Professional Documents
Culture Documents
ISO IEC 27006-2015.en - Uk
ISO IEC 27006-2015.en - Uk
com
МІЖНАРОДНИЙ ISO/IEC
СТАНДАРТ 27006
Видання третє
2015-10-01
©ISO/IEC 2015
ISO/IEC 27006:2015(E)
Зміст Сторінка
Передмова
Процедури, які використовуються для розробки цього документа, і ті, які призначені для його подальшого
обслуговування, описані в Директивах ISO/IEC, Частина 1. Зокрема, слід звернути увагу на різні критерії
затвердження, необхідні для різних типів документів. Цей документ було складено відповідно до редакційних
правил Директив ISO/IEC, частина 2 (див.www.iso.org/directives ).
Звертається увага на те, що деякі елементи цього документа можуть бути об’єктом патентних
прав. ISO та IEC не несуть відповідальності за ідентифікацію будь-яких або всіх таких патентних
прав. Деталі будь-яких патентних прав, визначених під час розробки документа, будуть у Вступі
та/або в списку ISO отриманих патентних декларацій (див.www.iso.org/patents ).
Будь-яка торгова назва, використана в цьому документі, є інформацією, наданою для зручності
користувачів і не є схваленням.
Щоб отримати пояснення значення спеціальних термінів і виразів ISO, пов’язаних з оцінкою
відповідності, а також інформацію про дотримання ISO принципів СОТ у Технічних бар’єрах у
торгівлі (TBT), перегляньте таку URL-адресу:Передмова - Додаткова інформація
Це третє видання скасовує та замінює друге видання (ISO/IEC 27006:2011), яке було технічно
переглянуте.
вступ
ISO/IEC 17021-1 встановлює критерії для органів, що проводять аудит та сертифікацію систем управління.
Якщо такі органи мають бути акредитовані як такі, що відповідають стандарту ISO/IEC 17021-1, з метою
аудиту та сертифікації систем управління інформаційною безпекою (ISMS) відповідно до ISO/IEC 27001:2013,
деякі додаткові вимоги та настанови до ISO/IEC 17021 -1 необхідні. Вони передбачені цим міжнародним
стандартом.
Текст у цьому міжнародному стандарті відповідає структурі ISO/IEC 17021-1, а додаткові специфічні
вимоги СУІБ та настанови щодо застосування ISO/IEC 17021-1 для сертифікації СУІБ позначаються
літерами «IS».
Термін «повинен» використовується в цьому міжнародному стандарті для позначення тих положень, які,
відображаючи вимоги ISO/IEC 17021-1 та ISO/IEC 27001, є обов’язковими. Термін «слід» використовується для
позначення рекомендації.
Основною метою цього міжнародного стандарту є надання можливості органам з акредитації ефективніше
гармонізувати застосування стандартів, за якими вони зобов’язані оцінювати органи з сертифікації.
1 Область застосування
Цей міжнародний стандарт встановлює вимоги та надає вказівки для органів, що здійснюють аудит та
сертифікацію системи управління інформаційною безпекою (СУІБ), на додаток до вимог, що містяться в
ISO/IEC 17021-1 та ISO/IEC 27001. Він, перш за все, призначений для підтримки акредитація органів
сертифікації, що здійснюють сертифікацію СУІБ.
ПРИМІТКА Цей міжнародний стандарт можна використовувати як критеріальний документ для акредитації, експертного оцінювання або
інші процеси аудиту.
2 Нормативні посилання
Наступні документи, повністю або частково, є нормативними посиланнями в цьому документі та є необхідними для
його застосування. Для датованих посилань застосовується лише цитоване видання. Для недатованих посилань
застосовується останнє видання посилання на документ (включаючи будь-які поправки).
3 Терміни та визначення
Для цілей цього документу застосовуються терміни та визначення, наведені в ISO/IEC 17021-1, ISO/IEC
27000 та наступне.
3.1
сертифікаційні документи
документи, які вказують на те, що СУІБ клієнта відповідає визначеним стандартам СУІБ, а також будь-яка додаткова
документація, яка вимагається системою
4 Принципи
Застосовуються принципи ISO/IEC 17021-1, 4.
5 Загальні вимоги
Застосовуються вимоги ISO/IEC 17021-1, 5.2. Крім того, застосовуються наступні вимоги та
вказівки.
a) організація та участь в якості лектора в навчальних курсах, за умови, що, якщо ці курси стосуються
управління інформаційною безпекою, відповідних систем управління або аудиту, органи
сертифікації обмежуються наданням загальнодоступної загальнодоступної загальної інформації та
порад, тобто вони не повинен надавати рекомендації щодо конкретної компанії, які суперечать
вимогам b) нижче;
c) дії перед аудитом, спрямовані виключно на визначення готовності до сертифікаційного аудиту; однак така
діяльність не повинна призводити до надання рекомендацій чи порад, які б суперечили цьому пункту, і
орган сертифікації повинен мати можливість підтвердити, що така діяльність не суперечить цим
вимогам і що вона не використовується для виправдання скорочення можливої сертифікації.
тривалість аудиту;
d) проведення аудитів другою та третьою сторонами відповідно до стандартів або правил, крім тих, що
входять до сфери акредитації;
e) додавання цінності під час сертифікаційних аудитів та наглядових візитів, наприклад, шляхом виявлення можливостей
для покращення, оскільки вони стають очевидними під час аудиту, без рекомендації конкретних рішень.
Орган сертифікації не повинен надавати внутрішні перевірки інформаційної безпеки СУІБ клієнта, що
підлягає сертифікації. Крім того, орган сертифікації повинен бути незалежним від органу або органів
(включаючи будь-яких осіб), які забезпечують внутрішній аудит СУІБ.
6 Конструктивні вимоги
Застосовуються вимоги ISO/IEC 17021-1, 6.
7 Вимоги до ресурсів
Застосовуються вимоги ISO/IEC 17021-1, 7.1. Крім того, застосовуються наступні вимоги та
вказівки.
Орган сертифікації повинен переконатися, що він володіє знаннями про технологічні, правові та
нормативні розробки, що стосуються СУІБ клієнта, яку він оцінює.
Орган сертифікації повинен визначити вимоги до компетентності для кожної функції сертифікації,
як зазначено в таблиці А.1 ISO/IEC 17021-1. Орган сертифікації повинен враховувати всі вимоги,
визначені в ISO/IEC 17021-1 та7.1.2 і7.2.1 цього міжнародного стандарту, які мають відношення до
технічних областей СУІБ, визначених органом сертифікації.
