Please enable JavaScript.

Coggle requires JavaScript to display documents.

ISO/ІЕС 27006 _3 - Coggle Diagram

- - - - Категорія складності, встановлена для СМІБ. може використовуватися для визначення наступного:
      - a) вимоги до компетентності аудиторів для аудиту СМІБ (приклад яких дано в додатку В);
      - b) вимоги до часу аудиту СМІБ (приклад яких дано в додатку С).
  - - - • зарплати, пенсії, здоров'я і безпеку, документи організації-клієнта, внутрішня і міжвідомча інформація, і т.д .;
      - • будь-яка інша особисто ідентифікується інформація;
      - • будь-яка інша комерційно секретна / важлива інформація, така як науково-дослідних, дослідно-. подробиці про організацію-клієнта, фінансові результати і прогнози, бізнес-плани, права на інтелектуальну власність, виробничі процеси і т.д.
    - - • для громадськості;
      - • для електронного уряду:
      - • про громадян (наприклад, здоров'я, доходи, податки, документи і т.д.;
      - • якою оперують урядові постачальники і виробники, така як проекти ІКТ.
      - • обладнання, продукти, послуги і т.д.
    - - • охорона здоров'я;
      - • освіта;
      - • авіакосмічна промисловість;
      - • телекомунікації;
      - • фінансові послуги;
      - • благодійні установи і некомерційні організації.
- - - - Аудитори повинні знати і розуміти такі процеси проведення аудиту та об'єкти СМІБ:
        
        • програмування і планування аудиту СМІБ;
        
        • тип і методологія аудиту СМІБ;
        
        • аудиторський ризик;
        
        • аналіз процесів інформаційної безпеки;
        
        • цикл Демінга (РDСА) для постійного вдосконалення;
        
        • проведення внутрішнього аудиту інформаційної безпеки.
      - Аудитори повинні знати і розуміти такі регулятивні вимоги:
        
        • інтелектуальна власність;
        
        • зміст, захист і збереження документів організації-клієнта;
        
        • захист даних і конфіденційність;
        
        • регулювання криптографічних засобів контролю;
        
        • попередження тероризму;
        
        • електронна комерція;
        
        • електронні та цифрові підписи;
        
        • інспекція робочих місць;
        
        • перехоплення в телекомунікаціях і моніторинг даних (наприклад, електронна пошта);
        
        • зловживання комп'ютером;
        
        • збір електронних даних;
        
        • випробування на проникнення;
        
        • міжнародні та національні, конкретні для сектора, вимоги (наприклад, банківська справа).
      - Аудитори повинні знати і розуміти такі вимоги менеджменту:
        
        • обробка ризиків інформаційної безпеки;
        
        • ризики безпеки аутсорсингу ICT;
        
        • ризики інформаційної безпеки для ланцюжка поставок.
- - - - Термін «співробітники», що згадується в таблиці часу аудитора, відноситься до всіх осіб, чия робоча діяльність має відношення до області дії СМІБ. Загальна кількість співробітників всіх змін є відправною точкою для визначення тривалості аудиту.
      - Фактична кількість співробітників включає непостійний {сезонний, тимчасовий і субпідрядних) штат, який буде представлений під час аудиту. Орган сертифікації повинен узгодити з організаціями-клієнтами розрахунок тривалості аудиту, за яку найкращим чином буде продемонстрована вся область діяльності організації. За обстановці цей розрахунок може включати пору року, місяць, день / дату і зміну.
      - Частково зайняті співробітники повинні розглядатися як співробітники з повною зайнятістю. таке рішення залежить від кількості відпрацьованих годин у порівнянні з відпрацьованими годинами співробітників з повною зайнятістю.
      - Термін «час аудитора» означає час, витрачений аудитором або аудиторською групою на перший і другий етапи аудиту та планування (включаючи при необхідності зовнішню перевірку документів); узгодження з організацією-клієнтом. персоналом, записами, документацією і процесом; написання звіту. Передбачається, що «час аудитора», витрачений на планування і написання звіту, зазвичай не має зменшувати загальний «час аудитора» на місці менш ніж до 70% часу, показаного в таблиці часу аудитора. Час пересувань аудитора не включається в цей розрахунок і є додатковим до часу аудитора, позначеному в таблиці.
    - - • складне матеріально-технічне забезпечення, що включає більше однієї будівлі або приміщення в області дії СМІБ;
      - • штат, що говорить на декількох мовах (знадобиться перекладач (і) або запобігання незалежної роботи окремих аудиторів);
      - • висока ступінь регулювання;
      - • СМІБ охоплює дуже складні процеси або відносно велика кількість видів діяльності, або унікальну в своєму роді діяльність;
      - • процедури, що передбачають використання комбінації апаратних засобів, програмного забезпечення процесів та послуг;
      - • дії, що вимагають інспекції тимчасових об'єктів для підтвердження правильності дії постійного об'єкта (ів). чия система менеджменту підлягає сертифікації
    - - • процесси / продукти з низьким ступенем ризику;
      - • апріорне знання організації-клієнта {наприклад, якщо організація-клієнт вже сертифікувалася по іншому стандарту тим же органом сертифікації);
      - • готовність організації-клієнта до сертифікації (наприклад, вже сертифікованої або визнаної за іншою схемою третьої сторони);
      - • процеси, що використовують один загальний вид діяльності (наприклад, тільки надання послуг).
      - • зрілість системи менеджменту;
      - • високий відсоток співробітників, що виконують аналогічні прості завдання.
- - - - Найкраще свідчення аудиту може бути отримано в процесі візуального спостереження аудитора (наприклад, що двері, які повинні бути закритими, дійсно замкнені; що службовці дійсно підписують угоди про дотримання конфіденційності; що перелік активів існує і містить зареєстровані активи; що параметри налаштування, що знаходяться під наглядом, є адекватними і т.д.). Свідоцтво може бути отримано на основі перегляду результатів здійснення контролю (наприклад, роздруківок прав доступу, підписаних відповідним уповноваженою особою; записів про дозвіл інцидентів, повноважень для обробки, підписаних відповідним уповноваженою особою; протоколів адміністративних (або інших) нарад і т.д.). Свідоцтво може бути результатом прямого випробування аудитором (або повторного дії) коштів контролю (наприклад, спроби виконати завдання, заявлені як заборонені засобами контролю: визначення. встановлено програмне забезпечення для захисту від шкідливої програми і оновлюється воно на машинах, чи надаються права доступу (після перевірки повноважень) і т.д.). Свідоцтва можуть збиратися за допомогою проведення опитування співробітників / підрядників про процеси і засоби контролю та визначення, чи є вони дійсно коректними.