ГОСТ Р ИСО/МЭК 27006-2020 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности

     9.2 Планирование аудитов

9.2.1 Определение целей, области и критериев аудита

Применяют требования ИСО/МЭК 17021-1, пункт 9.2.1. Кроме того, применяют следующие требования и руководящие указания.

9.2.1.1 ИБ 9.2.1 Цели аудита

Цели аудита должны включать в себя определение результативности системы менеджмента, гарантирующей, что на основании оценки рисков организация-заказчик реализовала применимые меры обеспечения и достигла поставленных целей обеспечения информационной безопасности.

9.2.2 Отбор участников аудиторской группы и закрепление за ними соответствующих обязанностей

Применяют требования ИСО/МЭК 17021-1, пункт 9.2.2. Кроме того, применяют следующие требования и руководящие указания.

9.2.2.1 ИБ 9.2.2 Аудиторская группа

Аудиторская группа должна быть официально назначена и обеспечена соответствующими рабочими документами. Предписание, выданное аудиторской группе, должно иметь четкую формулировку и должно быть доведено до сведения организации-заказчика. Аудиторская группа может состоять из одного человека при условии, что такой специалист соответствует всем критериям 7.1.2.1.

9.2.2.2 ИБ 9.2.2 Компетентность аудиторской группы

Применяют требования 7.1.2. Для работ в рамках инспекционного контроля и специального аудита применяют только те требования, которые имеют отношение к плановому инспекционному контролю или специальному аудиту.

При выборе и управлении аудиторской группой, которая назначается для проведения конкретного сертификационного аудита, орган по сертификации должен гарантировать, что все участники аудиторской группы обладают соответствующими компетенциями. Группа должна:

a) иметь надлежащие технические знания особенностей деятельности в рамках СМИБ, представленной на сертификацию, и, при необходимости, связанных процедур и их потенциальных рисков информационной безопасности (эту функцию могут выполнять технические специалисты);

b) иметь представление о деятельности организации-заказчика, достаточное для проведения полноценного сертификационного аудита СМИБ, с учетом сферы действия и роли СМИБ в организации при управлении аспектами информационной безопасности ее деятельности, продукции и услуг;

c) иметь достаточное понимание правовых и нормативных требований, применимых к СМИБ организации-заказчика.

Примечание - Достаточное понимание не предполагает наличие углубленной правовой базы.

9.2.3 План аудита

Применяют требования ИСО/МЭК 17021-1, пункт 9.2.3. Кроме того, применяют следующие требования и руководящие указания.

9.2.3.1 ИБ 9.2.3 Общие положения

План проведения аудита СМИБ должен учитывать определенные меры обеспечения информационной безопасности.

9.2.3.2 ИБ 9.2.3 Методики проведения аудита с использованием технических ресурсов

План проведения аудита должен содержать определение необходимых методик проведения аудита с использованием технических ресурсов.

Такие методики могут включать в себя, например, телеконференции, интернет-совещания, интерактивную интернет-связь и удаленный электронный доступ к документации СМИБ или процессам СМИБ. Цель использования таких методик заключается в повышении результативности и качества аудита, а также обеспечении целостности всего процесса.

9.2.3.3 ИБ 9.2.3 Продолжительность аудита

Орган по сертификации должен согласовать с проверяемой организацией сроки проведения аудита, в которые наилучшим образом будет возможно продемонстрировать всю сферу деятельности организации. При рассмотрении этого вопроса следует учитывать время года, месяц, день недели/дату и смену, в зависимости от ситуации.