ПРИМІТКА Додаток А містить стислий виклад вимог до компетенції персоналу, залученого до конкретного
функції сертифікації.
Орган сертифікації повинен мати критерії для перевірки базового досвіду, спеціального навчання або інструктажу
членів аудиторської групи, які гарантують принаймні:
ПРИМІТКА Додаткову інформацію про принципи аудиту можна знайти в ISO 19011.
Наведені вище вимоги від a) до e) застосовуються до всіх аудиторів, які є частиною аудиторської групи, за винятком b),
який можна поділити між аудиторами, які є частиною аудиторської групи.
Аудиторська група повинна бути компетентною відстежувати ознаки інцидентів інформаційної безпеки
в СУІБ клієнта до відповідних елементів СУІБ.
Аудиторська група повинна мати відповідний досвід роботи з вищезазначених пунктів і практичного
застосування цих пунктів (це не означає, що аудитору потрібен повний спектр досвіду в усіх сферах
інформаційної безпеки, але аудиторська група в цілому повинна мати достатньо оцінки і досвід для
охоплення сфери СУІБ, що перевіряється).
b) усі засоби керування, що містяться в ISO/IEC 27002 (якщо визначено як необхідне також на основі
галузевих стандартів), та їх впровадження, класифіковане як:
3) кадрова забезпеченість;
4) управління активами;
6) криптографія;
ПРИМІТКА Ці процеси також включають управління людськими ресурсами, внутрішні та зовнішні комунікації
та інші відповідні процеси підтримки.
Крім вимог в7.1.2.1 , керівники аудиторської групи повинні відповідати таким вимогам, які повинні
бути продемонстровані під час аудитів під керівництвом і наглядом:
Персонал, який проводить перевірку заявки для визначення необхідної компетентності аудиторської групи, відбору членів
аудиторської групи та визначення тривалості аудиту, повинен мати знання про:
Персонал, який проводить перевірку заявки для визначення необхідної компетентності аудиторської групи,
відбору членів аудиторської групи та визначення тривалості аудиту, повинен мати знання про:
Персонал, який проводить перевірку заявки для визначення необхідної компетентності аудиторської групи, відбору членів
аудиторської групи та визначення тривалості аудиту, повинен мати знання про:
7.1.2.4 Вимоги до компетентності для перегляду звітів про аудит та прийняття рішень щодо сертифікації
Персонал, який переглядає звіти про аудит і приймає рішення щодо сертифікації, повинен
мати знання, які дозволяють їм перевірити відповідність сфери сертифікації, а також зміни в
області та їхній вплив на ефективність аудиту, зокрема постійну дійсність ідентифікації
інтерфейси та залежності та пов’язані з ними ризики.
Крім того, персонал, який перевіряє звіти про аудит і приймає рішення щодо сертифікації, повинен мати
знання про:
Персонал, який перевіряє звіти про аудит і приймає рішення щодо сертифікації, повинен мати знання про:
Персонал, який перевіряє звіти про аудит і приймає рішення щодо сертифікації, повинен мати знання про:
Персонал, який перевіряє звіти про аудит і приймає рішення щодо сертифікації, повинен мати знання про:
Персонал, який перевіряє звіти про аудит і приймає рішення щодо сертифікації, повинен мати знання про:
Застосовуються вимоги ISO/IEC 17021-1, 7.2. Крім того, застосовуються наступні вимоги та
вказівки.
b) має принаймні чотири роки повного робочого часу практичного досвіду роботи на місці в інформаційних технологіях, з яких
принаймні два роки на посаді або функції, пов’язаної з інформаційною безпекою;
c) успішно пройшов щонайменше п’ять днів навчання, обсяг якого охоплює аудити СУІБ та
управління аудитом;
d) набув досвіду в усьому процесі оцінки інформаційної безпеки до того, як взяти на себе
відповідальність за виконання обов’язків аудитора. Цей досвід слід було отримати шляхом
участі щонайменше в чотирьох сертифікаційних аудитах СУІБ, включаючи повторну
сертифікацію та наглядові аудити, загалом щонайменше 20 днів, з яких не більше 5 днів
можуть припадати на наглядові аудити. Участь повинна включати перегляд документації та
оцінку ризиків, оцінку впровадження та аудиторський звіт;
На додаток до7.1.2.2 і7.2.1.1 , критерії відбору аудитора для керівництва командою повинні гарантувати, що
цей аудитор:
a) брав активну участь у всіх етапах принаймні трьох аудитів СУІБ. Участь включатиме початкове
визначення обсягу та планування, перегляд документації та оцінку ризиків, оцінку впровадження
та офіційне звітування про аудит.
Застосовуються вимоги ISO/IEC 17021-1, 7.3. Крім того, застосовуються наступні вимоги та
вказівки.
7.3.1 ІС 7.3 Використання зовнішніх аудиторів або зовнішніх технічних експертів як частини аудиторської групи
7.5 Аутсорсинг
Застосовуються вимоги ISO/IEC 17021-1, 7.5.
8 Вимоги до інформації
Застосовуються вимоги ISO/IEC 17021-1, 8.2. Крім того, застосовуються наступні вимоги та
вказівки.
ПРИМІТКА Зміна до Заяви про застосовність, яка не змінює охоплення елементів керування в
сфера сертифікації не вимагає оновлення сертифікаційного документа.
Ідентифікація стандарту (стандартів), що використовується для конкретного сектора, також може бути включена в сертифікаційні документи.
8.4 Конфіденційність
Застосовуються вимоги ISO/IEC 17021-1, 8.4. Крім того, застосовуються наступні вимоги та
вказівки.
Перед сертифікаційним аудитом орган сертифікації повинен попросити клієнта повідомити, чи будь-яка
інформація, пов’язана з СУІБ (така як записи СУІБ або інформація про структуру та ефективність засобів контролю),
не може бути доступна для перегляду командою аудиту, оскільки вона містить конфіденційну або конфіденційну
інформацію. . Орган сертифікації повинен визначити, чи можна належним чином перевірити СУІБ за відсутності
такої інформації. Якщо орган сертифікації прийде до висновку, що неможливо провести належний аудит СУІБ без
перегляду ідентифікованої конфіденційної або чутливої інформації, він повинен повідомити клієнта, що
сертифікаційний аудит не може відбутися, доки не будуть надані відповідні заходи доступу.
9 Вимоги до процесу
9.1.1 Заявка
Застосовуються вимоги ISO/IEC 17021-1, 9.1.1. Крім того, застосовуються наступні вимоги та
вказівки.
