ГОСТ Р ИСО/МЭК 27006-2020. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности
Приложение B
(обязательное)
ОБЩАЯ ПРОДОЛЖИТЕЛЬНОСТЬ/ТРУДОЕМКОСТЬ АУДИТА
B.1 Введение
В данном приложении содержатся дополнительные требования, касающиеся ИСО/МЭК 17021-1, подраздел 9.1. Данное приложение содержит минимальные требования и руководящие указания для органа по сертификации по разработке своих собственных процедур определения времени, требуемого для сертификации систем СМИБ организации-заказчика различных размеров и сложности в широком спектре деятельности.
Органы по сертификации должны определить общую продолжительность/трудоемкость аудита, проводимого при первоначальной сертификации, инспекционном контроле и ресертификации для каждой организации-заказчика и сертифицированной СМИБ. Использование данного приложения на этапе планирования аудита приводит к формированию последовательного подхода к определению соответствующей общей продолжительности/трудоемкости аудита. Кроме того, общую продолжительность/трудоемкость аудита можно скорректировать на основании того, что обнаруживается в ходе аудита, особенно во время его первого этапа (например, различия в оценках сложности структуры СМИБ или появление дополнительных объектов аудита).
В данном приложении представлены:
- концепции, применяемые для расчета общей продолжительности/трудоемкости аудита (B.2);
- требования в отношении процедур определения общей продолжительности/трудоемкости аудита на различных этапах аудита (B.3 - B.5);
- требования, связанные с аудитами на нескольких площадках (B.6).
Примеры расчета общей продолжительности/трудоемкости аудита для иллюстрации применения приложения B приведены в приложении C.
Базовое предположение, лежащее в основе данного подхода, заключается в том, что схема расчета для определения общей продолжительности/трудоемкости аудита должна:
a) учитывать только обоснованные признаки, которые могут быть определены;
b) быть достаточно простой для эффективного применения органами по сертификации;
c) быть достаточно комплексной для выявления отличительных особенностей.
Определение общей продолжительности/трудоемкости аудита основывается на данных, приведенных в таблице B.1, и должно учитывать факторы, способствующие изменениям.
B.2 Концепции
B.2.1 Численность персонала, выполняющего работу под контролем организации-заказчика
Общая численность персонала, выполняющего работу под контролем организации-заказчика во всех сменах в рамках сертификации, является первым шагом к определению общей продолжительности/трудоемкости аудита. |
|
(Amd.1:2020)
Примечание - Термин "персонал, выполняющий работу под контролем организации-заказчика" в ИСО/МЭК 17021-1 имеет определение "персонал".
Лиц, занятых неполный рабочий день, выполняющих работу под контролем организации-заказчика, включают в число персонала, выполняющего работу под контролем организации-заказчика, пропорционально количеству часов отработки, по сравнению со штатным персоналом, выполняющим работу под контролем организации-заказчика. Такое решение зависит от количества отработанных часов по сравнению со штатным персоналом.
B.2.2 Аудиторский день
Общая продолжительность/трудоемкость аудита, указанная в таблице B.1, означает аудиторские дни, затраченные на проведение аудита. Основанием для расчетов по приложению B является 8-часовой рабочий день.
B.2.3 Временный объект
Временным объектом считается площадка, не входящая в число объектов, указанных в документах на сертификацию, где деятельность, попадающая в область сертификации, осуществляется в течение определенного периода времени. Диапазон таких объектов может включать в себя как основные объекты проектного управления, так и мелкие вспомогательные и (или) монтажные площадки. Необходимость посещения таких площадок, а также число выборочных проверок следует определять на основании оценки рисков невыполнения целей информационной безопасности (ИБ) по причине несоответствий, возникающих на таком временном объекте. Выборочные проверки, проводимые на таких отобранных объектах, должны представлять весь диапазон компетенций организации-заказчика и варьирующихся потребностей с учетом размера и видов деятельности, а также этапов реализации проектов. Информацию по общим данным выборочных проверок см. в 9.1.5.1.
