Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 27006-2020 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности

     5.2 Управление беспристрастностью


Применяют требования ИСО/МЭК 17021-1, подраздел 5.2. Кроме того, применяют следующие требования и руководящие указания, дополняющие требования ИСО/МЭК 17021-1 в части сертификации СМИБ.

5.2.1 ИБ 5.2 Конфликт интересов

Органы по сертификации могут выполнять следующие виды работ, при этом они не рассматриваются как консультанты или лица, имеющие потенциальный конфликт интересов:

a) организация и участие в качестве преподавателя в учебных курсах при условии, что если эти курсы связаны с менеджментом информационной безопасности, взаимосвязанными системами менеджмента или аудитом, то органы по сертификации должны ограничиваться предоставлением общей информации и рекомендаций, которые являются общедоступными, т.е. они не должны предоставлять рекомендации для конкретной компании, что противоречит требованиям перечисления b);

b) предоставление или публикация по запросу информации, описывающей толкование органом по сертификации требований стандартов по сертификационному аудиту (см. 9.1.3.6);

c) деятельность до аудита, направленная исключительно на определение готовности к сертификационному аудиту; однако подобная деятельность не должна приводить к предоставлению рекомендаций или консультаций, противоречащих данному пункту, и орган по сертификации должен иметь возможность подтвердить, что подобная деятельность не противоречит указанным требованиям и не используется для обоснования сокращения возможной продолжительности сертификационного аудита;

d) проведение аудитов второй и третьей сторонами в соответствии со стандартами или правилами, отличными от тех, которые входят в область аккредитации;

e) повышение значимости сертификационного аудита и инспекционного контроля, например путем определения возможностей для улучшения, которые становятся очевидными в ходе аудита, без рекомендаций относительно конкретных решений.

Орган по сертификации не должен проводить внутренние аудиты СМИБ организации-заказчика. Кроме того, орган по сертификации должен быть независимым от органа или органов (включая любых физических лиц), которые проводят внутренний аудит СМИБ.