Орган сертифікації повинен вимагати від клієнта мати задокументовану та впроваджену СУІБ, яка відповідає
стандарту ISO/IEC 27001 та іншим документам, необхідним для сертифікації.
Застосовуються вимоги ISO/IEC 17021-1, 9.1.3. Крім того, застосовуються наступні вимоги та
вказівки.
Програма аудиту для аудитів СУІБ повинна враховувати визначені засоби контролю інформаційної
безпеки.
Процедури органу сертифікації не повинні передбачати певного способу впровадження СУІБ або
певного формату документації та записів. Процедури сертифікації мають бути зосереджені на
встановленні відповідності СУІБ клієнта вимогам, визначеним у ISO/IEC 27001, а також політикам і
цілям клієнта.
Орган сертифікації повинен вимагати від клієнта вжити всіх необхідних заходів для доступу до звітів
внутрішнього аудиту та звітів незалежних перевірок інформаційної безпеки.
Під час етапу 1 сертифікаційного аудиту клієнт повинен надати принаймні таку інформацію:
Орган сертифікації не повинен сертифікувати СУІБ, якщо він не пройшов принаймні один огляд
керівництва та один внутрішній аудит СУІБ, що охоплює сферу сертифікації.
Аудиторська група повинна перевірити СУІБ клієнта, охопленого визначеною сферою, на відповідність усім
застосовним вимогам сертифікації. Орган сертифікації повинен підтвердити в межах СУІБ клієнта, що клієнти
відповідають вимогам, викладеним у ISO/IEC 27001, 4.3.
Органи сертифікації повинні гарантувати, що оцінка ризиків інформаційної безпеки клієнта та лікування
ризиків належним чином відображають його діяльність і поширюються на межі його діяльності, як
визначено в області сертифікації. Органи сертифікації повинні підтвердити, що це відображено в сфері
клієнта їхньої СУІБ та заяві про застосування. Орган сертифікації повинен перевірити наявність принаймні
однієї заяви про застосовність на сферу сертифікації.
Органи сертифікації повинні гарантувати, що інтерфейси з послугами або видами діяльності, які не повністю
входять до сфери застосування СУІБ, розглядаються в СУІБ, що підлягає сертифікації, і включені
в оцінці ризиків інформаційної безпеки клієнта. Прикладом такої ситуації є спільне використання
засобів (наприклад, ІТ-систем, баз даних і телекомунікаційних систем або аутсорсинг бізнес-
функцій) з іншими організаціями.
Критеріями, за якими перевіряється СУІБ клієнта, є стандарт СУІБ ISO/IEC 27001. Інші документи
можуть знадобитися для сертифікації, що стосується виконуваної функції.
Застосовуються вимоги ISO/IEC 17021-1, 9.1.4. Крім того, застосовуються наступні вимоги та
вказівки.
Органи сертифікації повинні надавати аудиторам достатньо часу для виконання всіх дій, пов’язаних з первинним аудитом,
наглядовим аудитом або аудитом повторної сертифікації. Розрахунок загального часу аудиту повинен включати достатній
час для звіту про аудит.
Застосовуються вимоги ISO/IEC 17021-1, 9.1.5. Крім того, застосовуються наступні вимоги та
вказівки.
9.1.5.1.1Якщо клієнт має кілька об’єктів, які відповідають критеріям від a) до c), наведеним нижче, органи сертифікації можуть розглянути
можливість використання підходу на основі вибірки для сертифікаційного аудиту на кількох об’єктах:
a) усі сайти працюють в рамках однієї СУІБ, яка централізовано адмініструється та перевіряється та підлягає
перегляду центрального керівництва;
9.1.5.1.2Орган сертифікації, який бажає використовувати підхід на основі вибірки, повинен мати процедури для
забезпечення наступного:
a) Початковий аналіз контракту визначає, якомога більшою мірою, різницю між сайтами, щоб
визначити адекватний рівень вибірки.
c) репрезентативну вибірку відбирають з усіх сайтів у межах СУІБ клієнта; цей вибір має ґрунтуватися
на оціночному виборі, щоб відобразити фактори, наведені в пункті b) вище, а також випадковий
елемент.
d) Кожен об’єкт, включений до СУІБ, який піддається значним ризикам, перевіряється органом сертифікації
перед сертифікацією.
f) У разі виявлення невідповідності в головному офісі або на одній ділянці, процедура коригувальних
дій застосовується до головного офісу та всіх ділянок, на які поширюється сертифікат.
Аудит стосується діяльності головного офісу клієнта, щоб переконатися, що єдина СУІБ застосовується до всіх сайтів і
забезпечує централізоване управління на операційному рівні. Аудит повинен розглядати всі питання, викладені вище.
Застосовуються вимоги ISO/IEC 17021-1, 9.1.6. Крім того, застосовуються наступні вимоги та
вказівки.
9.1.6.1 IS 9.1.6 Інтеграція документації СУІБ з документацією для інших систем управління
Орган сертифікації може приймати об’єднану документацію (наприклад, щодо інформаційної безпеки, якості,
здоров’я та безпеки та навколишнього середовища), якщо СУІБ можна чітко ідентифікувати разом із
відповідними інтерфейсами до інших систем.
Аудит СУІБ можна поєднувати з аудитами інших систем управління за умови, що можна
продемонструвати, що аудит задовольняє всі вимоги для сертифікації СУІБ. Усі елементи, важливі
для СУІБ, повинні чітко відображатися та бути легко ідентифікованими у звітах про аудит.
Поєднання аудитів не повинно негативно вплинути на якість аудиту.
Застосовуються вимоги ISO/IEC 17021-1, 9.2.1. Крім того, застосовуються наступні вимоги та
вказівки.
Цілі аудиту повинні включати визначення ефективності системи управління для забезпечення
того, щоб клієнт, на основі оцінки ризику, запровадив відповідні засоби контролю та досяг
встановлених цілей інформаційної безпеки.
Застосовуються вимоги ISO/IEC 17021-1, 9.2.2. Крім того, застосовуються наступні вимоги та
вказівки.
Аудиторська група має бути офіційно призначена та забезпечена відповідними робочими документами.
Повноваження, надані аудиторській групі, повинні бути чітко визначені та доведені до відома клієнта.
Аудиторська група може складатися з однієї особи за умови, що особа відповідає всім критеріям, викладеним у7.1.2.1 .
Під час відбору та управління аудиторською групою, яка буде призначена для конкретного сертифікаційного
аудиту, орган сертифікації повинен переконатися, що компетенції, надані кожному призначенню, є відповідними.
