ISO IEC 27006-2015.en - Uk

Translated from English to Ukrainian - www.onlinedoctranslator.
com
МІЖНАРОДНИЙ ISO/IEC
СТАНДАРТ 27006
Видання третє
2015-10-01
Інформаційні технології — Техніка

безпеки — Вимоги до органів, що
здійснюють аудит та сертифікацію
систем управління інформаційною
безпекою
Technologies de l'information — Techniques de sécurité — Exigences pour
les organismes procédant à l'audit et à la certification des systèmes de
management de la sécurité de l'information
Номер для посилань

ISO/IEC 27006:2015(E)
©ISO/IEC 2015
ISO/IEC 27006:2015(E)
ДОКУМЕНТ, ЗАХИЩЕНИЙ АВТОРСЬКИМ ПРАВОМ
© ISO/IEC 2015, опубліковано в Швейцарії

Всі права захищені. Якщо не вказано інше, жодна частина цієї публікації не може бути відтворена чи використана іншим чином у будь-якій
формі чи будь-якими засобами, електронними чи механічними, включаючи фотокопіювання, або розміщення в Інтернеті чи інтранеті без
попереднього письмового дозволу. Дозвіл можна запитати в ISO за адресою, наведеною нижче, або в організації-члені ISO в країні
запитувача.
Офіс авторського права ISO
гл. de Blandonnet 8 • CP 401 CH-1214
Vernier, Женева, Швейцарія Тел. +41 22
749 01 11
Факс +41 22 749 09 47
copyright@iso.org
www.iso.org
ii © ISO/IEC 2015 – Усі права захищено

ISO/IEC 27006:2015(E)
Зміст Сторінка
Передмова................................................. ................................................. ................................................. ................................................. ..................................
v Вступ................................................. ................................................. ................................................. ................................................. ........................vi
1 Область застосування................................................. ................................................. ................................................. ................................................. .........................1
2 Нормативні посилання................................................. ................................................. ................................................. ................................1
3 Терміни та визначення................................................. ................................................. ................................................. .................................1
4 Принципи................................................. ................................................. ................................................. ................................................. .............1
5 Загальні вимоги................................................. ................................................. ................................................. .................................2

5.1 Правові та договірні питання................................................. ................................................. .................................................2
5.2 Управління неупередженістю................................................. ................................................. ................................................. ..2
5.2.1 ІБ 5.2 Конфлікт інтересів................................................. ................................................. .................................2
5.3 Відповідальність та фінансування................................................. ................................................. ................................................. ................2
6 Конструктивні вимоги................................................. ................................................. ................................................. ........................2
7 Вимоги до ресурсів................................................. ................................................. ................................................. .............................2

7.1 Компетентність персоналу................................................. ................................................. ................................................. ........2
7.1.1 IS 7.1.1 Загальні міркування................................................. ................................................. .......................3
7.1.2 IS 7.1.2 Визначення критеріїв компетентності................................................. ..................................3
7.2 Персонал, залучений до діяльності з сертифікації................................................. ................................................. ..6
7.2.1 ІС 7.2 Демонстрація знань і досвіду аудитора................................................. ..6
7.3 Залучення окремих зовнішніх аудиторів і зовнішніх технічних експертів................................................. ........7
7.3.1 ІБ 7.3 Залучення зовнішніх аудиторів або зовнішніх технічних експертів як частину
аудиторська група................................................. ................................................. ................................................. ........................7
7.4 Облік кадрів................................................. ................................................. ................................................. .............................7
7.5 Аутсорсинг................................................. ................................................. ................................................. ..............................................7
8 Вимоги до інформації................................................. ................................................. ................................................. ...................8

8.1 Публічна інформація................................................. ................................................. ................................................. .........................8
8.2 Сертифікаційні документи................................................. ................................................. ................................................. ............8
8.2.1 ІС 8.2 Сертифікаційні документи СУІБ................................................. ................................................. ...........8
8.3 Посилання на сертифікацію та використання знаків................................................. ................................................. ..............8
8.4 Конфіденційність................................................. ................................................. ................................................. ...................................8
8.4.1 ІБ 8.4 Доступ до організаційних записів................................................. ................................................. ....8
8.5 Обмін інформацією між органом сертифікації та його клієнтами................................................. .......8
9 Вимоги до процесу................................................. ................................................. ................................................. .................................8
9.1 Передатестаційна діяльність................................................. ................................................. ................................................. .......8
9.1.1 Заявка................................................. ................................................. ................................................. ......................8
9.1.2 Розгляд заявки................................................. ................................................. ................................................. ...9
9.1.3 Програма аудиту................................................. ................................................. ................................................. ......9
9.1.4 Визначення часу аудиту................................................. ................................................. .......................................10
9.1.5 Відбір зразків на кількох ділянках................................................. ................................................. .................................................10
9.1.6 Кілька систем управління................................................. ................................................. .....................11
9.2 Планування аудитів................................................. ................................................. ................................................. ..............................11
9.2.1 Визначення цілей, обсягу та критеріїв аудиту................................................. .............................11
9.2.2 Вибір аудиторської групи та призначення................................................. ................................................. ..12
9.2.3 План аудиту................................................. ................................................. ................................................. ......................12
9.3 Первинна атестація................................................. ................................................. ................................................. ......................13
9.3.1 ІБ 9.3.1 Початковий сертифікаційний аудит................................................. ................................................. .................13
9.4 Проведення аудитів................................................. ................................................. ................................................. ........................14
9.4.1 IS 9.4 Загальні положення................................................. ................................................. ................................................. .............14
9.4.2 ІБ 9.4 Специфічні елементи аудиту СУІБ................................................. ................................................14
9.4.3 ІС 9.4 Аудиторський звіт................................................. ................................................. ................................................. .14
9.5 Рішення про атестацію................................................. ................................................. ................................................. ................15
9.5.1 ІС 9.5 Сертифікаційне рішення................................................. ................................................. .................................15
© ISO/IEC 2015 – Усі права захищено iii

ISO/IEC 27006:2015(E)
9.6 Підтримка сертифікації................................................. ................................................. ................................................. .......15

9.6.1 Загальні положення................................................. ................................................. ................................................. .................................15
9.6.2 Діяльність зі спостереження................................................. ................................................. ..............................................15
9.6.3 Переатестація................................................. ................................................. ................................................. .........16
9.6.4 Спеціальні аудити................................................. ................................................. ................................................. .............17
9.6.5 Призупинення, скасування або скорочення обсягу сертифікації.......................................17
9.7 Апеляції................................................. ................................................. ................................................. .................................................17
9.8 Скарги................................................. ................................................. ................................................. .........................................17
9.8.1 ІС 9.8 Скарги................................................. ................................................. ................................................. ....17
9.9 Записи клієнтів................................................. ................................................. ................................................. ..................................17
10 Вимоги до системи менеджменту для органів сертифікації................................................. .................................17

10.1 Опції................................................. ................................................. ................................................. .................................................17
10.1.1 ІБ 10.1 Реалізація СУІБ................................................. ................................................. .........................17
10.2 Варіант A: Загальні вимоги до системи управління................................................. ...................................17
10.3 Варіант B: Вимоги до системи менеджменту відповідно до ISO 9001.................................17
Додаток А(інформативно)Знання та навички аудиту та сертифікації СУІБ.................................................18
Додаток Б(нормативний)Час аудиту................................................. ................................................. ................................................. ......................20
Додаток С(інформативно)Методика розрахунку часу аудиту................................................. ................................................. .25
Додаток D(інформативно)Керівництво щодо перегляду впровадженого ISO/IEC 27001:2013,

Додаток А контролює................................................. ................................................. ................................................. ..............................................28
Бібліографія................................................. ................................................. ................................................. ................................................. .....................35
iv © ISO/IEC 2015 – Усі права захищено

ISO/IEC 27006:2015(E)
Передмова
ISO (Міжнародна організація зі стандартизації) та IEC (Міжнародна електротехнічна комісія)

утворюють спеціалізовану систему всесвітньої стандартизації. Національні органи, які є
членами ISO або IEC, беруть участь у розробці міжнародних стандартів через технічні
комітети, створені відповідною організацією для роботи з певними сферами технічної
діяльності. Технічні комітети ISO та IEC співпрацюють у сферах взаємного інтересу. Інші
міжнародні організації, урядові та неурядові, які співпрацюють з ISO та IEC, також беруть
участь у роботі. У сфері інформаційних технологій ISO та IEC створили спільний технічний
комітет ISO/IEC JTC 1.
Процедури, які використовуються для розробки цього документа, і ті, які призначені для його подальшого
обслуговування, описані в Директивах ISO/IEC, Частина 1. Зокрема, слід звернути увагу на різні критерії
затвердження, необхідні для різних типів документів. Цей документ було складено відповідно до редакційних
правил Директив ISO/IEC, частина 2 (див.www.iso.org/directives ).
Звертається увага на те, що деякі елементи цього документа можуть бути об’єктом патентних
прав. ISO та IEC не несуть відповідальності за ідентифікацію будь-яких або всіх таких патентних
прав. Деталі будь-яких патентних прав, визначених під час розробки документа, будуть у Вступі
та/або в списку ISO отриманих патентних декларацій (див.www.iso.org/patents ).
Будь-яка торгова назва, використана в цьому документі, є інформацією, наданою для зручності
користувачів і не є схваленням.
Щоб отримати пояснення значення спеціальних термінів і виразів ISO, пов’язаних з оцінкою
відповідності, а також інформацію про дотримання ISO принципів СОТ у Технічних бар’єрах у
торгівлі (TBT), перегляньте таку URL-адресу:Передмова - Додаткова інформація
Комітет, відповідальний за цей документ, ISO/IEC JTC 1,Інформаційні технології, SC 27,Техніка

ІТ безпеки.
ISO/IEC 27006 був підготовлений Об’єднаним технічним комітетом ISO/IEC JTC 1,Інформаційні технології
, Підкомітет SC 27,Техніка ІТ безпеки.
Це третє видання скасовує та замінює друге видання (ISO/IEC 27006:2011), яке було технічно
переглянуте.
© ISO/IEC 2015 – Усі права захищено v

