ГОСТ Р ИСО/МЭК 27006-2020 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности
9.6 Подтверждение сертификации
9.6.1 Общие требования
Применяют требования ИСО/МЭК 17021-1, пункт 9.6.1.
9.6.2 Деятельность по инспекционному контролю
Применяют требования ИСО/МЭК 17021-1, пункт 9.6.2. Кроме того, применяют следующие требования и руководящие указания.
9.6.2.1 ИБ 9.6.2 Деятельность по инспекционному контролю
9.6.2.1.1 Процедуры инспекционного контроля должны соответствовать процедурам сертификационного аудита СМИБ организации-заказчика, как описано в настоящем стандарте.
Цель инспекционного контроля состоит в том, что утвержденная СМИБ продолжает внедряться, изменения этой системы, вызванные изменениями в деятельности организации-заказчика, принимаются во внимание, а соответствие сертификационным требованиям постоянно подтверждается. Программы инспекционного контроля должны как минимум охватывать следующие вопросы:
a) элементы обеспечения функционирования системы, такие как оценка и контроль рисков информационной безопасности, внутренние аудиты СМИБ, анализ со стороны руководства и корректирующие мероприятия;
b) информация, поступающая от сторонних организаций, согласно требованиям ИСО/МЭК 27001 и других документов, используемых при сертификации;
c) изменения в документированной системе;
d) направления деятельности, подверженные изменениям;
e) отдельные требования ИСО/МЭК 27001;
f) другие отдельные области деятельности по мере необходимости.
9.6.2.1.2 При проведении инспекционного контроля со стороны органа по сертификации должно рассматриваться как минимум следующее:
a) результативность СМИБ в отношении достижения организацией-заказчиком целей политики информационной безопасности;
b) функционирование процедур периодической оценки и проверки соответствующих законодательных и нормативных требований в области информационной безопасности;
c) изменения в определенных мерах обеспечения и соответствующие изменения в ведомости применимости мер обеспечения информационной безопасности;
d) реализация и результативность мер обеспечения в соответствии с программой аудита.
9.6.2.1.3 Орган по сертификации должен быть способен адаптировать свою программу инспекционного контроля к вопросам информационной безопасности, связанным с рисками и воздействиями на организацию-заказчика, и обосновать эту программу.
Инспекционный контроль может комбинироваться с аудитами других систем менеджмента. Отчетные документы органа по сертификации должны четко указывать аспекты, относящиеся к каждой системе менеджмента.
В ходе инспекционного контроля органы по сертификации должны проверять записи по обращениям и жалобам, направленным в орган по сертификации, и, в случае выявления любого несоответствия или несоблюдения требований сертификации, устанавливать, что организация-заказчик в рамках процедур СМИБ предприняла соответствующие корректирующие действия.
Отчет по результатам инспекционного контроля должен также содержать информацию об устранении выявленных ранее несоответствий, а также версию ведомости применимости мер обеспечения информационной безопасности, содержащую важные изменения, произошедшие после предыдущего аудита. Отчеты, полученные в результате инспекционного контроля, должны быть составлены таким образом, чтобы в своей совокупности они могли охватывать требования 9.6.2.1.1 и 9.6.2.1.2.
9.6.3 Ресертификация
Применяют требования ИСО/МЭК 17021-1, пункт 9.6.3. Кроме того, применяют следующие требования и руководящие указания.
9.6.3.1 ИБ 9.6.3 Ресертификационный аудит
Процедуры ресертификационных аудитов должны соответствовать процедурам, касающимся первоначального сертификационного аудита СМИБ организации-заказчика, как описано в настоящем стандарте.
Время, отведенное для выполнения корректирующих действий, должно соответствовать степени серьезности несоответствия и связанному с этим несоответствием риску информационной безопасности.
9.6.4 Специальные аудиты