ГОСТ Р ИСО/МЭК 27006-2020 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности

     8.4 Конфиденциальность

Применяют требования ИСО/МЭК 17021-1, подраздел 8.4. Кроме того, применяют следующие требования и руководящие указания.

8.4.1 ИБ 8.4 Доступ к записям организации

Перед проведением сертификационного аудита орган по сертификации должен попросить организацию-заказчика сообщить, если какая-либо связанная с СМИБ информация (такая как записи СМИБ или информация относительно структуры, состава и эффективности мер обеспечения) не может быть представлена для проверки аудиторской группой, поскольку она содержит конфиденциальную или секретную информацию. Орган по сертификации должен определить, можно ли провести аудит СМИБ должным образом в отсутствие такой информации. Если орган по сертификации приходит к выводу, что невозможно провести аудит СМИБ должным образом без проверки выявленной конфиденциальной или секретной информации, он должен сообщить организации-заказчику, что сертификационный аудит не может быть проведен до тех пор, пока не будут предоставлены соответствующие механизмы доступа.