ГОСТ Р ИСО/МЭК 27006-2008 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности

     7.2 Персонал, участвующий в деятельности по сертификации

Применяются требования ИСО/МЭК 17021:2006, пункт 7.2. Кроме того, применяются следующие, специфические для СМИБ, требования и положения.

7.2.1 ИБ 7.2 Компетентность персонала органа сертификации

Органы сертификации должны иметь персонал, обладающий компетентностью в следующих вопросах:

a) выбор аудиторов СМИБ, соответствующих целям аудита, и проверка их компетентности;

b) инструктаж аудиторов СМИБ и организация необходимого обучения;

c) принятие решения о разрешении, поддержке, отмене, приостановке, продлении или сокращении сроков действия сертификации;

d) организация и ведение работ по рассмотрению апелляций и жалоб.

7.2.1.1 Обучение аудиторских групп

У органа сертификации должны быть критерии обучения аудиторских групп, обеспечивающие:

a) знание стандарта СМИБ и других соответствующих нормативных документов;

b) понимание вопросов информационной безопасности;

c) понимание оценки риска и менеджмента риска с точки зрения деятельности;

d) технические знания о деятельности, подлежащей аудиту;

e) общее знание нормативных требований, относящихся к СМИБ;

f) знание систем менеджмента;

g) понимание принципов аудита, основанных на ИСО 19011:2002;

h) знание анализа эффективности СМИБ и измерения эффективности средств контроля.

Эти требования к обучению применяются ко всем членам аудиторской группы, за исключением требований пункта (d), которые можно распределить между членами аудиторской группы.

7.2.1.1.1 При выборе аудиторской группы, которая будет назначена для конкретного сертификационного аудита, орган сертификации должен обеспечить, чтобы члены группы обладали соответствующими необходимыми навыками для каждого задания. Группа должна:

a) обладать соответствующими техническими знаниями о конкретных действиях в рамках области применения СМИБ, для которой проводится сертификация, и, если необходимо, со взаимосвязанными процедурами и их потенциальными рисками информационной безопасности (эту функцию могут выполнять технические эксперты, не являющиеся аудиторами);

b) обладать достаточным уровнем знания работы организации-клиента для проведения надежного сертификационного аудита ее СМИБ в части менеджмента аспектов, связанных с информационной безопасностью ее деятельности, продуктов и услуг;

c) обладать соответствующим знанием нормативных требований к СМИБ организации-клиента.

7.2.1.1.2 При необходимости аудиторская группа может дополняться техническими экспертами, которые должны обладать специальными знаниями в области технологии, подлежащей аудиту. Необходимо отметить, что технических экспертов нельзя использовать вместо аудиторов СМИБ, но они могут консультировать аудиторов по вопросам технической адекватности в контексте системы менеджмента, подвергающейся аудиту. Органы сертификации должны осуществлять процедуры по следующим вопросам:

a) выбор аудиторов и технических экспертов на основе их компетентности, обучения, квалификации и опыта;

b) первоначальная оценка поведения аудиторов и технических экспертов во время проведения сертификационного аудита и последующий мониторинг деятельности аудиторов и технических экспертов.

7.2.1.2 Управление процессом принятия решений

Руководство должно быть технически грамотным и способным управлять процессом принятия решений относительно разрешения, поддержки, продления, сокращения, приостановки и отмены сертификации СМИБ по требованиям ИСО/МЭК 27001.

7.2.1.3 Необходимые уровни образования, профессионального опыта, аудиторского обучения и аудиторского опыта аудиторов, проводящих аудиты системы менеджмента информационной безопасности