ГОСТ Р ИСО/МЭК 27006—2008
9.1.6.3Отчет о результатах аудита, представленный органу сертификации, должен быть доста
точно подробным для упрощения принятия решения о сертификации и его поддержки идолжен содер
жать:
a) области, включенные в аудит (например, требования сертификации и проверенные объекты),
включая значимые контрольные записи и использованные методологии аудита (см. ИБ 9.1.5);
b
) наблюдения как положительного (например, заслуживающие внимания особенности), так и от
рицательного (например, потенциальные несоответствия) характера.
c) подробности выявленных несоответствий, подтвержденные объективными данными, и ссылку
этих несоответствий на соответствующие требования стандарта ИСО/МЭК 27001 по СМИБ или другие
документы, требуемые для сертификации:
d) замечания о соответствии СМИБ организации-клиента требованиям сертификации с четким
заявлением о несоответствии, ссылку на версию Положения о применимости и в случаях, где это умес
тно, любое полезное сравнение с результатами предыдущих сертификационных аудитов организа
ции-клиента.
Составной частью отчета о результатахаудита могут бытьзаполненные опросные листы, перечни
контрольных вопросов, результаты наблюдения, журналы регистрации или замечания аудитора. В слу
чае использования соответствующих методовэтидокументыдолжны подаваться в орган сертификации
в качестве свидетельства для поддержки решения о сертификации. Информацию о выборках, оценен
ных во время аудита, следует включить в отчет о результатах аудита или в другую документацию по
сертификации.
В отчете должна рассматриваться правильность внутренней структуры и процедур, принятых
организацией-клиентом для обеспечения доверия к СМИБ.
В дополнение к требованиям, предъявляемым к составлению отчетов ИСО/МЭК 17021:2006,
пункт 9.1.10, отчет должен содержать:
- степень доверия к внутренним аудитам СМИБ и проверкам со стороны руководства;
- краткое изложение самых важных наблюдений как положительного, так и отрицательного харак
тера. касающихся внедрения и результативности СМИБ;
- рекомендацию аудиторской группы в отношении того, следует ли сертифицировать СМИБ орга
низации-клиента. с информацией для обоснования этой рекомендации.
9.2 Первоначальный аудит и сертификация
Применяются требования ИСО/МЭК 17021:2006. пункт 9.2. Кроме того, применяются следующие,
специфические для СМИБ. требования и положения.
9.2.1 ИБ 9.2.1 Компетентность аудиторской группы
Приведенные ниже требования применяются ксертификационной оценке вдополнение к требова
ниям. перечисленным в пункте 7.2. Для действий по надзору применяются только те требования, кото
рые имеют отношение к запланированной деятельности по надзору.
Ко всей аудиторской группе применяются следующие требования:
а) в каждой из рассмотренных областей, по крайне мере, один член аудиторской группы должен
удовлетворять критериям органа сертификации, чтобы взять на себя ответственность в группе за:
1) руководство группой;
2) системы и процессы менеджмента, применимые в СМИБ;
3) знание законодательных и нормативных требований в отдельной области информационной
безопасности;
4) идентификацию угроз информационной безопасности и тенденций инцидентов;
5) идентификацию уязвимостей организации-клиента и понимание вероятности их использова
ния, влияния, уменьшения и контроля;
б) знание средств контроля СМИБ и их реализации;
7) знание анализа результативности СМИБ и средств контроля:
8) взаимосвязанные и/или соответствующие стандарты СМИБ. лучший практический опыт в про
мышленности. политики и процедур безопасности;
9) знание методов обработки инцидентов и обеспечения непрерывности бизнеса;
10) знание материальных и нематериальных информационных активов и анализ влияния:
11) знание современной технологии, где безопасность может быть уместной или может представ
лять проблему;
12) знание процессов и методов менеджмента рисков;
9