B.3 Процедура определения общей продолжительности/трудоемкости первоначального аудита
B.3.1 Общие требования
При расчете общей продолжительности/трудоемкости аудита необходимо придерживаться следующих документированных процедур.
B.3.2 Удаленный аудит
Если для взаимодействия с организацией-заказчиком используются такие методики удаленного аудита, как интерактивное взаимодействие через Интернет, интернет-совещания, телеконференции и (или) электронные проверки технологических процедур организации-заказчика, то соответствующие действия должны быть указаны в плане аудита (см. 9.2.3) и могут быть определены как частично входящие в общую продолжительность/трудоемкость выездного аудита.
Если орган по сертификации разрабатывает план аудита, в котором действия по удаленному аудиту составляют более 30% плановой общей продолжительности/трудоемкости выездного аудита, то орган по сертификации должен обосновать такой план аудита и получить целевое одобрение от органа по аккредитации до начала его реализации.
Примечание - Термин "общая продолжительность/трудоемкость выездного аудита" означает общую продолжительность/трудоемкость аудита, распределяемую по отдельным объектам. Электронный аудит удаленных объектов считается удаленным аудитом даже в том случае, если электронный аудит физически выполняется на территории или в помещениях организации-заказчика.
B.3.3 Расчет общей продолжительности/трудоемкости аудита
Таблица общей продолжительности/трудоемкости аудита, представленная ниже, устанавливает среднее количество дней для первоначального аудита [здесь и далее это число включает в себя дни для первоначального аудита (первого и второго этапов), которые, как показывает опыт, являются достаточными для области действия СМИБ с данной численностью персонала, выполняющего работу под контролем организации-заказчика]. Опыт также показывает, что для областей действия СМИБ, сходных по размерам, может потребоваться различное время.
Представленная ниже таблица общей продолжительности/трудоемкости аудита определяет основную схему, которая может использоваться для планирования аудита путем определения исходной точки, основанной на общем числе персонала, выполняющего работу под контролем организации-заказчика, всех смен, и его корректировки на основе значимых факторов, применяющихся к области действия СМИБ, которая должна подвергаться аудиту, и придания каждому фактору добавочной или вычитательной оценки для изменения базовой цифры. Таблицу общей продолжительности/трудоемкости аудита необходимо использовать с учетом как способствующих факторов, так и ограничений в отношении максимальных значений отклонения (см. B.3.4 и B.3.5). Термины, применяемые в таблице B.1, объяснены в B.2, а в приложении C приведены примеры того, как это возможно выполнить.
Таблица B.1
Таблица общей продолжительности/трудоемкости аудита
Число персонала, выполняющего работу под контролем организации-заказчика | Общая продолжительность/трудоемкость первоначального аудита системы менеджмента качества (рабочие дни аудитора) | Общая продолжительность/трудоемкость первоначального аудита системы экологического менеджмента (рабочие дни аудитора) | Общая продолжительность/трудоемкость первоначального аудита СМИБ (рабочие дни аудитора) | Добавочные или вычитательные факторы | Общая продолжительность/трудоемкость аудита |
1 - 10 | 1,5 - 2 | 2,5 - 3 | 5 | См. B.3.4 |
|
11 - 15 | 2,5 | 3,5 | 6 | См. B.3.4 |
|
16 - 25 | 3 | 4,5 | 7 | См. B.3.4 |
|
26 - 45 | 4 | 5,5 | 8,5 | См. B.3.4 |
|
46 - 65 | 5 | 6 | 10 | См. B.3.4 |
|
66 - 85 | 6 | 7 | 11 | См. B.3.4 |
|
86 - 125 | 7 | 8 | 12 | См. B.3.4 |
|
