ГОСТ Р ИСО/МЭК 27006-2020 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности
Приложение B
(обязательное)
Общая продолжительность/трудоемкость аудита
B.1 Введение
В данном приложении содержатся дополнительные требования, касающиеся ИСО/МЭК 17021-1, подраздел 9.1. Данное приложение содержит минимальные требования и руководящие указания для органа по сертификации по разработке своих собственных процедур определения времени, требуемого для сертификации систем СМИБ организации-заказчика различных размеров и сложности в широком спектре деятельности.
Органы по сертификации должны определить общую продолжительность/трудоемкость аудита, проводимого при первоначальной сертификации, инспекционном контроле и ресертификации для каждой организации-заказчика и сертифицированной СМИБ. Использование данного приложения на этапе планирования аудита приводит к формированию последовательного подхода к определению соответствующей общей продолжительности/трудоемкости аудита. Кроме того, общую продолжительность/трудоемкость аудита можно скорректировать на основании того, что обнаруживается в ходе аудита, особенно во время его первого этапа (например, различия в оценках сложности структуры СМИБ или появление дополнительных объектов аудита).
В данном приложении представлены:
- концепции, применяемые для расчета общей продолжительности/трудоемкости аудита (В.2);
- требования в отношении процедур определения общей продолжительности/трудоемкости аудита на различных этапах аудита (B.3-B.5);
- требования, связанные с аудитами на нескольких площадках (B.6).
Примеры расчета общей продолжительности/трудоемкости аудита для иллюстрации применения приложения В приведены в приложении С.
Базовое предположение, лежащее в основе данного подхода, заключается в том, что схема расчета для определения общей продолжительности/трудоемкости аудита должна:
a) учитывать только обоснованные признаки, которые могут быть определены;
b) быть достаточно простой для эффективного применения органами по сертификации;
c) быть достаточно комплексной для выявления отличительных особенностей.
Определение общей продолжительности/трудоемкости аудита основывается на данных, приведенных в таблице B.1, и должно учитывать факторы, способствующие изменениям.
B.2 Концепции
B.2.1 Численность персонала, выполняющего работу под контролем организации-заказчика
Общая численность персонала, выполняющего работу под контролем организации-заказчика во всех сменах в рамках сертификации, является первым шагом к определению общей продолжительности/трудоемкости аудита. |
(Amd.1:2020)
Примечание - Термин "персонал, выполняющий работу под контролем организации-заказчика" в ИСО/МЭК 17021-1 имеет определение "персонал".
Лиц, занятых неполный рабочий день, выполняющих работу под контролем организации-заказчика, включают в число персонала, выполняющего работу под контролем организации-заказчика, пропорционально количеству часов отработки, по сравнению со штатным персоналом, выполняющим работу под контролем организации-заказчика. Такое решение зависит от количества отработанных часов по сравнению со штатным персоналом.
B.2.2 Аудиторский день
Общая продолжительность/трудоемкость аудита, указанная в таблице B.1, означает аудиторские дни, затраченные на проведение аудита. Основанием для расчетов по приложению B является 8-часовой рабочий день.
B.2.3 Временный объект
Временным объектом считается площадка, не входящая в число объектов, указанных в документах на сертификацию, где деятельность, попадающая в область сертификации, осуществляется в течение определенного периода времени. Диапазон таких объектов может включать в себя как основные объекты проектного управления, так и мелкие вспомогательные и (или) монтажные площадки. Необходимость посещения таких площадок, а также число выборочных проверок следует определять на основании оценки рисков невыполнения целей информационной безопасности (ИБ) по причине несоответствий, возникающих на таком временном объекте. Выборочные проверки, проводимые на таких отобранных объектах, должны представлять весь диапазон компетенций организации-заказчика и варьирующихся потребностей с учетом размера и видов деятельности, а также этапов реализации проектов. Информацию по общим данным выборочных проверок см. в 9.1.5.1.
B.3 Процедура определения общей продолжительности/трудоемкости первоначального аудита