Команда повинна:
a) мати відповідні технічні знання щодо конкретних видів діяльності в межах СУІБ, для яких вимагається
сертифікація, і, якщо це доречно, пов’язаних процедур та їхніх потенційних ризиків для інформаційної
безпеки (технічні експерти можуть виконувати цю функцію);
b) мати достатнє розуміння клієнта для проведення надійного сертифікаційного аудиту його СУІБ,
враховуючи обсяг і контекст СУІБ в організації в управлінні аспектами інформаційної безпеки її
діяльності, продуктів і послуг;
Застосовуються вимоги ISO/IEC 17021-1, 9.2.3. Крім того, застосовуються наступні вимоги та
вказівки.
План аудиту для аудитів СУІБ повинен враховувати визначені засоби контролю інформаційної безпеки.
План аудиту повинен визначити методи аудиту за допомогою мережі, які будуть використані під час аудиту,
якщо це доречно.
Орган сертифікації повинен узгодити з організацією, що підлягає аудиту, час проведення аудиту, який
найкраще демонструватиме повний обсяг діяльності організації. Розгляд може включати сезон, місяць, день/
дати та відповідну зміну.
Застосовуються вимоги ISO/IEC 17021-1, 9.3. Крім того, застосовуються наступні вимоги та
вказівки.
На цьому етапі аудиту орган сертифікації повинен отримати документацію щодо проекту СУІБ, яка охоплює
документацію, яка вимагається в ISO/IEC 27001.
Результати етапу 1 повинні бути задокументовані в письмовому звіті. Орган сертифікації повинен переглянути звіт
про аудит етапу 1 перед тим, як прийняти рішення про продовження етапу 2 і для вибору членів групи аудиту етапу
2 з необхідною компетентністю.
Орган сертифікації повинен поінформувати клієнта про інші типи інформації та записів, які можуть
знадобитися для детальної перевірки під час етапу 2.
9.3.1.2.1На основі висновків, задокументованих у звіті про аудит етапу 1, орган сертифікації
розробляє план аудиту для проведення етапу 2. Окрім оцінки ефективного впровадження
СУІБ, завданнями етапу 2 є:
c) оцінка ризиків, пов’язаних з інформаційною безпекою, і те, що оцінки дають узгоджені, дійсні та
порівнювані результати у разі повторення;
h) програми, процеси, процедури, записи, внутрішні аудити та перевірки ефективності СУІБ для
забезпечення їх відстеження до рішень вищого керівництва та політики та цілей
інформаційної безпеки.
Застосовуються вимоги ISO/IEC 17021-1, 9.4. Крім того, застосовуються наступні вимоги та
вказівки.
a) вимагати від клієнта продемонструвати, що оцінка ризиків, пов’язаних з інформаційною безпекою, є релевантною та
адекватною для функціонування СУІБ у межах сфери застосування СУІБ;
Орган сертифікації також повинен встановити, чи процедури, які використовуються для оцінки ризиків, є обґрунтованими
та належним чином реалізованими.
9.4.3.1На додаток до вимог до звітності в ISO/IEC 17021-1, 9.4.8, аудиторський звіт повинен
містити таку інформацію або посилання на неї:
c) відхилення від плану аудиту (наприклад, більше або менше часу, витраченого на певні заплановані дії);
d) обсяг СУІБ.
9.4.3.2Звіт про аудит повинен бути достатньо детальним, щоб полегшити та підтримати рішення щодо сертифікації. Він
повинен містити:
b) зроблені спостереження, як позитивні (наприклад, варті уваги особливості), так і негативні (наприклад, потенційні
невідповідності);
Заповнені анкети, контрольні списки, спостереження, журнали або примітки аудитора можуть становити
невід’ємну частину аудиторського звіту. У разі використання цих методів ці документи повинні бути подані до
органу сертифікації як докази на підтримку рішення щодо сертифікації. Інформація про зразки, оцінені під час
аудиту, повинна бути включена в звіт про аудит або іншу сертифікаційну документацію.
— рекомендація аудиторської групи щодо того, чи слід сертифікувати СУІБ клієнта чи ні, з
інформацією для підтвердження цієї рекомендації.
Застосовуються вимоги ISO/IEC 17021-1, 9.5. Крім того, застосовуються наступні вимоги та
вказівки.
Крім вимог ISO/IEC 17021-1, рішення щодо сертифікації має ґрунтуватися на рекомендаціях
аудиторської групи щодо сертифікації, як зазначено в їх звіті про сертифікаційний аудит (див.9.4.3 ).
Особи або комітети, які приймають рішення про надання сертифікації, зазвичай не повинні
скасовувати негативну рекомендацію аудиторської групи. Якщо така ситуація виникає, орган
сертифікації повинен задокументувати та обґрунтувати підстави для рішення скасувати рекомендацію.
Сертифікація не повинна надаватися клієнту, доки не буде достатньо доказів, які підтверджують, що
заходи щодо аналізу керівництва та внутрішнього аудиту СУІБ були впроваджені, ефективні та
підтримуватимуться.
Застосовуються вимоги ISO/IEC 17021-1, 9.6.2. Крім того, застосовуються наступні вимоги та
вказівки.
для підтвердження постійної відповідності вимогам сертифікації. Програми наглядового аудиту охоплюють
щонайменше:
b) повідомлення від зовнішніх сторін відповідно до стандарту СУІБ ISO/IEC 27001 та інших документів,
необхідних для сертифікації;
9.6.2.1.2Як мінімум, під час кожного нагляду орган сертифікації перевіряє наступне:
9.6.2.1.3Орган сертифікації повинен мати можливість адаптувати свою програму нагляду до питань інформаційної
безпеки, пов’язаних із ризиками та впливами на клієнта, і обґрунтувати цю програму.
Наглядові аудити можна поєднувати з аудитами інших систем управління. Звітність повинна чітко
вказувати аспекти, що стосуються кожної системи управління.
Під час наглядових аудитів органи сертифікації перевіряють записи апеляцій і скарг, поданих
до органу сертифікації, і, якщо виявлено будь-яку невідповідність або невідповідність
вимогам сертифікації, що клієнт дослідив свою власну СУІБ та процедури та вжив відповідних
коригувальних дій. .
Звіт про нагляд повинен містити, зокрема, інформацію про усунення невідповідностей, виявлених
раніше, а також версію SoA та важливі зміни від попереднього аудиту. Як мінімум, звіти, отримані в
результаті спостереження, повинні складатися так, щоб повністю охоплювати вимоги9.6.2.1.1 і
9.6.2.1.2 вище.