126 - 175 | 8 | 9 | 13 | См. B.3.4 |
|
176 - 275 | 9 | 10 | 14 | См. B.3.4 |
|
276 - 425 | 10 | 11 | 15 | См. B.3.4 |
|
426 - 625 | 11 | 12 | 16,5 | См. B.3.4 |
|
626 - 875 | 12 | 13 | 17,5 | См. B.3.4 |
|
876 - 1175 | 13 | 15 | 18,5 | См. B.3.4 |
|
1176 - 1550 | 14 | 16 | 19,5 | См. B.3.4 |
|
1551 - 2025 | 15 | 17 | 21 | См. B.3.4 |
|
2026 - 2675 | 16 | 18 | 22 | См. B.3.4 |
|
2676 - 3450 | 17 | 19 | 23 | См. B.3.4 |
|
3451 - 4350 | 18 | 20 | 24 | См. B.3.4 |
|
4351 - 5450 | 19 | 21 | 25 | См. B.3.4 |
|
5451 - 6800 | 20 | 23 | 26 | См. B.3.4 |
|
6801 - 8500 | 21 | 25 | 27 | См. B.3.4 |
|
8501 - 10 700 | 22 | 27 | 28 | См. B.3.4 |
|
> 10 700 | Та же самая прогрессия |
| Та же самая прогрессия | См. B.3.4 |
|
B.3.4 Коэффициенты корректировки общей продолжительности/трудоемкости аудита
Таблицу общей продолжительности/трудоемкости аудита недопустимо использовать изолированно. При распределении времени необходимо учитывать следующие факторы, связанные со сложностью структуры СМИБ и, соответственно, требующие дополнительных усилий при проведении аудита СМИБ:
a) сложность структуры СМИБ (например, критичность информации, риски СМИБ и др.);
b) виды деловой активности, осуществляемой в рамках СМИБ;
c) ранее продемонстрированная результативность СМИБ;
d) степень разнообразия технологий, применяемых при реализации различных компонентов СМИБ (например, количество различных ИТ-платформ, количество раздельных сетей);
e) степень привлечения сторонних услуг и персонала, а также договоров по аутсорсингу со сторонними организациями в рамках области действия СМИБ;
f) степень развития информационной системы;
g) количество объектов и количество узлов аварийного восстановления (DR);
h) для инспекционного контроля и ресертификационного аудита: объем и степень изменений СМИБ в соответствии с ИСО/МЭК 17021-1, пункт 8.5.3.
В приложении C приведены примеры того, как эти факторы могут быть учтены при расчете общей продолжительности/трудоемкости аудита.
Дополнительными факторами, требующими увеличения общей продолжительности/трудоемкости аудита, могут быть:
- сложное материально-техническое обеспечение, включающее в себя более одного здания или помещения в области действия СМИБ;
- персонал, говорящий на нескольких языках [требующий переводчика и (или) не дающий отдельным аудиторам возможность работать самостоятельно];
- виды деятельности, требующие посещения временных объектов с целью подтвердить деятельность постоянного(ых) объекта(ов), система менеджмента которого(ых) подлежит сертификации (см. перечисления нижеследующего списка);
- большое количество стандартов и нормативов, применимых к СМИБ.
Примерными факторами, позволяющими уменьшить общую продолжительность/трудоемкость аудита, являются:
- процессы/продукты с низкой степенью риска или без такового;
- процессы, включающие один общий вид деятельности (например, только оказание услуг);
- высокий процент персонала, выполняющего работу под контролем организации-заказчика, осуществляющего аналогичные задачи;
- предварительное знание организации-заказчика (например, если организация-заказчик уже сертифицировалась по другому стандарту тем же органом по сертификации);
- высокая готовность организации-заказчика к сертификации (например, уже проходила сертификацию или признана в качестве составной части по схеме третьей стороны);
- зрелость действующей системы менеджмента.
В ситуации, когда сертифицируемая или сертифицированная организация-заказчик предоставляют свою продукцию или услуги на временных объектах, необходимо, чтобы оценки таких объектов оформлялись как составная часть сертификационного аудита и программ инспекционного контроля.
