ГОСТ Р ИСО/МЭК 27006-2020 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности

     9.4 Проведение аудитов

Применяют требования ИСО/МЭК 17021-1, подраздел 9.4. Кроме того, применяют следующие требования и руководящие указания.

9.4.1 ИБ 9.4 Общие положения

Орган по сертификации должен иметь документированные процедуры:

a) для первоначального сертификационного аудита СМИБ организации-заказчика в соответствии с положениями ИСО/МЭК 17021-1;

b) инспекционных контролей и ресертификационных аудитов СМИБ организации-заказчика в соответствии с ИСО/МЭК 17021-1, проводимых на регулярной основе с целью обеспечения непрерывного соответствия требованиям, а также для проверки и регистрации своевременного принятия организацией-заказчиком корректирующих действий по устранению несоответствий.

9.4.2 ИБ 9.4 Особые элементы аудита СМИБ

Орган по сертификации, представленный аудиторской группой, должен:

a) потребовать от организации-заказчика продемонстрировать, что оценка рисков, связанных с информационной безопасностью, является актуальной и адекватной для функционирования СМИБ в рамках ее области действия;

b) установить, соответствуют ли процедуры организации-заказчика по выявлению, анализу и оценке рисков, связанных с информационной безопасностью, результатам их практической реализации.

Орган по сертификации также должен установить, являются ли процедуры, используемые при оценке рисков, надежными и надлежащим образом реализованными.

9.4.3 ИБ 9.4 Отчет по результатам аудита

9.4.3.1 В дополнение к требованиям по отчетности в ИСО/МЭК 17021-1, пункт 9.4.8, отчет по результатам аудита должен содержать следующую информацию или ссылку на нее:

a) отчет о проверке, включая краткое изложение анализа документации;

b) отчет об анализе рисков информационной безопасности организации-заказчика при проведении сертификационного аудита;

c) отклонения от плана аудита (например, большее или меньшее время потрачено на определенные запланированные действия);

d) область действия СМИБ.

9.4.3.2 Отчет по результатам аудита должен быть достаточно подробным, чтобы обосновать и принять решение о сертификации. Он должен содержать:

a) важные контрольные данные аудита, включая применяемые методологии аудита (см. 9.1.3.2);

b) выполненные наблюдения, как положительные (например, особенности, заслуживающие внимания), так и отрицательные (например, потенциальные несоответствия);

c) комментарии о соответствии СМИБ организации-заказчика требованиям сертификации с четкими формулировками несоответствий, ссылку на версию ведомости применимости мер обеспечения информационной безопасности и, где это применимо, необходимые сравнения с результатами предыдущих сертификационных аудитов организации-заказчика.

Заполненные анкеты, контрольные карты, наблюдения, журналы регистрации или записи аудитора могут составлять неотъемлемую часть отчета по результатам аудита. Если используются данные методы, то такие документы должны быть представлены в орган по сертификации в качестве доказательств, обосновывающих принятое решения о сертификации. Информация об объектах, оцененных в ходе аудита, должна быть включена в отчет по результатам аудита или в другую документацию по сертификации.

В отчете должна быть рассмотрена адекватность внутренней структуры организации и процедур, принятых организацией-заказчиком для обеспечения доверия к СМИБ.

В дополнение к требованиям к отчетности, приведенным в ИСО/МЭК 17021-1, пункт 9.4.8, отчет должен содержать:

- краткое изложение наиболее важных наблюдений, как положительных, так и отрицательных, относительно внедрения и результативности требований к СМИБ и мер обеспечения;

- рекомендацию аудиторской группы в отношении того, следует ли сертифицировать СМИБ организации-заказчика, а также информацию, обосновывающую соответствующую рекомендацию.