ISO/IEC 27006:2015(E)
вступ
ISO/IEC 17021-1 встановлює критерії для органів, що проводять аудит та сертифікацію систем управління.
Якщо такі органи мають бути акредитовані як такі, що відповідають стандарту ISO/IEC 17021-1, з метою
аудиту та сертифікації систем управління інформаційною безпекою (ISMS) відповідно до ISO/IEC 27001:2013,
деякі додаткові вимоги та настанови до ISO/IEC 17021 -1 необхідні. Вони передбачені цим міжнародним
стандартом.
Текст у цьому міжнародному стандарті відповідає структурі ISO/IEC 17021-1, а додаткові специфічні
вимоги СУІБ та настанови щодо застосування ISO/IEC 17021-1 для сертифікації СУІБ позначаються
літерами «IS».
Термін «повинен» використовується в цьому міжнародному стандарті для позначення тих положень, які,
відображаючи вимоги ISO/IEC 17021-1 та ISO/IEC 27001, є обов’язковими. Термін «слід» використовується для
позначення рекомендації.
Основною метою цього міжнародного стандарту є надання можливості органам з акредитації ефективніше
гармонізувати застосування стандартів, за якими вони зобов’язані оцінювати органи з сертифікації.
У цьому міжнародному стандарті терміни «система управління» та «система» використовуються як

синоніми. Визначення системи управління можна знайти в ISO 9000:2005. Систему менеджменту,
яка використовується в цьому стандарті, не слід плутати з іншими типами систем, наприклад ІТ-
системами.
vi © ISO/IEC 2015 – Усі права захищено

МІЖНАРОДНИЙ СТАНДАРТ ISO/IEC 27006:2015(E)
Інформаційні технології — Техніка безпеки — Вимоги до

органів, що здійснюють аудит та сертифікацію систем
управління інформаційною безпекою
1 Область застосування
Цей міжнародний стандарт встановлює вимоги та надає вказівки для органів, що здійснюють аудит та
сертифікацію системи управління інформаційною безпекою (СУІБ), на додаток до вимог, що містяться в
ISO/IEC 17021-1 та ISO/IEC 27001. Він, перш за все, призначений для підтримки акредитація органів
сертифікації, що здійснюють сертифікацію СУІБ.
Будь-який орган, що надає сертифікацію СУІБ, повинен продемонструвати компетентність і

надійність вимог, які містяться в цьому міжнародному стандарті, а настанови, що містяться в
цьому міжнародному стандарті, надають додаткове тлумачення цих вимог для будь-якого органу,
що надає сертифікацію СУІБ.
ПРИМІТКА Цей міжнародний стандарт можна використовувати як критеріальний документ для акредитації, експертного оцінювання або
інші процеси аудиту.
2 Нормативні посилання
Наступні документи, повністю або частково, є нормативними посиланнями в цьому документі та є необхідними для
його застосування. Для датованих посилань застосовується лише цитоване видання. Для недатованих посилань
застосовується останнє видання посилання на документ (включаючи будь-які поправки).
ISO/IEC 17021-1:2015,Оцінка відповідності. Вимоги до органів, що здійснюють аудит та

сертифікацію систем управління. Частина 1. Вимоги.
ISO/IEC 27000,Інформаційні технології — Методи безпеки — Системи управління інформаційною

безпекою — Огляд і словник
ISO/IEC 27001:2013,Інформаційні технології — Методи безпеки — Системи управління інформаційною

безпекою — Вимоги
3 Терміни та визначення
Для цілей цього документу застосовуються терміни та визначення, наведені в ISO/IEC 17021-1, ISO/IEC
27000 та наступне.
3.1
сертифікаційні документи
документи, які вказують на те, що СУІБ клієнта відповідає визначеним стандартам СУІБ, а також будь-яка додаткова
документація, яка вимагається системою
4 Принципи
Застосовуються принципи ISO/IEC 17021-1, 4.
© ISO/IEC 2015 – Усі права захищено 1

ISO/IEC 27006:2015(E)
5 Загальні вимоги
5.1 Правові та договірні питання
Застосовуються вимоги ISO/IEC 17021-1, 5.1.
5.2 Управління неупередженістю
Застосовуються вимоги ISO/IEC 17021-1, 5.2. Крім того, застосовуються наступні вимоги та
вказівки.
5.2.1 ІБ 5.2 Конфлікт інтересів
Органи сертифікації можуть виконувати наведені нижче обов’язки, не розглядаючись як консультанти

чи потенційний конфлікт інтересів:
a) організація та участь в якості лектора в навчальних курсах, за умови, що, якщо ці курси стосуються
управління інформаційною безпекою, відповідних систем управління або аудиту, органи
сертифікації обмежуються наданням загальнодоступної загальнодоступної загальної інформації та
порад, тобто вони не повинен надавати рекомендації щодо конкретної компанії, які суперечать
вимогам b) нижче;
b) надання або публікація на запит інформації, що описує інтерпретацію органом сертифікації

вимог стандартів сертифікаційного аудиту (див.9.1.3.6 );
c) дії перед аудитом, спрямовані виключно на визначення готовності до сертифікаційного аудиту; однак така
діяльність не повинна призводити до надання рекомендацій чи порад, які б суперечили цьому пункту, і
орган сертифікації повинен мати можливість підтвердити, що така діяльність не суперечить цим
вимогам і що вона не використовується для виправдання скорочення можливої сертифікації.
тривалість аудиту;
d) проведення аудитів другою та третьою сторонами відповідно до стандартів або правил, крім тих, що
входять до сфери акредитації;
e) додавання цінності під час сертифікаційних аудитів та наглядових візитів, наприклад, шляхом виявлення можливостей
для покращення, оскільки вони стають очевидними під час аудиту, без рекомендації конкретних рішень.
Орган сертифікації не повинен надавати внутрішні перевірки інформаційної безпеки СУІБ клієнта, що
підлягає сертифікації. Крім того, орган сертифікації повинен бути незалежним від органу або органів
(включаючи будь-яких осіб), які забезпечують внутрішній аудит СУІБ.
5.3 Відповідальність та фінансування
6 Конструктивні вимоги
Застосовуються вимоги ISO/IEC 17021-1, 6.
7 Вимоги до ресурсів
7.1 Компетентність персоналу
вказівки.
2 © ISO/IEC 2015 – Усі права захищено

ISO/IEC 27006:2015(E)
7.1.1 IS 7.1.1 Загальні міркування
7.1.1.1 Загальні вимоги до компетентності
Орган сертифікації повинен переконатися, що він володіє знаннями про технологічні, правові та
нормативні розробки, що стосуються СУІБ клієнта, яку він оцінює.
Орган сертифікації повинен визначити вимоги до компетентності для кожної функції сертифікації,
як зазначено в таблиці А.1 ISO/IEC 17021-1. Орган сертифікації повинен враховувати всі вимоги,
визначені в ISO/IEC 17021-1 та7.1.2 і7.2.1 цього міжнародного стандарту, які мають відношення до
технічних областей СУІБ, визначених органом сертифікації.
ПРИМІТКА Додаток А містить стислий виклад вимог до компетенції персоналу, залученого до конкретного
функції сертифікації.
7.1.2 IS 7.1.2 Визначення критеріїв компетентності
7.1.2.1 Вимоги до компетентності для аудиту СУІБ
7.1.2.1.1 Загальні вимоги
Орган сертифікації повинен мати критерії для перевірки базового досвіду, спеціального навчання або інструктажу
членів аудиторської групи, які гарантують принаймні:
а) знання інформаційної безпеки;
b) технічні знання діяльності, що підлягає аудиту;
в) знання систем управління;
г) знання принципів аудиту;
ПРИМІТКА Додаткову інформацію про принципи аудиту можна знайти в ISO 19011.
e) знання моніторингу, вимірювання, аналізу та оцінки СУІБ.
Наведені вище вимоги від a) до e) застосовуються до всіх аудиторів, які є частиною аудиторської групи, за винятком b),
який можна поділити між аудиторами, які є частиною аудиторської групи.
Аудиторська група повинна бути компетентною відстежувати ознаки інцидентів інформаційної безпеки
в СУІБ клієнта до відповідних елементів СУІБ.
Аудиторська група повинна мати відповідний досвід роботи з вищезазначених пунктів і практичного
застосування цих пунктів (це не означає, що аудитору потрібен повний спектр досвіду в усіх сферах
інформаційної безпеки, але аудиторська група в цілому повинна мати достатньо оцінки і досвід для
охоплення сфери СУІБ, що перевіряється).
7.1.2.1.2 Термінологія, принципи, практики та методи управління інформаційною безпекою
Разом усі члени аудиторської групи повинні знати про:
a) специфічні структури документації СУІБ, ієрархія та взаємозв’язки;
b) пов'язані з управлінням інформаційною безпекою інструменти, методи, техніки та їх застосування;
в) оцінка ризиків інформаційної безпеки та управління ризиками;
d) процеси, застосовні до СУІБ;
e) поточна технологія, де інформаційна безпека може бути актуальною або проблемною.

ISO/IEC 27006:2015(E)
Кожен аудитор повинен виконати a), c) і d).
7.1.2.1.3 Стандарти та нормативні документи системи управління інформаційною безпекою
Аудитори, залучені до аудиту СУІБ, повинні мати знання про:
a) усі вимоги, що містяться в ISO/IEC 27001.
Разом усі члени аудиторської групи повинні знати про:
b) усі засоби керування, що містяться в ISO/IEC 27002 (якщо визначено як необхідне також на основі
галузевих стандартів), та їх впровадження, класифіковане як:
1) політики інформаційної безпеки;
2) організація інформаційної безпеки;
3) кадрова забезпеченість;
4) управління активами;
5) контроль доступу, включаючи авторизацію;
6) криптографія;
7) фізична та екологічна безпека;
8) безпека операцій, у тому числі ІТ-сервісів;
9) безпека зв’язку, включаючи управління безпекою мережі та передачу інформації;
10) придбання, розвиток та супровід системи;
11) взаємовідносини з постачальниками, включаючи надання аутсорсингових послуг;
12) управління інцидентами інформаційної безпеки;
13) аспекти інформаційної безпеки управління безперервністю бізнесу, включаючи резервування;
14) відповідність, у тому числі перевірки інформаційної безпеки.
7.1.2.1.4 Практики управління бізнесом
a) належні практики галузевої інформаційної безпеки та процедури інформаційної безпеки;
b) політики та бізнес-вимоги щодо інформаційної безпеки;
c) загальні концепції управління бізнесом, практики та взаємозв'язок між політикою, цілями

та результатами;
d) процеси управління та відповідна термінологія.
ПРИМІТКА Ці процеси також включають управління людськими ресурсами, внутрішні та зовнішні комунікації
та інші відповідні процеси підтримки.
7.1.2.1.5 Клієнтський бізнес-сектор
a) законодавчі та нормативні вимоги в конкретній галузі інформаційної безпеки, географії та

юрисдикції(ях);

