ГОСТ Р ИСО/МЭК 27006—2008
4) различий в бизнес-целях объектов;
5) сложности СМИБ;
6) сложности информационных систем в различных объектах;
7) различий в рабочих навыках;
8) различий в предпринятых мерах:
9) потенциального взаимодействия с критическими информационными системами или информа
ционными системами обработки информации ограниченного доступа;
10) любых отличающихся юридических требований;
c) представительный образец выбирается на всех объектах в сфере действия СМИБ организа
ции-клиента: этот выбор должен основываться на субъективном выборе для отражения факторов,
представленных в пункте Ь), а также элемента случайности;
d) каждый включенный в СМИБ объект, который подвергается значительным рискам, проверяет
ся органом сертификации до проведения сертификации;
e) программа надзора, разработанная наоснове вышеизложенных требований, охватываетза со
ответствующий период времени все объекты организации-клиента или объекты, входящие в область
действия сертификации СМИБ;
f) при выявлении несоответствия в главном офисе или в одном из объектов применяются коррек
тирующие действия по отношению к главному офису и всем сертифицируемым объектам.
Аудит, описанный в ИБ 9.1.5, должен учитывать действия главного офиса организации-клиента,
чтобы гарантировать, что единая СМИБ охватывает все объекты (площадки) и обеспечивает централь
ное управление на оперативном уровне. Аудит должен учитывать все вышеописанные требования.
9.1.5 ИБ 9.1.5 Методология аудита
Орган сертификации должен иметь процедуры, позволяющие требовать от организации-клиента
способности продемонстрировать, что внутренние аудиты СМИБ спланированы, а программа и проце
дуры их проведения являются действующими.
Процедуры органа сертификации не должны предполагать особого способа реализации СМИБ
или особого формата для документации и записей. Процедуры сертификации должны концентриро
ваться на установлении того, что СМИБ организации-клиента удовлетворяет требованиям стандарта
ИСО/МЭК 27001, а также политике и целям организации-клиента.
План аудита должен определять методы аудита с применением сетевых технологий, которые бу
дут использоваться при необходимости во время аудита.
П р и м е ч а н и е — Методы аудита с применением сетевых технологий могут включать, например, теле
конференции. Интернет-совещания, интерактивную связь на базе Интернет-технологий и удаленный электронный
доступ к документации СМИБ и>‘или процессам СМИБ. Целью применения этих методов должно быть повышение
эффективности и продуктивности аудита, а также поддержание целостности процесса аудита.
9.1.6 ИБ 9.1.6 Отчет по сертификационному аудиту
9.1.6.1 Орган сертификации можетиспользовать различные процедуры, связанные с составлени
ем отчетов, которые соответствуют его потребностям, но эти процедуры, как минимум, должны обеспе
чить следующее:
a) до того, как аудиторская группа покинет территорию организации-клиента, проводится встреча
аудиторской группы и руководства организации-клиента, в ходе которой аудиторская группа:
1) в письменной или устной форме сообщаето соответствии СМИБ организации-клиента опреде
ленным требованиям сертификации;
2) предоставляет возможность представителям организации-клиента задавать вопросы по пово
ду сделанных выводов и оснований для них;
b
) представляет в орган сертификации отчет о результатах аудита в отношении соответствия
СМИБ организации-клиента всем требованиям сертификации.
9.1.6.2 В отчете о результатах аудита должна быть представлена следующая информация:
a) причина аудита, включая краткое изложение анализа документов;
b
) причина сертификационного аудита по анализу степени риска информационной безопасности
организации-клиента;
c) общее время, затраченное на аудит, и подробное описание времени, затраченного на анализ
документов, оценку анализа рисков, аудит на местах и составление отчетов о результатах аудита:
d) вопросы аудита, основная причина их выбора и примененная методология.
8