ГОСТ Р ИСО/МЭК 2700&—2008
9.1.2 ИБ 9.1.2 Область действия сертификации
Аудиторская группа должна проверить СМИБ организации-клиента, входящую в заданную об
ластьдействия. на соответствие всем применяемым требованиям сертификации. Орган сертификации
должен обеспечить четкое определение области действия и границы СМИБ организации-клиента на
основе характеристикбизнеса, организации, ее местоположения, активов и технологии. Орган сертифи
кации должен подтвердить, что в области действия СМИБ организации-клиенты выполняют требова
ния. изложенные в ИСОУМЭК 27001:2005. пункт 1.2.
Органы сертификации должны обеспечить, чтобы проводимая организациями-клиентами оценка
риска информационной безопасности и обработка риска надлежащим образом отражали их деятель
ность и распространялись до границ их сферы деятельности, как определено в стандарте
ИСО/МЭК27001 по СМИБ. Органы сертификации должны подтвердить, что все это отражено в области
действия их СМИБ и в Положении о применимости организаций-клиентов.
Органы сертификации должны обеспечить, чтобы взаимодействие с услугами или видами дея
тельности. которые не полностью включены в сферудействия СМИБ. было учтено в сертифицируемой
СМИБ и включено в оценку риска информационной безопасности организации-клиента. Примером по
добной ситуацииявляется совместное использованиеразличных средств сдругими организациями (на
пример, системы ИТ. базы данных и системы телекоммуникации).
9.1.3 ИБ 9.1.3 Время аудита
Органы сертификации должны предоставлять аудиторам достаточное время для осуществления
всех действий, связанных с первоначальным аудитом, надзорным или аудитом повторной сертифика
ции. Время должно рассчитываться на основе таких факторов, как:
a) масштаб областидействия СМИБ (например, количество используемыхинформационных сис
тем. количество сотрудников);
b
) сложность СМИБ (например, критичность информационных систем, ситуация с рисками
СМИБ). см. также приложение А:
c) вид(ы) деятельности, осуществляемой в рамках области действия СМИБ:
d) уровень и разнообразие технологии, использованной при внедрении различных компонентов
СМИБ (таких, как внедренные средства контроля, управление документацией и/или процессами, кор-
ректирующие/превентивные действия и т.д.);
e) количество объектов организации-клиента;
0 ранее продемонстрированное функционирование СМИБ;
д) объем аутсорсинга и соглашений с третьими сторонами, использованных в рамках СМИБ;
h) стандарты и нормативные требования, применяющиеся к сертификации.
В приложении С представлено руководство по продолжительности аудита. Орган сертификации
должен быть готов обосновать продолжительность времени, затраченного на первоначальный аудит,
надзорные аудиты или аудит повторной сертификации.
9.1.4 ИБ 9.1.4 Множественные объекты (площадки)
9.1.4.1 Решения по выборке объектов в области сертификации СМИБ являются более сложными,
чем те же самые решения в системах менеджмента качества. Там, где организация-клиент имеет коли
чество объектов сертификации, удовлетворяющее критериям от а) до с), приведенным ниже, органы
сертификации могут использовать основанный на выборке подход к сертификационному аудиту
многочисленных объектов:
a) все объекты работают в рамках одной и той же СМИБ, которая управляется централизованно,
проверяется и подлежит проверке центральным руководством;
b
) все объекты включаются в программу внутреннего аудита СМИБ организации-клиента:
c) все объекты включаются в программу проверки СМИБ руководством организации-клиента.
9.1.4.2 Орган сертификации, желающий использовать подход, основанный на выборке, должен
выполнять процедуры, обеспечивающие следующее:
a) первоначальная проверкадоговора выявляет в максимально возможной степени разницу меж
ду объектами с целью определения адекватного объема выборки;
b
) орган сертификации осуществил выборку представительногочисла объектов с учетом следую
щего:
1) результатов внутренних аудитов главного офиса и объектов;
2) результатов анализа, проведенного руководством;
3) различий в размерах объектов;
7