ISO/IEC 27006:2015(E)
ПРИМІТКА Знання законодавчих та нормативних вимог не передбачає глибокої юридичної підготовки.
б) ризики інформаційної безпеки, пов'язані з бізнес-сектором;
c) загальну термінологію, процеси та технології, пов'язані з бізнес-сектором клієнта;
d) відповідні практики ділового сектора.
Критерії a) можуть бути спільними для групи аудиторів.
7.1.2.1.6 Продукти, процеси та організація клієнта
Разом аудитори, залучені до аудиту СУІБ, повинні мати знання про:
a) вплив типу організації, розміру, управління, структури, функцій і відносин на розробку та

впровадження СУІБ і сертифікаційну діяльність, включаючи аутсорсинг;
б) складні операції в широкій перспективі;
c) правові та нормативні вимоги, що застосовуються до продукту чи послуги.
7.1.2.2 Вимоги до компетентності для керівництва групою аудиту СУІБ
Крім вимог в7.1.2.1 , керівники аудиторської групи повинні відповідати таким вимогам, які повинні
бути продемонстровані під час аудитів під керівництвом і наглядом:
a) знання та навички управління процесом сертифікаційного аудиту та командою з аудиту;
b) демонстрація здатності до ефективного спілкування, як усно, так і письмово.
7.1.2.3 Вимоги до компетентності для проведення розгляду заявки
Персонал, який проводить перевірку заявки для визначення необхідної компетентності аудиторської групи, відбору членів
аудиторської групи та визначення тривалості аудиту, повинен мати знання про:
a) відповідні стандарти СУІБ та інші нормативні документи, що використовуються в процесі сертифікації.
Персонал, який проводить перевірку заявки для визначення необхідної компетентності аудиторської групи,
відбору членів аудиторської групи та визначення тривалості аудиту, повинен мати знання про:
a) загальну термінологію, процеси, технології та ризики, пов’язані з бізнес-сектором клієнта.
Персонал, який проводить перевірку заявки для визначення необхідної компетентності аудиторської групи, відбору членів
аудиторської групи та визначення тривалості аудиту, повинен мати знання про:
a) клієнтські продукти, процеси, типи організацій, розмір, управління, структуру, функції та

відносини щодо розробки та впровадження СУІБ та діяльності з сертифікації, включаючи
функції аутсорсингу.

ISO/IEC 27006:2015(E)
7.1.2.4 Вимоги до компетентності для перегляду звітів про аудит та прийняття рішень щодо сертифікації
7.1.2.4.1 Загальні положення
Персонал, який переглядає звіти про аудит і приймає рішення щодо сертифікації, повинен
мати знання, які дозволяють їм перевірити відповідність сфери сертифікації, а також зміни в
області та їхній вплив на ефективність аудиту, зокрема постійну дійсність ідентифікації
інтерфейси та залежності та пов’язані з ними ризики.
Крім того, персонал, який перевіряє звіти про аудит і приймає рішення щодо сертифікації, повинен мати
знання про:
а) системи менеджменту в цілому;
b) процеси та процедури аудиту;
c) принципи, практики та методи аудиту.
7.1.2.4.2 Термінологія, принципи, практики та методи управління інформаційною безпекою
Персонал, який перевіряє звіти про аудит і приймає рішення щодо сертифікації, повинен мати знання про:
а) предмети, перелічені в7.1.2.1.2 а), в) і г);
b) правові та нормативні вимоги щодо інформаційної безпеки.
a) відповідні стандарти СУІБ та інші нормативні документи, що використовуються в процесі сертифікації.
a) загальна термінологія та ризики, пов’язані з відповідними практиками бізнес-сектору.
a) клієнтські продукти, процеси, типи організації, розмір, управління, структура, функції та

відносини.
7.2 Персонал, залучений до діяльності з сертифікації
вказівки.
7.2.1 ІС 7.2 Демонстрація знань і досвіду аудитора
Орган сертифікації повинен продемонструвати, що аудитори мають знання та досвід через:
a) визнані спеціальні кваліфікації СУІБ;
b) реєстрацію в якості аудитора, якщо це можливо;
c) участь у навчальних курсах СУІБ та отримання відповідних особистих повноважень;
d) актуальні записи про професійний розвиток;

ISO/IEC 27006:2015(E)
e) Аудити СУІБ під наглядом іншого аудитора СУІБ.
7.2.1.1 Вибір аудиторів
На додаток до7.1.2.1 , критерії відбору аудиторів гарантують, що кожен аудитор:
a) має професійну освіту або підготовку до еквівалентного рівня університетської освіти;
b) має принаймні чотири роки повного робочого часу практичного досвіду роботи на місці в інформаційних технологіях, з яких
принаймні два роки на посаді або функції, пов’язаної з інформаційною безпекою;
c) успішно пройшов щонайменше п’ять днів навчання, обсяг якого охоплює аудити СУІБ та
управління аудитом;
d) набув досвіду в усьому процесі оцінки інформаційної безпеки до того, як взяти на себе
відповідальність за виконання обов’язків аудитора. Цей досвід слід було отримати шляхом
участі щонайменше в чотирьох сертифікаційних аудитах СУІБ, включаючи повторну
сертифікацію та наглядові аудити, загалом щонайменше 20 днів, з яких не більше 5 днів
можуть припадати на наглядові аудити. Участь повинна включати перегляд документації та
оцінку ризиків, оцінку впровадження та аудиторський звіт;
e) має відповідний і актуальний досвід;
f) підтримує поточні знання та навички з інформаційної безпеки та аудиту шляхом постійного

професійного розвитку.
Технічні експерти повинні відповідати критеріям a), b) і e).
7.2.1.2 Вибір аудиторів для керівництва групою
На додаток до7.1.2.2 і7.2.1.1 , критерії відбору аудитора для керівництва командою повинні гарантувати, що
цей аудитор:
a) брав активну участь у всіх етапах принаймні трьох аудитів СУІБ. Участь включатиме початкове
визначення обсягу та планування, перегляд документації та оцінку ризиків, оцінку впровадження
та офіційне звітування про аудит.
7.3 Залучення окремих зовнішніх аудиторів і зовнішніх технічних експертів
вказівки.
7.3.1 ІС 7.3 Використання зовнішніх аудиторів або зовнішніх технічних експертів як частини аудиторської групи
Технічні експерти повинні працювати під наглядом аудитора. Мінімальні вимоги до

технічних експертів наведені в7.2.1.1 .
7.4 Облік кадрів

7.5 Аутсорсинг

ISO/IEC 27006:2015(E)
8 Вимоги до інформації
8.1 Публічна інформація
8.2 Сертифікаційні документи
вказівки.
8.2.1 ІС 8.2 Сертифікаційні документи СУІБ
Атестаційні документи підписуються посадовою особою, на яку покладено відповідальні обов'язки.

Версія Заяви про застосовність повинна бути включена до сертифікаційних документів.
ПРИМІТКА Зміна до Заяви про застосовність, яка не змінює охоплення елементів керування в
сфера сертифікації не вимагає оновлення сертифікаційного документа.
Ідентифікація стандарту (стандартів), що використовується для конкретного сектора, також може бути включена в сертифікаційні документи.
8.3 Посилання на сертифікацію та використання знаків
8.4 Конфіденційність
вказівки.
8.4.1 ІБ 8.4 Доступ до організаційних записів
Перед сертифікаційним аудитом орган сертифікації повинен попросити клієнта повідомити, чи будь-яка
інформація, пов’язана з СУІБ (така як записи СУІБ або інформація про структуру та ефективність засобів контролю),
не може бути доступна для перегляду командою аудиту, оскільки вона містить конфіденційну або конфіденційну
інформацію. . Орган сертифікації повинен визначити, чи можна належним чином перевірити СУІБ за відсутності
такої інформації. Якщо орган сертифікації прийде до висновку, що неможливо провести належний аудит СУІБ без
перегляду ідентифікованої конфіденційної або чутливої інформації, він повинен повідомити клієнта, що
сертифікаційний аудит не може відбутися, доки не будуть надані відповідні заходи доступу.
8.5 Обмін інформацією між органом сертифікації та його клієнтами
9 Вимоги до процесу
9.1 Передатестаційна діяльність
9.1.1 Заявка
Застосовуються вимоги ISO/IEC 17021-1, 9.1.1. Крім того, застосовуються наступні вимоги та
вказівки.

ISO/IEC 27006:2015(E)
9.1.1.1 ІБ 9.1.1 Готовність програми
Орган сертифікації повинен вимагати від клієнта мати задокументовану та впроваджену СУІБ, яка відповідає
стандарту ISO/IEC 27001 та іншим документам, необхідним для сертифікації.
9.1.2 Розгляд заявки
Застосовуються вимоги ISO/IEC 17021-1, 9.1.2.
9.1.3 Програма аудиту
вказівки.
9.1.3.1 IS 9.1.3 Загальні положення
Програма аудиту для аудитів СУІБ повинна враховувати визначені засоби контролю інформаційної
безпеки.
9.1.3.2 ІС 9.1.3 Методологія аудиту
Процедури органу сертифікації не повинні передбачати певного способу впровадження СУІБ або
певного формату документації та записів. Процедури сертифікації мають бути зосереджені на
встановленні відповідності СУІБ клієнта вимогам, визначеним у ISO/IEC 27001, а також політикам і
цілям клієнта.
ПРИМІТКА Подальші вказівки щодо аудиту наведені в ISO/IEC 27007.
9.1.3.3 IS 9.1.3 Загальна підготовка до первинного аудиту
Орган сертифікації повинен вимагати від клієнта вжити всіх необхідних заходів для доступу до звітів
внутрішнього аудиту та звітів незалежних перевірок інформаційної безпеки.
Під час етапу 1 сертифікаційного аудиту клієнт повинен надати принаймні таку інформацію:
a) загальну інформацію про СУІБ та діяльність, яку вона охоплює;
b) копію необхідної документації СУІБ, зазначеної в ISO/IEC 27001, і, якщо потрібно,

відповідну документацію.
9.1.3.4 ІС 9.1.3 Періоди перегляду
Орган сертифікації не повинен сертифікувати СУІБ, якщо він не пройшов принаймні один огляд
керівництва та один внутрішній аудит СУІБ, що охоплює сферу сертифікації.
9.1.3.5 IS 9.1.3 Область сертифікації
Аудиторська група повинна перевірити СУІБ клієнта, охопленого визначеною сферою, на відповідність усім
застосовним вимогам сертифікації. Орган сертифікації повинен підтвердити в межах СУІБ клієнта, що клієнти
відповідають вимогам, викладеним у ISO/IEC 27001, 4.3.
Органи сертифікації повинні гарантувати, що оцінка ризиків інформаційної безпеки клієнта та лікування
ризиків належним чином відображають його діяльність і поширюються на межі його діяльності, як
визначено в області сертифікації. Органи сертифікації повинні підтвердити, що це відображено в сфері
клієнта їхньої СУІБ та заяві про застосування. Орган сертифікації повинен перевірити наявність принаймні
однієї заяви про застосовність на сферу сертифікації.
Органи сертифікації повинні гарантувати, що інтерфейси з послугами або видами діяльності, які не повністю
входять до сфери застосування СУІБ, розглядаються в СУІБ, що підлягає сертифікації, і включені