Перечисленные выше факторы должны учитываться, и в их отношении должны осуществляться необходимые корректировки, обосновывающие увеличение или уменьшение общей продолжительности/трудоемкости для эффективности проводимого аудита. Добавочные факторы могут взаимно компенсироваться вычитательными. Во всех случаях, когда осуществляется корректировка предусмотренной в таблице B.1 общей продолжительности/трудоемкости аудита, все такие изменения должны быть обоснованы и подтверждены соответствующими данными и документами.
B.3.5 Ограничения по отклонениям от общей продолжительности/трудоемкости аудита
В целях обеспечения эффективности проводимого аудита, а также для гарантии надежности и сопоставимости его результатов общая продолжительность/трудоемкость аудита, предусмотренная в таблице B.1, не может быть сокращена более чем на 30%.
Причины указанного отклонения должны быть приведены и оформлены документально.
B.3.6 Продолжительность выездного аудита
Предполагается, что продолжительность, рассчитанная в совокупности на планирование и подготовку отчета по аудиту, как правило, не может снижать общую продолжительность/трудоемкость выездного аудита до уровня ниже 70% времени, рассчитанного в соответствии с B.3.3 и B.3.4. Если требуется дополнительное время для планирования и (или) подготовки отчета, это не может являться аргументом в пользу сокращения общей продолжительности/трудоемкости выездного аудита. Продолжительность переезда аудиторов не включается в данный расчет и является дополнением к общей продолжительности/трудоемкости аудита, указанной в таблице B.1. |
|
(Amd.1:2020)
Примечание - 70% - это коэффициент, основанный на опытных данных по проведению аудитов СМИБ.
B.4 Общая продолжительность/трудоемкость аудита при инспекционном контроле
Для цикла первоначального сертификационного аудита продолжительность инспекционного контроля в отношении конкретной организации следует рассчитывать пропорционально времени, затраченному на проведение первоначального аудита, к общему количеству времени, затрачиваемому в год на осуществление инспекционного контроля, что составляет примерно 1/3 от времени, затрачиваемого на проведение первоначального аудита. Плановую продолжительность инспекционного контроля следует периодически пересматривать для учета изменений, влияющих на общую продолжительность/трудоемкость аудита. Продолжительность проведения инспекционного контроля должна быть увеличена с целью проведения аудита изменений в СМИБ (например, аудит новых или измененных мер обеспечения).
B.5 Общая продолжительность/трудоемкость ресертификационного аудита
Общая продолжительность, отведенная на проведение ресертификационного аудита, зависит от результатов предыдущего аудита, как указано в 9.4.3 и ИСО/МЭК 17021-1, пункт 9.6.3. Продолжительность, отведенная на проведение ресертификационного аудита, пропорциональна времени, которое могло быть затрачено на проведение первоначального сертификационного аудита для этой же организации, и должна составлять не менее 2/3 от продолжительности, которая может потребоваться на проведение первоначального сертификационного аудита для этой организации во время ее запланированного аудита на предмет ресертификации.
B.6 Общая продолжительность/трудоемкость многообъектного аудита
Общее количество аудиторских дней на месте, рассчитанное для объема работ в соответствии с процедурой, изложенной в B.3.3, должно быть распределено между различными объектами (площадками) исходя из актуальности объекта (площадки) для системы менеджмента и выявленных рисков. Обоснование распределения должно быть зафиксировано органом по сертификации. Общее время, затраченное на первоначальный аудит и инспекционный контроль, представляет собой общую сумму времени, затраченного на каждом объекте (площадке) и в центральном офисе, и не должно быть менее времени, которое было бы рассчитано для размера и сложности операции, если бы все работы проводились на одном объекте (площадке) [т.е. со всеми сотрудниками компании на одном объекте (площадке)]. |
|
(Amd.1:2020)
Подписаться на обновления