9.6.3 Переатестація
Застосовуються вимоги ISO/IEC 17021-1, 9.6.3. Крім того, застосовуються наступні вимоги та
вказівки.
Час, наданий для здійснення коригувальних дій, повинен відповідати серйозності невідповідності
та пов’язаному з нею ризику інформаційної безпеки.
Застосовуються вимоги ISO/IEC 17021-1, 9.6.4. Крім того, застосовуються наступні вимоги та
вказівки.
Діяльність, необхідна для виконання спеціальних аудитів, підлягає спеціальному положенню, якщо клієнт із
сертифікованою СУІБ вносить значні модифікації у свою систему або якщо відбуваються інші зміни, які можуть вплинути
на основу його сертифікації.
9.7 Апеляції
9.8 Скарги
Застосовуються вимоги ISO/IEC 17021-1, 9.8. Крім того, застосовуються наступні вимоги та
вказівки.
10.1 Опції
Застосовуються вимоги ISO/IEC 17021-1, 10.1. Крім того, застосовуються наступні вимоги та
вказівки.
Додаток А
(інформативно)
A.1 Огляд
Таблиця А.1 надає короткий виклад знань і навичок, необхідних для аудиту та сертифікації
СУІБ, але є інформативним, оскільки визначає лише області знань і навичок для конкретних
функцій сертифікації.
Вимоги до компетентності для кожної функції викладено в основному тексті цього стандарту,
а в цій таблиці наведено посилання на конкретну вимогу.
Є кілька способів, якими аудитори можуть підтвердити свої знання та досвід. Знання та досвід
можна оцінити, наприклад, за допомогою визнаних кваліфікацій. Реєстраційні записи за схемою
сертифікації персоналу також можуть бути використані для оцінки необхідних знань і досвіду.
Необхідний рівень компетенції для аудиторської групи повинен бути встановлений відповідно до
галузі/технологічної сфери організації та складності СУІБ.
Крім вимог в7.1.2 слід враховувати наступне. Аудитори повинні мати знання та розуміння
наступних питань аудиту та СУІБ:
— аудиторський ризик;
— постійне вдосконалення;
- інтелектуальна власність;
- електронна комерція;
— зловживання комп’ютером;
— тестування на проникнення;
Додаток Б
(нормативний)
Час аудиту
B.1 Вступ
Цей додаток містить додаткові вимоги, пов’язані з ISO/IEC 17021-1, 9.1. Цей Додаток містить
мінімальні вимоги та вказівки для органу сертифікації щодо розробки власних процедур для
визначення кількості часу, необхідного для сертифікації обсягів СУІБ клієнта різного розміру
та складності в широкому спектрі діяльності.
Органи сертифікації повинні визначити кількість часу аудиту, який необхідно витратити на первинну сертифікацію,
нагляд і повторну сертифікацію для кожного клієнта та сертифікованої СУІБ. Використання цього Додатку на етапі
планування аудиту призводить до послідовного підходу до визначення належного часу аудиту. Крім того, час
аудиту може бути відкоригований на основі того, що було знайдено під час аудиту, особливо під час етапу 1
(наприклад, інша оцінка складності сфери СУІБ або додаткові сайти в області).
— вимоги до процедур визначення часу аудиту для різних етапів аудиту (B.3 доB.5 );
Приклади розрахунку часу аудиту для ілюстрації застосуванняДодаток Б можна знайти вДодаток С .
Основним припущенням цього підходу є те, що схема розрахунку для визначення часу аудиту повинна:
Визначення часу перевірки ґрунтується на цифрах, наведених уТаблиця Б.1 («Графік аудиту») нижче та
враховувати фактори, що сприяють внесенню змін.
B.2 Концепції
Відправною точкою для визначення часу перевірки є загальна кількість осіб, які виконують роботу під
контролем організації за всі зміни.
ПРИМІТКА Термін «особи, які виконують роботу під контролем організації» позначається як персонал в
ISO/IEC 17021-1.
Особи, які працюють неповний робочий день, які виконують роботу під контролем організації, вносять свій внесок у
кількість осіб, які виконують роботу під контролем організації, пропорційно кількості відпрацьованих годин порівняно з
особою, яка працює повний робочий день під контролем організації. Це визначення залежить від кількості
відпрацьованих годин у порівнянні з працівником, який працює повний робочий день.
«Час аудиту», як зазначено в таблиці, вказується як «аудиторські дні», витрачені на аудит. Основа
розрахункуДодаток Б це 8 годинний робочий день.
B.3.1 Загальний
Якщо орган сертифікації розробляє план аудиту, для якого діяльність з дистанційного аудиту становить
більше 30% запланованого часу аудиту на місці, орган сертифікації повинен обґрунтувати план аудиту та
отримати спеціальне схвалення від органу з акредитації до його впровадження.
ПРИМІТКА Час аудиту на місці стосується часу аудиту на місці, виділеного для окремих сайтів. Електронні аудити
віддалені сайти вважаються дистанційними аудитами, навіть якщо електронні аудити фізично проводяться на
території організації.
Графік часу аудиту, наведений нижче, встановлює початкову точку для середньої кількості днів
початкового аудиту (тут і далі ця кількість охоплює дні для початкового аудиту (Етап 1 і Етап 2)),
яка, як показує досвід, підходить для сфери застосування СУІБ із заданою кількістю осіб, які
виконують роботу під контролем організації. Досвід також показав, що для масштабів СУІБ
подібного розміру деяким знадобиться більше часу, а іншим менше.
Графік часу аудиту, наведений нижче, надає рамки, які слід використовувати для планування аудиту шляхом визначення
початкової точки на основі загальної кількості осіб, які виконують роботу під контролем організації протягом усіх змін, і
коригування цього на основі значущих факторів, що застосовуються до сфери СУІБ для бути перевіреним і приписувати
кожному фактору адитивну або субтрактивну вагу для зміни базової цифри. Цей часовий графік аудиту слід
використовувати, беручи до уваги сприяючі фактори та обмеження щодо максимального відхилення (див.B.3.4 іB.3.5
нижче). Терміни, які використовуються в цій таблиці, пояснюються вB.2 вище іДодаток С наводить приклади того, як це
можна зробити.