ISO/IEC 27006:2015(E)
в оцінці ризиків інформаційної безпеки клієнта. Прикладом такої ситуації є спільне використання
засобів (наприклад, ІТ-систем, баз даних і телекомунікаційних систем або аутсорсинг бізнес-
функцій) з іншими організаціями.
9.1.3.6 ІС 9.1.3 Критерії сертифікаційного аудиту
Критеріями, за якими перевіряється СУІБ клієнта, є стандарт СУІБ ISO/IEC 27001. Інші документи
можуть знадобитися для сертифікації, що стосується виконуваної функції.
9.1.4 Визначення часу аудиту
вказівки.
9.1.4.1 ІС 9.1.4 Час аудиту
Органи сертифікації повинні надавати аудиторам достатньо часу для виконання всіх дій, пов’язаних з первинним аудитом,
наглядовим аудитом або аудитом повторної сертифікації. Розрахунок загального часу аудиту повинен включати достатній
час для звіту про аудит.
Орган сертифікації повинен використовуватиДодаток Б визначити час аудиту.
ПРИМІТКА Подальші вказівки та приклади розрахунку часу аудиту наведено вДодаток С .
9.1.5 Відбір зразків на кількох ділянках
вказівки.
9.1.5.1 IS 9.1.5 Кілька сайтів
9.1.5.1.1Якщо клієнт має кілька об’єктів, які відповідають критеріям від a) до c), наведеним нижче, органи сертифікації можуть розглянути
можливість використання підходу на основі вибірки для сертифікаційного аудиту на кількох об’єктах:
a) усі сайти працюють в рамках однієї СУІБ, яка централізовано адмініструється та перевіряється та підлягає
перегляду центрального керівництва;
b) усі сайти включено до внутрішньої програми аудиту СУІБ клієнта;
c) усі сайти включено до програми перевірки управління СУІБ клієнта.
9.1.5.1.2Орган сертифікації, який бажає використовувати підхід на основі вибірки, повинен мати процедури для
забезпечення наступного:
a) Початковий аналіз контракту визначає, якомога більшою мірою, різницю між сайтами, щоб
визначити адекватний рівень вибірки.
b) Орган сертифікації відібрав репрезентативну кількість об’єктів, беручи до уваги:
1) результати внутрішніх перевірок головного офісу та ділянок;
2) результати управлінського аналізу;
3) варіації розмірів сайтів;
4) варіації бізнес-цілей сайтів;
5) складність інформаційних систем на різних сайтах;
6) варіації в робочих практиках;

ISO/IEC 27006:2015(E)
7) зміни в проведених заходах;
8) варіації конструкції та роботи засобів керування;
9) потенційна взаємодія з критичними інформаційними системами або інформаційними системами, що обробляють

конфіденційну інформацію;
10) будь-які відмінні правові вимоги;
11) географічні та культурні аспекти;
12) ризикова ситуація ділянок;
13) інциденти інформаційної безпеки на конкретних сайтах.
c) репрезентативну вибірку відбирають з усіх сайтів у межах СУІБ клієнта; цей вибір має ґрунтуватися
на оціночному виборі, щоб відобразити фактори, наведені в пункті b) вище, а також випадковий
елемент.
d) Кожен об’єкт, включений до СУІБ, який піддається значним ризикам, перевіряється органом сертифікації
перед сертифікацією.
e) Програма аудиту була розроблена у світлі вищезазначених вимог і охоплює

репрезентативні зразки сфери сертифікації СУІБ протягом трирічного періоду.
f) У разі виявлення невідповідності в головному офісі або на одній ділянці, процедура коригувальних
дій застосовується до головного офісу та всіх ділянок, на які поширюється сертифікат.
Аудит стосується діяльності головного офісу клієнта, щоб переконатися, що єдина СУІБ застосовується до всіх сайтів і
забезпечує централізоване управління на операційному рівні. Аудит повинен розглядати всі питання, викладені вище.
9.1.6 Кілька систем управління
вказівки.
9.1.6.1 IS 9.1.6 Інтеграція документації СУІБ з документацією для інших систем управління
Орган сертифікації може приймати об’єднану документацію (наприклад, щодо інформаційної безпеки, якості,
здоров’я та безпеки та навколишнього середовища), якщо СУІБ можна чітко ідентифікувати разом із
відповідними інтерфейсами до інших систем.
9.1.6.2 ІС 9.1.6 Поєднання аудитів системи управління
Аудит СУІБ можна поєднувати з аудитами інших систем управління за умови, що можна
продемонструвати, що аудит задовольняє всі вимоги для сертифікації СУІБ. Усі елементи, важливі
для СУІБ, повинні чітко відображатися та бути легко ідентифікованими у звітах про аудит.
Поєднання аудитів не повинно негативно вплинути на якість аудиту.
9.2 Планування аудитів
9.2.1 Визначення цілей, обсягу та критеріїв аудиту
вказівки.

ISO/IEC 27006:2015(E)
9.2.1.1 ІС 9.2.1 Цілі аудиту
Цілі аудиту повинні включати визначення ефективності системи управління для забезпечення
того, щоб клієнт, на основі оцінки ризику, запровадив відповідні засоби контролю та досяг
встановлених цілей інформаційної безпеки.
9.2.2 Вибір аудиторської групи та призначення
вказівки.
9.2.2.1 ІБ 9.2.2 Аудиторська група
Аудиторська група має бути офіційно призначена та забезпечена відповідними робочими документами.
Повноваження, надані аудиторській групі, повинні бути чітко визначені та доведені до відома клієнта.
Аудиторська група може складатися з однієї особи за умови, що особа відповідає всім критеріям, викладеним у7.1.2.1 .
9.2.2.2 ІС 9.2.2 Компетентність аудиторської групи
Вимоги, зазначені в7.1.2 застосувати. Для нагляду та спеціального аудиту застосовуються

лише ті вимоги, які мають відношення до запланованого нагляду та спеціального аудиту.
Під час відбору та управління аудиторською групою, яка буде призначена для конкретного сертифікаційного
аудиту, орган сертифікації повинен переконатися, що компетенції, надані кожному призначенню, є відповідними.
Команда повинна:
a) мати відповідні технічні знання щодо конкретних видів діяльності в межах СУІБ, для яких вимагається
сертифікація, і, якщо це доречно, пов’язаних процедур та їхніх потенційних ризиків для інформаційної
безпеки (технічні експерти можуть виконувати цю функцію);
b) мати достатнє розуміння клієнта для проведення надійного сертифікаційного аудиту його СУІБ,
враховуючи обсяг і контекст СУІБ в організації в управлінні аспектами інформаційної безпеки її
діяльності, продуктів і послуг;
c) мати належне розуміння законодавчих та нормативних вимог, застосовних до СУІБ клієнта.
ПРИМІТКА Відповідне розуміння не передбачає глибокої правової підготовки.
9.2.3 План аудиту
вказівки.
9.2.3.1 IS 9.2.3 Загальні положення
План аудиту для аудитів СУІБ повинен враховувати визначені засоби контролю інформаційної безпеки.
9.2.3.2 IS 9.2.3 Методи аудиту за допомогою мережі
План аудиту повинен визначити методи аудиту за допомогою мережі, які будуть використані під час аудиту,
якщо це доречно.
Методи аудиту за допомогою мережі можуть включати, наприклад, телеконференції, веб-зустрічі,

інтерактивні веб-комунікації та віддалений електронний доступ до документації СУІБ або процесів СУІБ.
Такі методи мають бути зосереджені на підвищенні результативності та ефективності аудиту та
підтримувати цілісність процесу аудиту.

ISO/IEC 27006:2015(E)
9.2.3.3 ІС 9.2.3 Час проведення аудиту
Орган сертифікації повинен узгодити з організацією, що підлягає аудиту, час проведення аудиту, який
найкраще демонструватиме повний обсяг діяльності організації. Розгляд може включати сезон, місяць, день/
дати та відповідну зміну.
9.3 Первинна атестація
вказівки.
9.3.1 ІБ 9.3.1 Початковий сертифікаційний аудит
9.3.1.1 IS 9.3.1.1 Етап 1
На цьому етапі аудиту орган сертифікації повинен отримати документацію щодо проекту СУІБ, яка охоплює
документацію, яка вимагається в ISO/IEC 27001.
Орган сертифікації повинен отримати достатнє розуміння дизайну СУІБ у контексті

організації клієнта, оцінки ризику та обробки (включно з визначеними засобами контролю),
політики та цілей інформаційної безпеки та, зокрема, готовності клієнта до аудиту. . Це
дозволяє планувати етап 2.
Результати етапу 1 повинні бути задокументовані в письмовому звіті. Орган сертифікації повинен переглянути звіт
про аудит етапу 1 перед тим, як прийняти рішення про продовження етапу 2 і для вибору членів групи аудиту етапу
2 з необхідною компетентністю.
Орган сертифікації повинен поінформувати клієнта про інші типи інформації та записів, які можуть
знадобитися для детальної перевірки під час етапу 2.
9.3.1.2 IS 9.3.1.2 Етап 2
9.3.1.2.1На основі висновків, задокументованих у звіті про аудит етапу 1, орган сертифікації
розробляє план аудиту для проведення етапу 2. Окрім оцінки ефективного впровадження
СУІБ, завданнями етапу 2 є:
a) підтвердити, що клієнт дотримується своєї політики, цілей і процедур.
9.3.1.2.2Для цього аудит має бути зосереджений на:
a) лідерство вищого керівництва та відданість політиці інформаційної безпеки та цілям

інформаційної безпеки;
b) вимоги до документації, перелічені в ISO/IEC 27001;
c) оцінка ризиків, пов’язаних з інформаційною безпекою, і те, що оцінки дають узгоджені, дійсні та
порівнювані результати у разі повторення;
d) визначення цілей контролю та контролю на основі оцінки ризиків інформаційної безпеки та

процесів обробки ризиків;
e) продуктивність інформаційної безпеки та ефективність СУІБ, оцінюючи за цілями

f) відповідність між визначеними засобами контролю, Заявою про застосування та результатами

