ГОСТ Р ИСО/МЭК 27006—2008
9.2.4 ИБ 9.2.4 Информация для разрошения первоначальной сертификации
Для принятия решения о сертификацииорган сертификациидолжен затребовать подробныеотче
ты. предоставляющие достаточную информацию для принятия этого решения. На разных этапах про
цесса сертификационного аудита органу сертификации требуются отчеты аудиторских групп. В
сочетании с информацией, хранящейся в файле, эти отчеты должны содержать, по крайней мере,
информацию, требуемую в ИБ 9.1.6.
9.2.5 ИБ 9.2.5 Решение о сертификации
Субъект, который может быть физическим лицом, принимающий решение о разрешении/отмене
сертификации в рамках органа сертификации, должен обладать достаточным уровнем знаний и опыта
во всех областях для оценки процедур аудита и рекомендаций аудиторской группы.
Решение о сертификации СМИБ организации-клиента должно приниматься органом сертифика
ции на основе информации, собранной в процессе сертификации, и любой другой информации, относя
щейся к делу. Лица, принимающие решение о сертификации, не должны участвовать в аудите. Это
решение должно основываться на полученных данных и рекомендациях по сертификации аудиторской
группы, представленных в ее отчете о результатахсертификационногоаудита(см. ИБ 9.1.6). ина любой
другой релевантной информации, доступной органу сертификации.
Субъекту, принимающему решение о разрешении сертификации, обычно не следует опровергать
отрицательную рекомендацию аудиторской группы. В подобной ситуации орган сертификации должен
официально оформить и дать основание для решения об опровержении рекомендации.
По вопросу вынесения решения о сертификации в ИСО/МЭК 17021:2006 не упоминается о кон
кретном периоде времени, в течение которого должны происходить, по меньшей мере, один полный
внутренний аудит СМИБ и одна проверка менеджмента организации-клиента. Этот период может уста
навливаться органом сертификации. Независимо от того, принял ли орган сертификации решение об
определении минимальной периодичности аудитов, им должны быть предприняты меры для обеспече
ния результативности анализа со стороны руководства организации-клиента и процессов внутреннего
аудита СМИБ организации-клиента.
Сертификация не должна быть разрешена организации-клиенту до тех пор. пока не будет убеди
тельного свидетельства, что мероприятия по анализу менеджмента и внутренним аудитам СМИБ были
реализованы, являются эффективными и будут поддерживаться.
9.3 Деятельность по надзору
Применяются требования ИСО/МЭК 17021:2006. пункт 9.3. Кроме того, применяются следующие,
специфические для СМИБ, требования и положения.
9.3.1 ИБ 9.3 Аудиты надзора
9.3.1.1 Процедуры аудита надзора должны согласовываться с процедурами, относящимися ксер
тификационному аудиту СМИБ организации-клиента, как определено в настоящем стандарте.
Целью надзора является подтверждение продолжения реализации утвержденной СМИБ. рас
смотрение предпосылокдля изменений в этой системе, инициированных в результате изменений в ра
боте организации-клиента, и подтверждение постоянного соответствия требованиям сертификации.
Программы надзора обычно должны включать:
a) элементы поддержки функционирования системы, которыми являются внутренний аудит
СМИБ. анализ со стороны руководства, а также предупредительные и корректирующие действия:
b
) информацию, поступающую от внешних сторон, какэто требуется стандартом ИСО/МЭК 27001
и другими документами, необходимыми для сертификации:
c) изменения в документально оформленной системе;
d) области, подлежащие изменению;
e) элементы, выбранные из ИСО/МЭК 27001;
f) при необходимости другие выбранные области.
9.3.1.2 При надзоре со стороны органа сертификации подлежат анализу, как минимум, следую
щие факторы:
a) результативность СМИБ в отношении достижения целей политики информационной безопас
ности организации-клиента;
b
) функционирование процедур периодической оценки и проверки соответствия правовым и нор
мативным требованиям, связанным с информационной безопасностью;
c) меры, принятые в отношении несоответствий, выявленных во время последнего аудита.
12