Кількість осіб
Час аудиту СУЯ для Час аудиту EMS для Час аудиту СУІБ для
виконання роботи під Додавання та віднімання Всього
первинний аудит первинний аудит первинний аудит
організації чинників час аудиту
(аудиторські дні) (аудиторські дні) (аудиторські дні)
КОНТРОЛЬ
46~65 5 6 10 ПобачитиB.3.4
66~85 6 7 11 ПобачитиB.3.4
86~125 7 8 12 ПобачитиB.3.4
126~175 8 9 13 ПобачитиB.3.4
176~275 9 10 14 ПобачитиB.3.4
276~425 10 11 15 ПобачитиB.3.4
1551~2025 15 17 21 ПобачитиB.3.4
2026~2675 16 18 22 ПобачитиB.3.4
2676~3450 17 19 23 ПобачитиB.3.4
3451~4350 18 20 24 ПобачитиB.3.4
4351~5450 19 21 25 ПобачитиB.3.4
5451~6800 20 23 26 ПобачитиB.3.4
6801~8500 21 25 27 ПобачитиB.3.4
8501~10700 22 27 28 ПобачитиB.3.4
Часовий графік аудиту не повинен використовуватися окремо. Виділений час також повинен
враховувати такі фактори, які стосуються складності СУІБ і, отже, зусиль, необхідних для аудиту СУІБ:
h) для наглядового або повторно-сертифікаційного аудиту: обсяг і ступінь змін, що стосуються СУІБ
відповідно до ISO/IEC 17021-1, 8.5.3.
Додаток С наводить приклади того, як ці різні фактори можна враховувати при розрахунку часу
аудиту.
— складна логістика, що включає більше ніж одну будівлю або місце в межах СУІБ;
— персонал, що розмовляє більш ніж однією мовою (потрібен перекладач(и) або перешкоджає окремим
аудиторам працювати незалежно) або документація надається більш ніж однією мовою;
— діяльність, яка потребує відвідування тимчасових об’єктів для підтвердження діяльності постійних об’єктів,
чия система управління підлягає сертифікації (див. пункт нижче наступного списку);
— високий відсоток осіб, які виконують роботу під контролем організації, виконуючи однакові завдання;
— попереднє знання організації (наприклад, якщо організація вже була сертифікована за іншим
стандартом тим самим органом сертифікації);
— висока готовність клієнта до сертифікації (наприклад, уже сертифікований або визнаний іншою схемою
третьої сторони);
У ситуаціях, коли клієнт сертифікації або сертифікована організація надає свої продукти або
послуги на тимчасових об’єктах, важливо, щоб оцінки таких об’єктів були включені в програми
сертифікаційного аудиту та нагляду.
Зазначені вище фактори повинні бути розглянуті та внесені коригування для тих факторів, які виправдовують більший або
менший час аудиту для ефективного аудиту. Додаткові коефіцієнти можуть бути компенсовані субтрактивними факторами.
У всіх випадках, коли вносяться коригування часу, зазначеного в розкладі аудиту, необхідно зберігати достатні докази та
записи, щоб виправдати зміну.
З метою забезпечення ефективного проведення аудитів і забезпечення надійних і порівнянних результатів час аудиту,
передбачений у часовому графіку аудиту, не повинен бути скорочений більш ніж на 30 %.
Для циклу первинного сертифікаційного аудиту час нагляду для даної організації має бути пропорційним
часу, витраченому на початковий аудит із загальною кількістю часу, витраченого на рік на нагляд.
приблизно 1/3 часу, витраченого на первинний аудит. Запланований час нагляду слід час від часу переглядати,
щоб врахувати зміни, які впливають на час аудиту. Час, витрачений на наглядовий аудит, має бути збільшено, щоб
дозволити аудит змін у СУІБ (наприклад, аудит нових або змінених засобів контролю).
Загальна кількість часу, витраченого на виконання аудиту повторної сертифікації, залежить від результатів будь-
якого попереднього аудиту, як визначено в9.4.3 та ISO/IEC 17021-1, 9.6.3. Кількість часу, витраченого на
ресертифікаційний аудит, має бути пропорційною часу, який був би витрачений на первинний сертифікаційний
аудит тієї самої організації, і має становити принаймні 2/3 часу, необхідного для первинного сертифікаційного
аудиту тієї самої організації. організації під час перевірки для повторної сертифікації.
Кількість аудиторських днів на об’єкт, включаючи центральний офіс, розраховується для кожного об’єкта.
Зменшення можуть бути застосовані для врахування частин аудиту, які не стосуються центрального
офісу або місцевих об’єктів. Причини обґрунтування таких скорочень повинні бути зафіксовані органом
сертифікації.
Додаток С
(інформативно)
Цей Додаток містить додаткові вказівки щодо отримання формули для розрахунку часу аудиту.C.2
наведено приклад класифікації факторів, які можуть бути покладені в основу розрахунку часу аудиту та
C.3 наведено приклад розрахунку часу аудиту.