оцінки ризиків інформаційної безпеки та процесом обробки ризиків та політикою та цілями

ISO/IEC 27006:2015(E)
g) здійснення контролю (дивДодаток D ), беручи до уваги зовнішній і внутрішній контекст і

відповідні ризики, моніторинг, вимірювання та аналіз організацією процесів і засобів захисту
інформації, щоб визначити, чи заходи контролю впроваджені та ефективні та відповідають
заявленим цілям безпеки інформації;
h) програми, процеси, процедури, записи, внутрішні аудити та перевірки ефективності СУІБ для
забезпечення їх відстеження до рішень вищого керівництва та політики та цілей
інформаційної безпеки.
9.4 Проведення аудитів
вказівки.
9.4.1 IS 9.4 Загальні положення
Орган сертифікації повинен мати задокументовані процедури для:
a) первинний сертифікаційний аудит СУІБ клієнта відповідно до положень ISO/IEC 17021-1;
b) наглядові та повторні сертифікаційні аудити СУІБ клієнта відповідно до ISO/IEC 17021-1 на

періодичній основі для постійної відповідності відповідним вимогам і для перевірки та реєстрації
того, що клієнт своєчасно вживає коригувальних дій для виправлення всіх невідповідностей .
9.4.2 ІБ 9.4 Специфічні елементи аудиту СУІБ
Орган сертифікації в особі аудиторської групи повинен:
a) вимагати від клієнта продемонструвати, що оцінка ризиків, пов’язаних з інформаційною безпекою, є релевантною та
адекватною для функціонування СУІБ у межах сфери застосування СУІБ;
b) встановити, чи процедури клієнта щодо ідентифікації, перевірки та оцінки ризиків,

пов’язаних з інформаційною безпекою, і результати їх впровадження відповідають
політиці, цілям і завданням клієнта.
Орган сертифікації також повинен встановити, чи процедури, які використовуються для оцінки ризиків, є обґрунтованими
та належним чином реалізованими.
9.4.3 ІС 9.4 Аудиторський звіт
9.4.3.1На додаток до вимог до звітності в ISO/IEC 17021-1, 9.4.8, аудиторський звіт повинен
містити таку інформацію або посилання на неї:
a) звіт про аудит, включаючи короткий виклад перевірки документів;
б) звіт про сертифікаційний аудит аналізу ризиків інформаційної безпеки клієнта;
c) відхилення від плану аудиту (наприклад, більше або менше часу, витраченого на певні заплановані дії);
d) обсяг СУІБ.
9.4.3.2Звіт про аудит повинен бути достатньо детальним, щоб полегшити та підтримати рішення щодо сертифікації. Він
повинен містити:
a) дотримання значних аудиторських слідів і використання методологій аудиту (див9.1.3.2 );
b) зроблені спостереження, як позитивні (наприклад, варті уваги особливості), так і негативні (наприклад, потенційні
невідповідності);

ISO/IEC 27006:2015(E)
c) коментарі щодо відповідності СУІБ клієнта вимогам сертифікації з чітким зазначенням

невідповідності, посиланням на версію Заяви про застосовність і, якщо застосовно, будь-яким
корисним порівнянням з результатами попередніх сертифікаційних аудитів клієнта.
Заповнені анкети, контрольні списки, спостереження, журнали або примітки аудитора можуть становити
невід’ємну частину аудиторського звіту. У разі використання цих методів ці документи повинні бути подані до
органу сертифікації як докази на підтримку рішення щодо сертифікації. Інформація про зразки, оцінені під час
аудиту, повинна бути включена в звіт про аудит або іншу сертифікаційну документацію.
У звіті має розглядатися адекватність внутрішньої організації та процедур, прийнятих

клієнтом для довіри до СУІБ.
На додаток до вимог до звітності в ISO/IEC 17021-1, 9.4.8, звіт повинен охоплювати:
— короткий виклад найважливіших спостережень, як позитивних, так і негативних, щодо

впровадження та ефективності вимог СУІБ та засобів контролю ІБ;
— рекомендація аудиторської групи щодо того, чи слід сертифікувати СУІБ клієнта чи ні, з
інформацією для підтвердження цієї рекомендації.
9.5 Рішення про атестацію
вказівки.
9.5.1 ІС 9.5 Сертифікаційне рішення
Крім вимог ISO/IEC 17021-1, рішення щодо сертифікації має ґрунтуватися на рекомендаціях
аудиторської групи щодо сертифікації, як зазначено в їх звіті про сертифікаційний аудит (див.9.4.3 ).
Особи або комітети, які приймають рішення про надання сертифікації, зазвичай не повинні
скасовувати негативну рекомендацію аудиторської групи. Якщо така ситуація виникає, орган
сертифікації повинен задокументувати та обґрунтувати підстави для рішення скасувати рекомендацію.
Сертифікація не повинна надаватися клієнту, доки не буде достатньо доказів, які підтверджують, що
заходи щодо аналізу керівництва та внутрішнього аудиту СУІБ були впроваджені, ефективні та
підтримуватимуться.
9.6 Підтримка сертифікації
9.6.1 Загальні положення
9.6.2 Діяльність зі спостереження
вказівки.
9.6.2.1 ІБ 9.6.2 Діяльність зі спостереження
9.6.2.1.1Процедури наглядового аудиту повинні відповідати процедурам сертифікаційного аудиту

СУІБ клієнта, як описано в цьому міжнародному стандарті.
Метою спостереження є перевірка того, що схвалена СУІБ продовжує впроваджуватися,

розгляд наслідків змін у цій системі, ініційованих у результаті змін у роботі клієнта та

ISO/IEC 27006:2015(E)
для підтвердження постійної відповідності вимогам сертифікації. Програми наглядового аудиту охоплюють
щонайменше:
a) елементи обслуговування системи, такі як оцінка ризиків інформаційної безпеки та підтримка

контролю, внутрішній аудит СУІБ, аналіз керівництва та коригувальні дії;
b) повідомлення від зовнішніх сторін відповідно до стандарту СУІБ ISO/IEC 27001 та інших документів,
необхідних для сертифікації;
в) зміни документованої системи;
г) зони, що підлягають змінам;
e) вибрані вимоги ISO/IEC 27001;
f) інші вибрані області, за необхідності.
9.6.2.1.2Як мінімум, під час кожного нагляду орган сертифікації перевіряє наступне:
a) ефективність СУІБ щодо досягнення цілей політики інформаційної безпеки клієнта;
b) функціонування процедур періодичної оцінки та перевірки дотримання відповідного

законодавства та правил інформаційної безпеки;
c) зміни визначених засобів контролю та результуючі зміни в SoA;
d) впровадження та ефективність засобів контролю відповідно до програми аудиту.
9.6.2.1.3Орган сертифікації повинен мати можливість адаптувати свою програму нагляду до питань інформаційної
безпеки, пов’язаних із ризиками та впливами на клієнта, і обґрунтувати цю програму.
Наглядові аудити можна поєднувати з аудитами інших систем управління. Звітність повинна чітко
вказувати аспекти, що стосуються кожної системи управління.
Під час наглядових аудитів органи сертифікації перевіряють записи апеляцій і скарг, поданих
до органу сертифікації, і, якщо виявлено будь-яку невідповідність або невідповідність
вимогам сертифікації, що клієнт дослідив свою власну СУІБ та процедури та вжив відповідних
коригувальних дій. .
Звіт про нагляд повинен містити, зокрема, інформацію про усунення невідповідностей, виявлених
раніше, а також версію SoA та важливі зміни від попереднього аудиту. Як мінімум, звіти, отримані в
результаті спостереження, повинні складатися так, щоб повністю охоплювати вимоги9.6.2.1.1 і
9.6.2.1.2 вище.
9.6.3 Переатестація
вказівки.
9.6.3.1 ІС 9.6.3 Ресертифікаційні аудити
Процедури повторного сертифікаційного аудиту повинні відповідати процедурам первинного сертифікаційного

аудиту СУІБ клієнта, як описано в цьому міжнародному стандарті.
Час, наданий для здійснення коригувальних дій, повинен відповідати серйозності невідповідності
та пов’язаному з нею ризику інформаційної безпеки.

ISO/IEC 27006:2015(E)
9.6.4 Спеціальні аудити
вказівки.
9.6.4.1 IS 9.6.4 Особливі випадки
Діяльність, необхідна для виконання спеціальних аудитів, підлягає спеціальному положенню, якщо клієнт із
сертифікованою СУІБ вносить значні модифікації у свою систему або якщо відбуваються інші зміни, які можуть вплинути
на основу його сертифікації.
9.6.5 Призупинення, скасування або скорочення обсягу сертифікації
9.7 Апеляції
9.8 Скарги
вказівки.
9.8.1 ІС 9.8 Скарги
Скарги є потенційним інцидентом і ознакою можливої невідповідності.
9.9 Записи клієнтів
10 Вимоги до системи управління для органів сертифікації
10.1 Опції
вказівки.
10.1.1 ІБ 10.1 Реалізація СУІБ
Рекомендується, щоб органи сертифікації впроваджували СУІБ відповідно до ISO/IEC 27001.
10.2 Варіант A: Загальні вимоги до системи управління
10.3 Варіант B: Вимоги до системи менеджменту відповідно до ISO 9001

ISO/IEC 27006:2015(E)
Додаток А
(інформативно)
Знання та навички аудиту та сертифікації СУІБ
A.1 Огляд
Таблиця А.1 надає короткий виклад знань і навичок, необхідних для аудиту та сертифікації
СУІБ, але є інформативним, оскільки визначає лише області знань і навичок для конкретних
функцій сертифікації.
Вимоги до компетентності для кожної функції викладено в основному тексті цього стандарту,
а в цій таблиці наведено посилання на конкретну вимогу.
Таблиця A.1 — Знання для аудиту та сертифікації СУІБ

Функції сертифікації
Ведення аплікації
огляд
(Проведення аплікації
Рецензування аудиторських
перевірка для визначення необхідної Аудит та ведення
звітів та проведення атестації
компетентності аудиторської групи, аудиторська група
рішення
вибрати членів аудиторської
групи та визначити
час аудиту)
Знання
Термінологія, принципи, практики та методи

7.1.2.4.2 7.1.2.1.2
Стандарти/нормативні документи системи

7.1.2.3.1 7.1.2.4.3 7.1.2.1.3
Практики управління бізнесом 7.1.2.1.4
Сектор клієнтського бізнесу 7.1.2.3.2 7.1.2.4.4 7.1.2.1.5
Клієнтські продукти, процеси та організація 7.1.2.3.3 7.1.2.4.5 7.1.2.1.6
A.2 Загальні міркування щодо компетентності
Є кілька способів, якими аудитори можуть підтвердити свої знання та досвід. Знання та досвід
можна оцінити, наприклад, за допомогою визнаних кваліфікацій. Реєстраційні записи за схемою
сертифікації персоналу також можуть бути використані для оцінки необхідних знань і досвіду.
Необхідний рівень компетенції для аудиторської групи повинен бути встановлений відповідно до
галузі/технологічної сфери організації та складності СУІБ.
A.3 Особливі знання та досвід

A.3.1 Типові знання щодо СУІБ
Крім вимог в7.1.2 слід враховувати наступне. Аудитори повинні мати знання та розуміння
наступних питань аудиту та СУІБ:
— програмування та планування аудиту;
— тип аудиту та методології;
— аудиторський ризик;

ISO/IEC 27006:2015(E)
— аналіз процесів захисту інформації;
— постійне вдосконалення;
— внутрішній аудит інформаційної безпеки.
Аудитори повинні мати знання та розуміння таких нормативних вимог:
- інтелектуальна власність;
— зміст, захист і зберігання організаційних записів;
— захист даних і конфіденційність;
— регулювання криптографічного контролю;
- електронна комерція;
— електронні та цифрові підписи;
— спостереження за робочим місцем;
— перехоплення телекомунікацій та моніторинг даних (наприклад, електронної пошти);
— зловживання комп’ютером;
— збір електронних доказів;
— тестування на проникнення;
— міжнародні та національні вимоги до окремих галузей (наприклад, банківська справа).

