ГОСТ Р ИСО/МЭК 27006-2020 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности
Приложение A
(справочное)
Знания и навыки, необходимые для аудита и сертификации СМИБ
A.1 Обзор
В таблице A.1 приведены сводные данные по знаниям и навыкам, необходимым для проведения сертификационного аудита, при этом данная таблица является справочной, поскольку она только определяет области знаний и навыков, необходимых для выполнения определенных функций процесса сертификации.
Требования по компетентности в рамках каждой функции приведены в основном тексте настоящего стандарта, а в данной таблице содержатся ссылки на конкретные требования.
Таблица A.1 - Знания, необходимые для аудита и сертификации СМИБ
Функции процесса сертификации | |||
Анализ заявки (анализ заявки с целью определения необходимого уровня компетенций аудиторской группы, отбора участников аудиторской группы и определения общей продолжительности/ трудоемкости аудита) | Анализ отчетов по результатам аудита и принятие решений о сертификации | Проведение аудита и руководство работой аудиторской группы | |
Знания | |||
Терминология, принципы, практические методы и технологии менеджмента информационной безопасности | 7.1.2.4.2 | 7.1.2.1.2 | |
Стандарты и нормативные документы системы менеджмента информационной безопасности | 7.1.2.3.1 | 7.1.2.4.3 | 7.1.2.1.3 |
Практики делового администрирования | 7.1.2.1.4 | ||
Сфера деятельности организации-заказчика | 7.1.2.3.2 | 7.1.2.4.4 | 7.1.2.1.5 |
Продукция, процессы и структура организации-заказчика | 7.1.2.3.3 | 7.1.2.4.5 | 7.1.2.1.6 |
На основе использования различных факторов из таблицы A.1 аспекты сложности области действия СМИБ могут классифицироваться по трем категориям: "высокая", "средняя" и "низкая". За общую категорию сложности может быть принята максимальная категория всех рассматриваемых факторов.
A.2 Общие аспекты компетентности
Существует несколько способов, которыми аудитор может продемонстрировать свои знания и опыт. Знания и опыт могут быть оценены, например, при помощи использования общепризнанных квалификационных характеристик. Регистрационные записи в рамках квалификационной аттестации персонала могут также использоваться для оценки необходимых знаний и опыта. Требуемый уровень компетенций для аудиторской группы должен быть установлен с учетом сложности структуры СМИБ, а также отраслевых и технологических особенностей деятельности организации-заказчика.
A.3 Конкретные аспекты знаний и опыта
A.3.1 Типичные знания, связанные с СМИБ
В дополнение к требованиям, изложенным в 7.1.2, необходимо учитывать следующее. Аудиторы должны знать и понимать следующие процедуры аудита и СМИБ:
- составление программы аудита и его планирование;
- тип и методология аудита;
- риски, связанные с аудитом;
- анализ процессов информационной безопасности;
- непрерывное совершенствование;
- внутренний аудит информационной безопасности.
Аудиторы должны знать и понимать следующие нормативные требования:
- интеллектуальная собственность;
- содержание, защита и хранение документов организации-заказчика;
- защита данных и конфиденциальность;
- регулирование средств криптографической защиты информации;
- электронная коммерция;
- электронные и цифровые подписи;