ГОСТ Р ИСО/МЭК 27006-2020. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности

9.3 Первоначальная сертификация

 

Применяют требования ИСО/МЭК 17021-1, подраздел 9.3. Кроме того, применяют следующие требования и руководящие указания.

9.3.1 ИБ 9.3.1 Первоначальный сертификационный аудит

9.3.1.1 ИБ 9.3.1.1 Первый этап

На данном этапе аудита орган по сертификации должен получить документацию по структуре СМИБ, включая документацию, требуемую согласно ИСО/МЭК 27001.

Орган по сертификации должен иметь достаточное понимание СМИБ в контексте структуры организации-заказчика, системы оценки и снижения рисков (включая определенные меры обеспечения), политики и целей информационной безопасности, и в частности готовности организации-заказчика к проведению аудита. Все это позволит осуществить планирование второго этапа аудита.

 

Результаты первого этапа аудита должны быть документально оформлены в виде письменного отчета. Орган по сертификации должен проанализировать отчет первого этапа аудита, прежде чем принимать решение о переходе ко второму этапу, и подтвердить, что члены группы аудита второго этапа обладают необходимой компетенцией; это может быть выполнено аудитором, возглавляющим группу, проводившую первый этап аудита, если он будет признан компетентным и соответствующим. Примечание - Независимая проверка (т.е. представителем органа по сертификации, не участвующим в аудите) является одной из мер по снижению рисков, связанных с принятием решения о том, следует ли и в каком составе переходить ко второму этапу. Однако для достижения той же цели могут быть приняты другие меры по снижению рисков.

 

(Amd.1:2020)

Орган по сертификации должен поставить в известность организацию-заказчика о предоставлении дополнительной информации и записей, которые могут потребоваться для детальной проверки во время второго этапа аудита.

9.3.1.2 ИБ 9.3.1.2 Второй этап

9.3.1.2.1 На основании данных, отраженных в отчете по результатам первого этапа аудита, орган по сертификации разрабатывает план аудита для проведения второго этапа аудита. В дополнение к оценке результативности внедрения СМИБ целями второго этапа аудита являются:

a) подтверждение, что организация-заказчик придерживается своей собственной политики, целей и процедур.

9.3.1.2.2 Для этого аудит должен быть сосредоточен:

a) на лидерстве высшего руководства и приверженности политике и целям информационной безопасности;

b) требованиях к документации, перечисленных в ИСО/МЭК 27001;

c) оценке рисков, связанных с информационной безопасностью, и том, что данные оценки дают последовательные, действительные и сопоставимые результаты, если они повторяются;

d) определении целей и мер обеспечения на основе оценки рисков информационной безопасности и процессов снижения рисков;

e) результативности и эффективности СМИБ относительно целей информационной безопасности;

f) соответствии между определенными мерами обеспечения, ведомостью применимости мер обеспечения информационной безопасности и результатами процесса оценки и снижения рисков информационной безопасности, а также политикой и целями информационной безопасности;

g) внедрении мер обеспечения (см. приложение D) с учетом внешнего и внутреннего контекста и связанных с ним рисков, мониторинге, измерении и анализе организации процессов и мер обеспечения в области информационной безопасности, проводимых организацией-заказчиком, для определения того, являются ли меры обеспечения эффективными и отвечают ли они заявленным целям в области информационной безопасности;

h) программах, процессах, процедурах, записях, внутренних аудитах и проверках результативности СМИБ, чтобы гарантировать, что они прослеживаются до решения высшего руководства и политики и целей информационной безопасности.