Таблиця C.1 наводить приклади класифікації основних факторів для розрахунку часу аудиту, як зазначено в
B.3.4 , а) до з). Ця класифікація може бути використана органами сертифікації для виведення схеми
розрахунку часу аудиту відповідно до9.1.4.1 :
Вплив на зусилля
а) складність СУІБ: • Лише мало чутливої або • Вищі вимоги до доступності або • Більший обсяг чутливої або
конфіденційної інформації, низькі деяка конфіденційна інформація конфіденційної інформації (наприклад,
• вимоги до безпеки вимоги до доступності здоров’я, особиста інформація,
інформації страхування, банківська справа) або
[конфіденційність, цілісність • Невелика кількість критичних активів (з точки зору ЦРУ) • Деякі критичні активи
вимоги щодо високої доступності
і доступність, (CIA)]
• Лише один ключовий бізнес-процес із • 2–3 прості бізнес-процеси з невеликою
• Багато критичних активів
• кількість критичних активів кількома інтерфейсами та кількома бізнес- кількістю інтерфейсів і кількома задіяними
підрозділами бізнес-підрозділами • Більше 2 складних процесів із
• кількість процесів і багатьма задіяними інтерфейсами та
послуг бізнес-підрозділами
b) тип (типи) діяльності, • Бізнес з низьким рівнем ризику без • Високі нормативні вимоги • Бізнес з високим рівнем ризику з (лише)
що виконується в межах нормативних вимог обмеженими нормативними вимогами
СУІБ
c) попередньо продемонстрована • Нещодавно сертифікований • Недавній наглядовий аудит • Без сертифікації та останніх аудитів
продуктивність СУІБ
• Не сертифікована, але СУІБ повністю • Не сертифікована, але частково • СУІБ є новою та не повністю встановленою
впроваджена протягом кількох циклів впроваджена СУІБ: деякі інструменти (наприклад, відсутність специфічних
аудиту та вдосконалення, включаючи системи управління доступні та механізмів контролю в системі управління,
задокументовані внутрішні аудити, впроваджені; деякі процеси незрілі процеси постійного вдосконалення,
перевірки керівництва та ефективну постійного вдосконалення існують, виконання ad hoc процесу)
систему постійного вдосконалення але частково задокументовані
d) обсяг і різноманітність • Високостандартизоване середовище • Стандартизовані, але різноманітні ІТ- • Висока різноманітність або складність ІТ
технологій, що з низьким розмаїттям (мало IT- платформи, сервери, операційні системи, (наприклад, багато різних сегментів
використовуються для платформ, серверів, операційних бази даних, мережі мереж, типів серверів або баз даних,
впровадження різних систем, баз даних, мереж тощо) кількість ключових програм)
компонентів СУІБ (наприклад,
кількість різних ІТ-платформ,
кількість відокремлених мереж)
e) обсяг аутсорсингу та • Відсутність аутсорсингу та невелика залежність • Кілька частково керованих домовленостей • Висока залежність від аутсорсингу або
угод третьої сторони, що від постачальників, або про аутсорсинг постачальників, які мають великий вплив
використовуються в на важливу бізнес-діяльність, або
• Чітко визначені, керовані та контрольовані
рамках СУІБ
домовленості про аутсорсинг • Невідома кількість або обсяг
аутсорсингу, або
• Аутсорсер має сертифіковану СУІБ
• Кілька домовленостей про
• Доступні відповідні незалежні звіти про
некерований аутсорсинг
надання впевненості
Таблиця C.1(продовження)
Вплив на зусилля
f) ступінь розвитку • Відсутність внутрішньої розробки системи • Використання стандартизованих • Велика внутрішня діяльність з розробки
інформаційної системи програмних платформ зі складною програмного забезпечення з кількома
• Використання стандартизованих програмних
конфігурацією/параметризацією поточними проектами для важливих
платформ
бізнес-цілей
• (Високо) індивідуальне програмне забезпечення
• Кілька ЦОД
h) для наглядового або • Жодних змін з часу останнього • Незначні зміни в межах або SoA СУІБ, • Значні зміни в масштабі або SoA
повторно-сертифікаційного ресертифікаційного аудиту наприклад, деякі політики, документи СУІБ, наприклад, нові процеси, нові
аудиту: обсяг і ступінь змін, що тощо. бізнес-підрозділи, сфери, методологія
стосуються СУІБ відповідно до управління оцінкою ризиків, політики,
• Незначні зміни у факторах, наведених вище
ISO/IEC 17021-1, 8.5.3 документація, лікування ризиків
Крок 1: Визначення факторів, пов’язаних з бізнесом та організацією (окрім ІТ): визначте відповідну
оцінку для кожної з категорій, наведених уТаблиця С.2 і підбити підсумки.
Крок 2: Визначення факторів, пов’язаних з ІТ-середовищем: визначте відповідну оцінку для кожної з
категорій, наведених уТаблиця C.3 і підбити підсумки.
Крок 3: на основі результатів кроків 1 і 2 вище визначте вплив факторів на час аудиту,
вибравши відповідний запис уТаблиця C.4 .
Крок 4: остаточний розрахунок: кількість днів, визначена за допомогою графіка перевірки часу (Таблиця Б.1 )
множиться на коефіцієнт, отриманий на етапі 3. Якщо використовується вибірка з кількох об’єктів, обчислені дні
аудиту збільшуються на основі зусиль, необхідних для виконання плану відбору проб з кількох об’єктів.
Категорія Оцінка
Тип(и) діяльності та нормативні вимоги 2. Організація має клієнтів у критичних секторах бізнесуa
a Критичні сектори бізнесу – це сектори, які можуть вплинути на критичні державні послуги, що спричинить ризик здоров’ю, безпеці,
економіці, іміджу та здатності уряду функціонувати, що може мати дуже великий негативний вплив на країну.
Таблиця С.2(продовження)
Категорія Оцінка
a Критичні сектори бізнесу – це сектори, які можуть вплинути на критичні державні послуги, що спричинить ризик здоров’ю, безпеці,
економіці, іміджу та здатності уряду функціонувати, що може мати дуже великий негативний вплив на країну.
Категорія Оцінка
1. Кілька або дуже стандартизовані ІТ-платформи, сервери, операційні системи, бази даних,
мережі тощо.
Складність ІТ-інфраструктури
2. Кілька різних ІТ-платформ, серверів, операційних систем, баз даних, мереж
2. Певна залежність від аутсорсингу або постачальників, що стосується деяких, але не всіх
Залежність від аутсорсингу та постачальників, включаючи
важливі ділові заходи
хмарні сервіси
3. Висока залежність від аутсорсингу або постачальників, великий вплив на важливі бізнес-
ність діяльності
ІТ складність
+5% + 10 % + 20 %
до до до
Високий
(від 7 до 9)
+ 20 % + 50 % + 100 %
-5% + 10 %
Складність бізнесу Середній (від 5 до 6) до 0% до
− 10 % + 50 %
- 10 % -5% +5%
Низький (від 3 до 4) до до до
− 30 % − 10 % + 20 %
ПРИКЛАД 1 В організації, яка підлягає перевірці, працює 700 співробітників, відповідноТаблиця Б.1 , 17,5 днів є
необхідні для первинного аудиту. Організація не працює в критично важливому бізнес-секторі, має високостандартизовані
та повторювані завдання та щойно встановила СУІБ. Відповідно доТаблиця С.2 це дасть коефіцієнт, пов’язаний з бізнесом
та організацією, 1+1+3 = 5. Організація має дуже мало ІТ-платформ і баз даних, але широко використовує аутсорсинг.
Немає жодного розвитку всередині організації або стороннього підряду. Відповідно доТаблиця C.3 це дасть коефіцієнт,
пов’язаний з ІТ-середовищем, 1+3+1 = 5. ВикористанняТаблиця C.4 це не призведе до коригування часу аудиту.
ПРИКЛАД 2 Така сама організація, як і в попередньому прикладі, за винятком кількох систем управління
вже на місці, і СУІБ вже добре налагоджена. Це змінило б розрахунок відповідно до Таблиця С.2 до
1+1+1 = 3. ЗгідноТаблиця C.4 це призвело б до скорочення часу аудиту на 5–10 %, тобто час аудиту було
б скорочено на 1 день–1,5 дня, що дало б загалом 16–16,5 днів.
