ГОСТ Р ИСО/МЭК 27006-2020 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности

     9.1 Предсертификационная деятельность

9.1.1 Заявка

Применяют требования ИСО/МЭК 17021-1, пункт 9.1.1. Кроме того, применяют следующие требования и руководящие указания.

9.1.1.1 ИБ 9.1.1 Готовность заявки

Орган по сертификации должен затребовать у организации-заказчика документы, подтверждающие наличие внедренной СМИБ, соответствующей требованиям ИСО/МЭК 27001, и других документов, необходимых для сертификации.

9.1.2 Анализ заявки

Применяют требования ИСО/МЭК 17021-1, пункт 9.1.2.

9.1.3 Программа аудита

Применяют требования ИСО/МЭК 17021-1, пункт 9.1.3. Кроме того, применяют следующие требования и руководящие указания.

9.1.3.1 ИБ 9.1.3 Общие требования

Программа аудита СМИБ должна учитывать определенные меры обеспечения информационной безопасности.

9.1.3.2 ИБ 9.1.3 Методология аудита

Процедуры органа по сертификации не должны предусматривать конкретные методы внедрения СМИБ или конкретный формат ведения документации или записей. Процедуры сертификации должны быть направлены на установление факта соответствия СМИБ организации-заказчика требованиям, указанным в ИСО/МЭК 27001, а также политикам и целям организации-заказчика.

Примечание - Более подробные руководящие указания по проведению аудита приведены в [2].

9.1.3.3 ИБ 9.1.3 Общая подготовка к первоначальному аудиту

Орган по сертификации должен потребовать от организации-заказчика предоставления доступа к отчетам по результатам внутренних аудитов и отчетам о независимых проверках информационной безопасности.

На первом этапе сертификационного аудита организация-заказчик должна предоставить как минимум следующую информацию:

a) общую информация о СМИБ и перечень видов деятельности, которые она охватывает;

b) копии необходимой документации СМИБ, указанной в ИСО/МЭК 27001, и при необходимости сопутствующую документацию.

9.1.3.4 ИБ 9.1.3 Периодичность проверок

Орган по сертификации не должен сертифицировать СМИБ, если не был проведен по крайней мере один анализ со стороны руководства и один внутренний аудит СМИБ, охватывающий область сертификации.

9.1.3.5 ИБ 9.1.3 Область сертификации

Аудиторская группа должна провести аудит СМИБ организации-заказчика в объеме, охватываемом областью сертификации, в соответствии со всеми применимыми для сертификации требованиями. Орган по сертификации должен подтвердить, что СМИБ организации-заказчика распространяется на его деятельность и соответствует требованиям, изложенным в ИСО/МЭК 27001, подраздел 4.3.

Органы по сертификации должны установить, что оценка и управление рисками информационной безопасности организации-заказчика надлежащим образом применяются в рамках указанной деятельности согласно заявленной области сертификации. Органы по сертификации должны подтвердить, что это отражено в области действия СМИБ организаций-заказчиков и в ведомости применимости мер обеспечения информационной безопасности. Орган по сертификации должен удостовериться, что на каждую область сертификации имеется как минимум одна ведомость применимости мер обеспечения информационной безопасности.

Органы по сертификации должны убедиться, что область взаимодействия с услугами или видами деятельности, которые не полностью включены в область действия СМИБ, также находят свое отражение в СМИБ, на которую распространяется сертификация, и включены в систему оценки рисков информационной безопасности организации-заказчика. Примером такого положения может быть совместное использование технических средств (например, ИТ-системы, базы данных и телекоммуникационные системы или аутсорсинг бизнес-функций) с другими организациями.

9.1.3.6 ИБ 9.1.3 Критерии сертификационного аудита

Критерии, на основании которых проводится аудит СМИБ организации-заказчика, должны соответствовать ИСО/МЭК 27001. Для сертификации, в зависимости от видов деятельности, могут потребоваться и другие документы.

9.1.4 Определение общей продолжительности/трудоемкости аудита

Применяют требования ИСО/МЭК 17021-1, пункт 9.1.4. Кроме того, применяют следующие требования и руководящие указания.