнта, що входить в задану область дії. На відповідність всім застосовуваним вимогам сертифікації. Орган сертифікації повинен забезпечити чітке визначення області дії і кордони СМІБ організації-клієнта на основі характеристик бізнесу, організації, її місця розташування, активів і технології.
    - - Органи сертифікації повинні надавати аудиторам достатній час для здійснення всіх дій, пов'язаних з початковим аудитом, наглядовим або аудитом повторної сертифікації.
      - Час має розраховуватися на основі таких факторів, як:
        
        a) масштаб області дії СМІБ (наприклад, кількість використовуваних інформаційних систем. кількість співробітників);
        
        b) складність СМІБ (наприклад, критичність інформаційних систем, ситуація з ризиками СМІБ), див. також додаток А;
        
        c) вид (и) діяльності, здійснюваної в рамках області дії СМІБ:
        
        d) рівень та різноманітність технології, використаної при впровадженні різних компонентів СМІБ (таких, як впроваджені засоби контролю, управління документацією та / або процесами, що коректують / превентивні дії і т.д.);
        
        e) кількість об'єктів організації-клієнта;
        
        f) раніше продемонстроване функціонування СМІБ;
        
        g) обсяг аутсорсингу і угод з третіми сторонами, використаних в рамках СМІБ;
        
        h) стандарти і нормативні вимоги, що застосовуються до сертифікації.
    - - Рішення по вибірці об'єктів в області сертифікації СМІБ є більш складними, ніж ті ж самі рішення в системах менеджменту якості.
      - Орган сертифікації, який бажає використовувати підхід, заснований на вибірці, повинен виконувати процедури
    - - Орган сертифікації повинен мати процедури, що дозволяють вимагати від організації-клієнта здатності продемонструвати, що внутрішні аудити СМІБ сплановані, а програма та процедури їх проведення є чинними.
      - Процедури органу сертифікації не повинні припускати особливого способу реалізації СМІБ або особливого формату для документації та записів. Процедури сертифікації повинні концентруватися на встановленні того, що СМІБ організації-клієнта задовольняє вимогам стандарту ISO / IEC 27001, а також політиці і цілям організації-клієнта.
    - - Орган сертифікації може використовувати різні процедури, пов'язані зі складанням звітів, які відповідають його потребам, але ці процедури, як мінімум, повинні забезпечити наступне:
        
        b) подає до органу сертифікації звіт про результати аудиту щодо відповідності СМІБ організації-клієнта всім вимогам сертифікації.
        
        a) перед тим, як аудиторська група залишить територію організації-клієнта, проводиться зустріч аудиторської групи і керівництва організації-клієнта, в ході якої аудиторська група:
        
        1) в письмовій або усній формі повідомляє про відповідність СМІБ організації-клієнта певним вимогам сертифікації;
        
        2) надає можливість представникам організації-клієнта задавати питання з приводу зроблених висновків і підстав для них;
      - У звіті про результати аудиту повинна бути представлена наступна інформація:
        
        a) причина аудиту, включаючи короткий виклад аналізу документів;
        
        b) причина сертифікаційного аудиту по аналізу ступеня ризику інформаційної безпеки організації-клієнта;
        
        c) загальний час, витрачений на аудит, і докладний опис часу, витраченого на аналіз документів, оцінку аналізу ризиків, аудит на містах і складання звітів про результати аудиту:
        
        d) питання аудиту, основна причина їх вибору і застосована методологія.
      - Звіт про результати аудиту, представлений органу сертифікації, повинен бути досить докладним для спрощення прийняття рішення про сертифікацію та його підтримки і повинен містити:
        
        a) області, включені в аудит (наприклад, вимоги сертифікації та перевірені об'єкти), включаючи значущі контрольні записи і використані методології аудиту (див. 9.1.5);
        
        b) спостереження як позитивного (наприклад, заслуговують на увагу особливості), так і негативного (наприклад, потенційні невідповідності) характеру.
        
        c) подробиці виявлених невідповідностей, підтверджені об'єктивними даними, і посилання цих невідповідностей на відповідні вимоги стандарту ISO / IEC 27001 по СМІБ або інші документи, необхідні для сертифікації:
        
        d) зауваження щодо відповідності СМІБ організації-клієнта вимогам сертифікації з чітким заявою про невідповідність, посилання на версію Положення про застосування і в випадках, де це доречно, будь корисне порівняння з результатами попередніх сертифікаційних аудитів організації-клієнта.
  - - - Демонстрація компетентності аудиторів
        
        Аудитори повинні бути здатні довести свої знання і досвід, як зазначено вище, наприклад за допомогою:
        
        a) загальновизнаних кваліфікацій по СМІБ:
        
        b) реєстрації в якості аудитора.
        
        c) пройдених курсів підготовки по СМІБ;
        
        d) останніх документів, що підтверджують факт безперервного підвищення кваліфікації;
        
        e) практичної демонстрації проведення аудиту реальних систем клієнта в присутності інших аудиторів.
    - - Орган сертифікації повинен вимагати від організації-клієнта зробити всі необхідні приготування до проведення сертифікаційного аудиту, включаючи приготування для вивчення документації і доступ до всіх областей, документам (включаючи звіти про внутрішній аудит і звіти про незалежних перевірках інформаційної безпеки) і персоналу з метою сертифікаційного аудиту, аудиту повторної сертифікації та задоволення скарг.
    - - Перший етап аудиту
        
        На цьому етапі аудиту орган сертифікації повинен отримати документацію з проектування СМІБ, включаючи документацію, необхідну за ISO / IEC 27001: 2005, пункт 4.3.1.
      - Другий етап аудиту
        
        Другий етап аудиту завжди проводиться на об'єктах організації-клієнта. На основі отриманих даних, відображених у звіті про результати першого етапу аудиту, орган сертифікації намічає план проведення другого етапу аудиту.
        
        Особливі елементи аудиту СМІБ
        
        Функцією органу сертифікації є встановлення послідовності для організації-клієнта в створенні і підтримці процедур з ідентифікації, вивчення та оцінки загроз активів, пов'язаним з інформаційною безпекою, вразливістю і впливом на організацію-клієнта.
        
        Правове і нормативне відповідність
        
        Підтримка і оцінка виконання правових і нормативних норм є обов'язком організації-клієнта. Орган сертифікації повинен обмежуватися перевірками і вибірками для створення довіри до того, що СМІБ функціонує в даному напрямку.
        
        Інтеграція документації системи менеджменту інформаційної безпеки з документацією інших систем менеджменту
        
        Організація-клієнт може комбінувати документацію СМІБ з документацією інших систем менеджменту (таких, як система менеджменту якості, охорони праці, екологічного менеджменту). якщо СМІБ може бути чітко ідентифікована разом з відповідними засобами інших систем.
        
        Об'єднання аудитів системи менеджменту
        
        Орган сертифікації може запропонувати сертифікацію іншої системи менеджменту, пов'язаної з сертифікацією СМІБ, або сертифікацію тільки СМІБ.