ISO/IEC 27006:2015(E)
Додаток Б
(нормативний)
Час аудиту
B.1 Вступ
Цей додаток містить додаткові вимоги, пов’язані з ISO/IEC 17021-1, 9.1. Цей Додаток містить
мінімальні вимоги та вказівки для органу сертифікації щодо розробки власних процедур для
визначення кількості часу, необхідного для сертифікації обсягів СУІБ клієнта різного розміру
та складності в широкому спектрі діяльності.
Органи сертифікації повинні визначити кількість часу аудиту, який необхідно витратити на первинну сертифікацію,
нагляд і повторну сертифікацію для кожного клієнта та сертифікованої СУІБ. Використання цього Додатку на етапі
планування аудиту призводить до послідовного підходу до визначення належного часу аудиту. Крім того, час
аудиту може бути відкоригований на основі того, що було знайдено під час аудиту, особливо під час етапу 1
(наприклад, інша оцінка складності сфери СУІБ або додаткові сайти в області).
Цей додаток містить:
— поняття, які використовуються для розрахунку часу аудиту (B.2 );
— вимоги до процедур визначення часу аудиту для різних етапів аудиту (B.3 доB.5 );
— вимоги, пов’язані з аудитами на кількох об’єктах (B.6 ).
Приклади розрахунку часу аудиту для ілюстрації застосуванняДодаток Б можна знайти вДодаток С .
Основним припущенням цього підходу є те, що схема розрахунку для визначення часу аудиту повинна:
а) розглядати лише обґрунтовані атрибути, які можна визначити;
b) бути достатньо простим для ефективного застосування органами сертифікації;
c) бути досить складним, щоб забезпечити достатнє розрізнення.
Визначення часу перевірки ґрунтується на цифрах, наведених уТаблиця Б.1 («Графік аудиту») нижче та
враховувати фактори, що сприяють внесенню змін.
B.2 Концепції
B.2.1 Кількість осіб, які виконують роботу під контролем організації
Відправною точкою для визначення часу перевірки є загальна кількість осіб, які виконують роботу під
контролем організації за всі зміни.
ПРИМІТКА Термін «особи, які виконують роботу під контролем організації» позначається як персонал в
ISO/IEC 17021-1.
Особи, які працюють неповний робочий день, які виконують роботу під контролем організації, вносять свій внесок у
кількість осіб, які виконують роботу під контролем організації, пропорційно кількості відпрацьованих годин порівняно з
особою, яка працює повний робочий день під контролем організації. Це визначення залежить від кількості
відпрацьованих годин у порівнянні з працівником, який працює повний робочий день.

ISO/IEC 27006:2015(E)
B.2.2 День аудитора
«Час аудиту», як зазначено в таблиці, вказується як «аудиторські дні», витрачені на аудит. Основа
розрахункуДодаток Б це 8 годинний робочий день.
B.2.3 Тимчасовий сайт
Тимчасовий об’єкт – це місце, відмінне від об’єктів, визначених у сертифікаційних документах, де

діяльність, що входить до сфери сертифікації, здійснюється протягом визначеного періоду часу. Ці
сайти можуть варіюватися від основних сайтів управління проектами до незначних сайтів
обслуговування/встановлення. Необхідність відвідування таких ділянок і обсяг відбору зразків повинні
ґрунтуватися на оцінці ризиків недосягнення цілей ІБ через невідповідність, що виникла на
тимчасовому місці. Вибірка таких ділянок має відображати діапазон потреб організації в компетенції та
варіації послуг, враховуючи розміри та типи діяльності та різні стадії проектів, що виконуються. Для
загальної вибірки див9.1.5.1 .
B.3 Порядок визначення часу проведення первинної перевірки
B.3.1 Загальний
Розрахунок часу аудиту здійснюється відповідно до задокументованої процедури.
B.3.2 Віддалений аудит
Якщо для взаємодії з організацією використовуються методи дистанційного аудиту, такі як

інтерактивна веб-співпраця, веб-зустрічі, телеконференції та/або електронна перевірка
процесів організації, ці дії слід визначити в плані аудиту (див.9.2.3 ) і може розглядатися як
частковий внесок у загальний «час аудиту на місці».
Якщо орган сертифікації розробляє план аудиту, для якого діяльність з дистанційного аудиту становить
більше 30% запланованого часу аудиту на місці, орган сертифікації повинен обґрунтувати план аудиту та
отримати спеціальне схвалення від органу з акредитації до його впровадження.
ПРИМІТКА Час аудиту на місці стосується часу аудиту на місці, виділеного для окремих сайтів. Електронні аудити
віддалені сайти вважаються дистанційними аудитами, навіть якщо електронні аудити фізично проводяться на
території організації.
B.3.3 Розрахунок часу аудиту
Графік часу аудиту, наведений нижче, встановлює початкову точку для середньої кількості днів
початкового аудиту (тут і далі ця кількість охоплює дні для початкового аудиту (Етап 1 і Етап 2)),
яка, як показує досвід, підходить для сфери застосування СУІБ із заданою кількістю осіб, які
виконують роботу під контролем організації. Досвід також показав, що для масштабів СУІБ
подібного розміру деяким знадобиться більше часу, а іншим менше.
Графік часу аудиту, наведений нижче, надає рамки, які слід використовувати для планування аудиту шляхом визначення
початкової точки на основі загальної кількості осіб, які виконують роботу під контролем організації протягом усіх змін, і
коригування цього на основі значущих факторів, що застосовуються до сфери СУІБ для бути перевіреним і приписувати
кожному фактору адитивну або субтрактивну вагу для зміни базової цифри. Цей часовий графік аудиту слід
використовувати, беручи до уваги сприяючі фактори та обмеження щодо максимального відхилення (див.B.3.4 іB.3.5
нижче). Терміни, які використовуються в цій таблиці, пояснюються вB.2 вище іДодаток С наводить приклади того, як це
можна зробити.

ISO/IEC 27006:2015(E)
Таблиця B.1 — Графік часу аудиту
Кількість осіб
Час аудиту СУЯ для Час аудиту EMS для Час аудиту СУІБ для
виконання роботи під Додавання та віднімання Всього
первинний аудит первинний аудит первинний аудит
організації чинників час аудиту
(аудиторські дні) (аудиторські дні) (аудиторські дні)
КОНТРОЛЬ
1~10 1,5–2 2,5–3 5 ПобачитиB.3.4
11~15 2.5 3.5 6 ПобачитиB.3.4
16~25 3 4.5 7 ПобачитиB.3.4
26~45 4 5.5 8.5 ПобачитиB.3.4
46~65 5 6 10 ПобачитиB.3.4
66~85 6 7 11 ПобачитиB.3.4
86~125 7 8 12 ПобачитиB.3.4
126~175 8 9 13 ПобачитиB.3.4
176~275 9 10 14 ПобачитиB.3.4
276~425 10 11 15 ПобачитиB.3.4
426~625 11 12 16.5 ПобачитиB.3.4
626~875 12 13 17.5 ПобачитиB.3.4
876~1175 13 15 18.5 ПобачитиB.3.4
1176~1550 14 16 19.5 ПобачитиB.3.4
1551~2025 15 17 21 ПобачитиB.3.4
2026~2675 16 18 22 ПобачитиB.3.4
2676~3450 17 19 23 ПобачитиB.3.4
3451~4350 18 20 24 ПобачитиB.3.4
4351~5450 19 21 25 ПобачитиB.3.4
5451~6800 20 23 26 ПобачитиB.3.4
6801~8500 21 25 27 ПобачитиB.3.4
8501~10700 22 27 28 ПобачитиB.3.4
Слідкуйте за прогресією Слідкуйте за прогресією Слідкуйте за прогресією

> 10 700 ПобачитиB.3.4
вище вище вище
B.3.4 Фактори коригування часу аудиту
Часовий графік аудиту не повинен використовуватися окремо. Виділений час також повинен
враховувати такі фактори, які стосуються складності СУІБ і, отже, зусиль, необхідних для аудиту СУІБ:
a) складність СУІБ (наприклад, критичність інформації, ситуація ризику СУІБ тощо);
b) вид (типи) діяльності, що виконується в межах СУІБ;
c) попередньо продемонстрована продуктивність СУІБ;
d) обсяг і різноманітність технологій, що використовуються для впровадження різних компонентів СУІБ

(наприклад, кількість різних ІТ-платформ, кількість відокремлених мереж);
e) обсяг аутсорсингу та угод третьої сторони, що використовуються в рамках СУІБ;
е) ступінь розвитку інформаційної системи;
g) кількість сайтів і кількість сайтів аварійного відновлення (DR);
h) для наглядового або повторно-сертифікаційного аудиту: обсяг і ступінь змін, що стосуються СУІБ
відповідно до ISO/IEC 17021-1, 8.5.3.