Додаток D
(інформативно)
D.1 Мета
Впровадження заходів контролю, які були визначені клієнтом як необхідні для СУІБ (відповідно до Заяви про
застосовність), має бути переглянуто під час етапу 2 первинного аудиту та під час нагляду або діяльності з
повторної сертифікації [див.9.3.1.2.2 g)].
Докази аудиту, які збирає орган сертифікації, повинні бути достатніми, щоб зробити висновок щодо
ефективності засобів контролю. Те, як очікується дія елемента керування, може, наприклад, бути визначено
в процедурах або політиках клієнта.
Найкраща якість аудиторських доказів збирається під час спостереження аудитора (наприклад, що замкнені двері
замкнені, люди підписують угоди про конфіденційність, реєстр активів існує та містить спостережувані активи,
налаштування системи адекватні тощо). Докази можна зібрати, переглянувши результати виконання контролю
(наприклад, роздруківки прав доступу, наданих людям, підписані відповідним уповноваженим службовцем, записи
про вирішення інцидентів, повноваження на обробку, підписані належним уповноваженим службовцем,
протоколи керівництва (або інші) зустрічі тощо). Докази можуть бути результатом прямого тестування (або
повторного виконання) засобів контролю аудитором, наприклад, спроби виконати завдання, які, як стверджується,
заборонені засобами контролю, визначення того, чи програмне забезпечення для захисту від шкідливого коду
встановлено та оновлено на машинах, надані права доступу (після перевірки владою) тощо. Докази можна зібрати
шляхом опитування осіб, які виконують роботу під контролем організації/підрядників, щодо процесів і засобів
контролю та визначення того, чи це фактично правильно.
D.2.1 Загальний
Таблиця D.1 надає вказівки щодо перегляду впровадження заходів контролю, перелічених у ISO/IEC
27001:2013, Додаток А, та збору доказів аудиту щодо їх ефективності під час початкового аудиту та наступних
аудитів. Таблиця не призначена для надання вказівок щодо перегляду засобів контролю, крім тих, що
наведені в ISO/IEC 27001:2013, додаток A.
«X» у відповідному стовпчику вказує, чи є контроль організаційним чи технічним. Оскільки деякі засоби контролю є
організаційними та технічними, записи можуть бути в обох стовпцях для таких елементів керування.
Докази виконання організаційного контролю можуть бути зібрані шляхом перегляду записів
виконання контролю, інтерв’ю, спостереження та фізичного огляду. Докази ефективності технічного
контролю часто можна зібрати шляхом тестування системи (див. нижче) або за допомогою спеціальних
інструментів аудиту/звітності.
«Тестування системи» означає прямий аналіз інформаційних систем (наприклад, перегляд налаштувань або
конфігурації системи). На запитання аудитора можна відповісти на консолі системи або шляхом оцінки
результати тестування засобів. Якщо клієнт використовує комп’ютерний інструмент, який відомий аудитору, він
може бути використаний для підтримки аудиту, або можна переглянути результати оцінки, виконаної клієнтом (або
його субпідрядниками).
— «можливо»: тестування системи можливе для оцінки впровадження контролю, але може не бути
необхідним під час аудиту СУІБ;
ПРИМІТКА У цьому Додатку «система» означає «інформаційну систему», якщо не вказано інше.
«Візуальний огляд» означає, що ці засоби контролю зазвичай вимагають візуального огляду на місці
для оцінки їх ефективності. Це означає, що недостатньо переглядати відповідну документацію на
папері чи через співбесіди; аудитор повинен перевірити контроль на місці, де він реалізується.
Стовпець «Рекомендації щодо перевірки аудиту» містить можливі напрямки уваги для оцінки контролю, як
подальше керівництво для аудитора.
Засоби керування в ISO/IEC 27001:2013, додаток A Організаційні технічний система Візуальний Керівництво з аудиту
КОНТРОЛЬ КОНТРОЛЬ тестування огляд
A.5 Політика інформаційної безпеки
A.7.1 До працевлаштування
A.7.1.1 Скринінг X
A.7.1.2 Умови працевлаштування X
Таблиця D.1(продовження)
Засоби керування в ISO/IEC 27001:2013, додаток A Організаційні технічний система Візуальний Керівництво з аудиту
КОНТРОЛЬ КОНТРОЛЬ тестування огляд
A.7.2.2 Поінформованість про інформаційну X Запитайте персонал, чи знають
безпеку, освіта та навчання вони про конкретні речі, про які їм
слід знати
A.9.2.2 Надання доступу користувача X X можливо Зразок осіб, які виконують роботу
під контролем організації/
підрядників, мають авторизувати
всі права доступу до всіх систем
Таблиця D.1(продовження)
Засоби керування в ISO/IEC 27001:2013, додаток A Організаційні технічний система Візуальний Керівництво з аудиту
КОНТРОЛЬ КОНТРОЛЬ тестування огляд
A.9.4.1 Обмеження доступу до інформації X X рекомендований
A.10 Криптографія
A.11.2.7 Безпечна утилізація або повторне використання X X можливо X Стирання диска, шифрування диска
обладнання
Таблиця D.1(продовження)
Засоби керування в ISO/IEC 27001:2013, додаток A Організаційні технічний система Візуальний Керівництво з аудиту
КОНТРОЛЬ КОНТРОЛЬ тестування огляд
A.12.3.1 Резервне копіювання інформації X X рекомендований Політика перевірки, тести відновлення
A.13.1.2 Безпека мережевих послуг X X рекомендований Угоди про рівень обслуговування, забезпечення
інформаційної безпеки мережевих послуг
(наприклад, VPN, керування мережевою
маршрутизацією та підключенням, конфігурація
мережевих пристроїв)
Таблиця D.1(продовження)
Засоби керування в ISO/IEC 27001:2013, додаток A Організаційні технічний система Візуальний Керівництво з аудиту
КОНТРОЛЬ КОНТРОЛЬ тестування огляд
A.14.2.2 Процедури контролю системних змін X X рекомендований
Таблиця D.1(продовження)
Засоби керування в ISO/IEC 27001:2013, додаток A Організаційні технічний система Візуальний Керівництво з аудиту
КОНТРОЛЬ КОНТРОЛЬ тестування огляд
A.17.1.3 Перевірити, переглянути та оцінити X
безперервність інформаційної безпеки
A.17.2 Надлишки
Бібліографія
[2] ISO/IEC 27007,Інформаційні технології. Методи безпеки. Настанови щодо аудиту систем
управління інформаційною безпекою
ICS 35.040
Ціна з розрахунку на 35 сторінок