ISO/IEC 27006:2015(E)
Додаток С наводить приклади того, як ці різні фактори можна враховувати при розрахунку часу
аудиту.
Додатковими прикладами факторів, які вимагають додаткового часу на аудит, є:
— складна логістика, що включає більше ніж одну будівлю або місце в межах СУІБ;
— персонал, що розмовляє більш ніж однією мовою (потрібен перекладач(и) або перешкоджає окремим
аудиторам працювати незалежно) або документація надається більш ніж однією мовою;
— діяльність, яка потребує відвідування тимчасових об’єктів для підтвердження діяльності постійних об’єктів,
чия система управління підлягає сертифікації (див. пункт нижче наступного списку);
— велика кількість стандартів і правил, які застосовуються до СУІБ.
Приклади факторів, що дозволяють зменшити час аудиту:
— продукт/процеси без/низького ризику;
— процеси, що включають одну загальну діяльність (наприклад, лише обслуговування);
— високий відсоток осіб, які виконують роботу під контролем організації, виконуючи однакові завдання;
— попереднє знання організації (наприклад, якщо організація вже була сертифікована за іншим
стандартом тим самим органом сертифікації);
— висока готовність клієнта до сертифікації (наприклад, уже сертифікований або визнаний іншою схемою
третьої сторони);
— висока зрілість існуючої системи управління.
У ситуаціях, коли клієнт сертифікації або сертифікована організація надає свої продукти або
послуги на тимчасових об’єктах, важливо, щоб оцінки таких об’єктів були включені в програми
сертифікаційного аудиту та нагляду.
Зазначені вище фактори повинні бути розглянуті та внесені коригування для тих факторів, які виправдовують більший або
менший час аудиту для ефективного аудиту. Додаткові коефіцієнти можуть бути компенсовані субтрактивними факторами.
У всіх випадках, коли вносяться коригування часу, зазначеного в розкладі аудиту, необхідно зберігати достатні докази та
записи, щоб виправдати зміну.
B.3.5 Обмеження відхилення часу аудиту
З метою забезпечення ефективного проведення аудитів і забезпечення надійних і порівнянних результатів час аудиту,
передбачений у часовому графіку аудиту, не повинен бути скорочений більш ніж на 30 %.
Відповідні причини відхилення повинні бути встановлені та задокументовані.
B.3.6 Час аудиту на місці
Очікується, що час, розрахований на планування та написання звіту разом, як правило, не повинен

зменшувати загальний «час аудиту» на місці до менш ніж 70 % часу, зазначеного в графіку часу аудиту. Якщо
для планування та/або написання звіту потрібен додатковий час, це не є виправданням для скорочення часу
аудиту на місці. Час на дорогу аудитора не входить у цей розрахунок і є додатковим до часу аудиту,
зазначеного в таблиці.
ПРИМІТКА 70% - це коефіцієнт, заснований на досвіді аудитів СУІБ.
B.4 Час аудиту для наглядового аудиту
Для циклу первинного сертифікаційного аудиту час нагляду для даної організації має бути пропорційним
часу, витраченому на початковий аудит із загальною кількістю часу, витраченого на рік на нагляд.

ISO/IEC 27006:2015(E)
приблизно 1/3 часу, витраченого на первинний аудит. Запланований час нагляду слід час від часу переглядати,
щоб врахувати зміни, які впливають на час аудиту. Час, витрачений на наглядовий аудит, має бути збільшено, щоб
дозволити аудит змін у СУІБ (наприклад, аудит нових або змінених засобів контролю).
B.5 Час аудиту для повторного сертифікаційного аудиту
Загальна кількість часу, витраченого на виконання аудиту повторної сертифікації, залежить від результатів будь-
якого попереднього аудиту, як визначено в9.4.3 та ISO/IEC 17021-1, 9.6.3. Кількість часу, витраченого на
ресертифікаційний аудит, має бути пропорційною часу, який був би витрачений на первинний сертифікаційний
аудит тієї самої організації, і має становити принаймні 2/3 часу, необхідного для первинного сертифікаційного
аудиту тієї самої організації. організації під час перевірки для повторної сертифікації.
B.6 Тривалість аудиту кількох сайтів
Кількість аудиторських днів на об’єкт, включаючи центральний офіс, розраховується для кожного об’єкта.
Зменшення можуть бути застосовані для врахування частин аудиту, які не стосуються центрального
офісу або місцевих об’єктів. Причини обґрунтування таких скорочень повинні бути зафіксовані органом
сертифікації.

ISO/IEC 27006:2015(E)
Додаток С
Методика розрахунку часу аудиту
C.1 Загальні положення
Цей Додаток містить додаткові вказівки щодо отримання формули для розрахунку часу аудиту.C.2
наведено приклад класифікації факторів, які можуть бути покладені в основу розрахунку часу аудиту та
C.3 наведено приклад розрахунку часу аудиту.
C.2 Класифікація факторів для розрахунку часу аудиту
Таблиця C.1 наводить приклади класифікації основних факторів для розрахунку часу аудиту, як зазначено в
B.3.4 , а) до з). Ця класифікація може бути використана органами сертифікації для виведення схеми
розрахунку часу аудиту відповідно до9.1.4.1 :
Таблиця C.1 — Класифікація факторів для розрахунку часу аудиту
Вплив на зусилля
Зменшені зусилля Нормальне зусилля Збільшення зусиль
Фактори (див. B.3.4)
а) складність СУІБ: • Лише мало чутливої або • Вищі вимоги до доступності або • Більший обсяг чутливої або
конфіденційної інформації, низькі деяка конфіденційна інформація конфіденційної інформації (наприклад,
• вимоги до безпеки вимоги до доступності здоров’я, особиста інформація,
інформації страхування, банківська справа) або
[конфіденційність, цілісність • Невелика кількість критичних активів (з точки зору ЦРУ) • Деякі критичні активи
вимоги щодо високої доступності
і доступність, (CIA)]
• Лише один ключовий бізнес-процес із • 2–3 прості бізнес-процеси з невеликою
• Багато критичних активів
• кількість критичних активів кількома інтерфейсами та кількома бізнес- кількістю інтерфейсів і кількома задіяними
підрозділами бізнес-підрозділами • Більше 2 складних процесів із
• кількість процесів і багатьма задіяними інтерфейсами та
послуг бізнес-підрозділами
b) тип (типи) діяльності, • Бізнес з низьким рівнем ризику без • Високі нормативні вимоги • Бізнес з високим рівнем ризику з (лише)
що виконується в межах нормативних вимог обмеженими нормативними вимогами
СУІБ
c) попередньо продемонстрована • Нещодавно сертифікований • Недавній наглядовий аудит • Без сертифікації та останніх аудитів
продуктивність СУІБ
• Не сертифікована, але СУІБ повністю • Не сертифікована, але частково • СУІБ є новою та не повністю встановленою
впроваджена протягом кількох циклів впроваджена СУІБ: деякі інструменти (наприклад, відсутність специфічних
аудиту та вдосконалення, включаючи системи управління доступні та механізмів контролю в системі управління,
задокументовані внутрішні аудити, впроваджені; деякі процеси незрілі процеси постійного вдосконалення,
перевірки керівництва та ефективну постійного вдосконалення існують, виконання ad hoc процесу)
систему постійного вдосконалення але частково задокументовані
d) обсяг і різноманітність • Високостандартизоване середовище • Стандартизовані, але різноманітні ІТ- • Висока різноманітність або складність ІТ
технологій, що з низьким розмаїттям (мало IT- платформи, сервери, операційні системи, (наприклад, багато різних сегментів
використовуються для платформ, серверів, операційних бази даних, мережі мереж, типів серверів або баз даних,
впровадження різних систем, баз даних, мереж тощо) кількість ключових програм)
компонентів СУІБ (наприклад,
кількість різних ІТ-платформ,
кількість відокремлених мереж)
e) обсяг аутсорсингу та • Відсутність аутсорсингу та невелика залежність • Кілька частково керованих домовленостей • Висока залежність від аутсорсингу або
угод третьої сторони, що від постачальників, або про аутсорсинг постачальників, які мають великий вплив
використовуються в на важливу бізнес-діяльність, або
• Чітко визначені, керовані та контрольовані
рамках СУІБ
домовленості про аутсорсинг • Невідома кількість або обсяг
аутсорсингу, або
• Аутсорсер має сертифіковану СУІБ
• Кілька домовленостей про
• Доступні відповідні незалежні звіти про
некерований аутсорсинг
надання впевненості

ISO/IEC 27006:2015(E)
Таблиця C.1(продовження)
Вплив на зусилля
Зменшені зусилля Нормальне зусилля Збільшення зусиль
Фактори (див. B.3.4)
f) ступінь розвитку • Відсутність внутрішньої розробки системи • Використання стандартизованих • Велика внутрішня діяльність з розробки
інформаційної системи програмних платформ зі складною програмного забезпечення з кількома
• Використання стандартизованих програмних
конфігурацією/параметризацією поточними проектами для важливих
платформ
бізнес-цілей
• (Високо) індивідуальне програмне забезпечення
• Деякі види діяльності з

розробки (власні або зовнішні)
g) кількість сайтів і кількість • Низькі вимоги до доступності та відсутність або • Середні або Високі вимоги до доступності та • Вимоги до високої доступності, наприклад,
сайтів аварійного відновлення один альтернативний сайт відновлення відсутність або один альтернативний сайт DR послуги 24/7
(DR).
• Кілька альтернативних сайтів DR
• Кілька ЦОД
h) для наглядового або • Жодних змін з часу останнього • Незначні зміни в межах або SoA СУІБ, • Значні зміни в масштабі або SoA
повторно-сертифікаційного ресертифікаційного аудиту наприклад, деякі політики, документи СУІБ, наприклад, нові процеси, нові
аудиту: обсяг і ступінь змін, що тощо. бізнес-підрозділи, сфери, методологія
стосуються СУІБ відповідно до управління оцінкою ризиків, політики,
• Незначні зміни у факторах, наведених вище
ISO/IEC 17021-1, 8.5.3 документація, лікування ризиків
• Значні зміни у факторах, наведених вище
C.3 Приклад розрахунку часу аудиту

Наступний приклад ілюструє, як орган сертифікації може використовувати фактори, наведені вB.3
розрахувати час аудиту. Розрахунок часу аудиту в наведеному нижче прикладі працює таким чином:
Крок 1: Визначення факторів, пов’язаних з бізнесом та організацією (окрім ІТ): визначте відповідну
оцінку для кожної з категорій, наведених уТаблиця С.2 і підбити підсумки.
Крок 2: Визначення факторів, пов’язаних з ІТ-середовищем: визначте відповідну оцінку для кожної з
категорій, наведених уТаблиця C.3 і підбити підсумки.
Крок 3: на основі результатів кроків 1 і 2 вище визначте вплив факторів на час аудиту,
вибравши відповідний запис уТаблиця C.4 .
Крок 4: остаточний розрахунок: кількість днів, визначена за допомогою графіка перевірки часу (Таблиця Б.1 )
множиться на коефіцієнт, отриманий на етапі 3. Якщо використовується вибірка з кількох об’єктів, обчислені дні
аудиту збільшуються на основі зусиль, необхідних для виконання плану відбору проб з кількох об’єктів.
Цей результат є остаточною кількістю днів аудиту.
Таблиця C.2 — Фактори, пов’язані з бізнесом та організацією (окрім ІТ)
Категорія Оцінка
1. Організація працює в некритичних секторах бізнесу та нерегульованих секторахa
Тип(и) діяльності та нормативні вимоги 2. Організація має клієнтів у критичних секторах бізнесуa
3. Організація працює в критичних секторах бізнесуa
1. Стандартні процеси зі стандартними та повторюваними завданнями; багато людей роблять

працювати під контролем організації, виконуючи ті самі завдання; кілька продуктів або послуг
2. Стандартні, але неповторювані процеси з великою кількістю продуктів або послуг

Процес і завдання
3. Складні процеси, велика кількість продуктів і послуг, багато бізнес-одиниць
включено в сферу сертифікації (СУІБ охоплює дуже складні процеси або відносно велику
кількість чи унікальних видів діяльності)
a Критичні сектори бізнесу – це сектори, які можуть вплинути на критичні державні послуги, що спричинить ризик здоров’ю, безпеці,
економіці, іміджу та здатності уряду функціонувати, що може мати дуже великий негативний вплив на країну.

ISO/IEC 27006:2015(E)
Таблиця С.2(продовження)
1. СУІБ вже добре налагоджена та/або існують інші системи управління

2. Деякі елементи інших систем управління реалізовані, інші ні
Рівень встановлення МС
3. Жодної іншої системи управління взагалі не впроваджено, СУІБ є новою і ні
встановлено
a Критичні сектори бізнесу – це сектори, які можуть вплинути на критичні державні послуги, що спричинить ризик здоров’ю, безпеці,
економіці, іміджу та здатності уряду функціонувати, що може мати дуже великий негативний вплив на країну.
Таблиця C.3 — Фактори, пов’язані з ІТ-середовищем
1. Кілька або дуже стандартизовані ІТ-платформи, сервери, операційні системи, бази даних,
мережі тощо.
Складність ІТ-інфраструктури
2. Кілька різних ІТ-платформ, серверів, операційних систем, баз даних, мереж
3. Багато різних ІТ-платформ, серверів, операційних систем, баз даних, мереж
1. Невелика або повна відсутність залежності від аутсорсингу чи постачальників
2. Певна залежність від аутсорсингу або постачальників, що стосується деяких, але не всіх
Залежність від аутсорсингу та постачальників, включаючи
важливі ділові заходи
хмарні сервіси
3. Висока залежність від аутсорсингу або постачальників, великий вплив на важливі бізнес-
ність діяльності
1. Відсутня або дуже обмежена власна розробка систем/додатків
2. Деяка власна або стороння розробка систем/додатків для деяких важливих

Розробка інформаційної системи ділових цілей
3. Масштабна розробка систем/додатків власними силами або сторонніми підрядниками для важливих
комерційних цілях
Таблиця C.4 — Вплив факторів на час аудиту
ІТ складність
Низький (від 3 до 4) Середній (від 5 до 6) Високий (від 7 до 9)
+5% + 10 % + 20 %
до до до
Високий
(від 7 до 9)
+ 20 % + 50 % + 100 %
-5% + 10 %
Складність бізнесу Середній (від 5 до 6) до 0% до
− 10 % + 50 %
- 10 % -5% +5%
Низький (від 3 до 4) до до до
− 30 % − 10 % + 20 %
ПРИКЛАД 1 В організації, яка підлягає перевірці, працює 700 співробітників, відповідноТаблиця Б.1 , 17,5 днів є
необхідні для первинного аудиту. Організація не працює в критично важливому бізнес-секторі, має високостандартизовані
та повторювані завдання та щойно встановила СУІБ. Відповідно доТаблиця С.2 це дасть коефіцієнт, пов’язаний з бізнесом
та організацією, 1+1+3 = 5. Організація має дуже мало ІТ-платформ і баз даних, але широко використовує аутсорсинг.
Немає жодного розвитку всередині організації або стороннього підряду. Відповідно доТаблиця C.3 це дасть коефіцієнт,
пов’язаний з ІТ-середовищем, 1+3+1 = 5. ВикористанняТаблиця C.4 це не призведе до коригування часу аудиту.
ПРИКЛАД 2 Така сама організація, як і в попередньому прикладі, за винятком кількох систем управління
вже на місці, і СУІБ вже добре налагоджена. Це змінило б розрахунок відповідно до Таблиця С.2 до
1+1+1 = 3. ЗгідноТаблиця C.4 це призвело б до скорочення часу аудиту на 5–10 %, тобто час аудиту було
б скорочено на 1 день–1,5 дня, що дало б загалом 16–16,5 днів.

ISO/IEC 27006:2015(E)
Додаток D
Керівництво щодо перегляду впровадженого ISO/IEC 27001:2013,

Додаток А контролює
D.1 Мета
Впровадження заходів контролю, які були визначені клієнтом як необхідні для СУІБ (відповідно до Заяви про
застосовність), має бути переглянуто під час етапу 2 первинного аудиту та під час нагляду або діяльності з
повторної сертифікації [див.9.3.1.2.2 g)].
Докази аудиту, які збирає орган сертифікації, повинні бути достатніми, щоб зробити висновок щодо
ефективності засобів контролю. Те, як очікується дія елемента керування, може, наприклад, бути визначено
в процедурах або політиках клієнта.
D.1.1 Аудиторські докази
Найкраща якість аудиторських доказів збирається під час спостереження аудитора (наприклад, що замкнені двері
замкнені, люди підписують угоди про конфіденційність, реєстр активів існує та містить спостережувані активи,
налаштування системи адекватні тощо). Докази можна зібрати, переглянувши результати виконання контролю
(наприклад, роздруківки прав доступу, наданих людям, підписані відповідним уповноваженим службовцем, записи
про вирішення інцидентів, повноваження на обробку, підписані належним уповноваженим службовцем,
протоколи керівництва (або інші) зустрічі тощо). Докази можуть бути результатом прямого тестування (або
повторного виконання) засобів контролю аудитором, наприклад, спроби виконати завдання, які, як стверджується,
заборонені засобами контролю, визначення того, чи програмне забезпечення для захисту від шкідливого коду
встановлено та оновлено на машинах, надані права доступу (після перевірки владою) тощо. Докази можна зібрати
шляхом опитування осіб, які виконують роботу під контролем організації/підрядників, щодо процесів і засобів
контролю та визначення того, чи це фактично правильно.
D.2 Як використовувати таблицю D.1
D.2.1 Загальний
Таблиця D.1 надає вказівки щодо перегляду впровадження заходів контролю, перелічених у ISO/IEC
27001:2013, Додаток А, та збору доказів аудиту щодо їх ефективності під час початкового аудиту та наступних
аудитів. Таблиця не призначена для надання вказівок щодо перегляду засобів контролю, крім тих, що
наведені в ISO/IEC 27001:2013, додаток A.
D.2.2 Колонки «Організаційний контроль» і «Технічний контроль»
«X» у відповідному стовпчику вказує, чи є контроль організаційним чи технічним. Оскільки деякі засоби контролю є
організаційними та технічними, записи можуть бути в обох стовпцях для таких елементів керування.
Докази виконання організаційного контролю можуть бути зібрані шляхом перегляду записів
виконання контролю, інтерв’ю, спостереження та фізичного огляду. Докази ефективності технічного
контролю часто можна зібрати шляхом тестування системи (див. нижче) або за допомогою спеціальних
інструментів аудиту/звітності.
D.2.3 Колонка «Тестування системи»
«Тестування системи» означає прямий аналіз інформаційних систем (наприклад, перегляд налаштувань або
конфігурації системи). На запитання аудитора можна відповісти на консолі системи або шляхом оцінки

ISO/IEC 27006:2015(E)
результати тестування засобів. Якщо клієнт використовує комп’ютерний інструмент, який відомий аудитору, він
може бути використаний для підтримки аудиту, або можна переглянути результати оцінки, виконаної клієнтом (або
його субпідрядниками).
Таблиця містить дві категорії для огляду технічних засобів контролю:
— «можливо»: тестування системи можливе для оцінки впровадження контролю, але може не бути
необхідним під час аудиту СУІБ;
— «рекомендовано»: тестування системи зазвичай необхідне під час аудиту СУІБ.
ПРИМІТКА У цьому Додатку «система» означає «інформаційну систему», якщо не вказано інше.
D.2.4 Колонка «Візуальний огляд»
«Візуальний огляд» означає, що ці засоби контролю зазвичай вимагають візуального огляду на місці
для оцінки їх ефективності. Це означає, що недостатньо переглядати відповідну документацію на
папері чи через співбесіди; аудитор повинен перевірити контроль на місці, де він реалізується.
D.2.5 Стовпець «Рекомендації щодо перевірки аудиту»
Стовпець «Рекомендації щодо перевірки аудиту» містить можливі напрямки уваги для оцінки контролю, як
подальше керівництво для аудитора.
Таблиця D.1 — Класифікація засобів контролю
Засоби керування в ISO/IEC 27001:2013, додаток A Організаційні технічний система Візуальний Керівництво з аудиту
КОНТРОЛЬ КОНТРОЛЬ тестування огляд
A.5 Політика інформаційної безпеки
A.5.1 Напрямок управління інформаційною

безпекою
A.5.1.1 Політики інформаційної безпеки X

A.5.1.2 Огляд політики інформаційної X
безпеки
А.6 Організація інформаційної безпеки
A.6.1 Внутрішня організація
A.6.1.1 Ролі та обов’язки щодо X

інформаційної безпеки
A.6.1.2 Розподіл обов'язків X

A.6.1.3 Контакт з органами влади X
A.6.1.4 Контакти з групами особливих інтересів X
A.6.1.5 Інформаційна безпека в управлінні X
проектами
A.6.2 Мобільні пристрої та дистанційна робота
A.6.2.1 Політика мобільних пристроїв X X можливо Також перевірте виконання

політики, якщо це необхідно
A.6.2.2 Дистанційна робота X X можливо Також перевірте виконання

A.7 Безпека людських ресурсів
A.7.1 До працевлаштування
A.7.1.1 Скринінг X
A.7.1.2 Умови працевлаштування X
A.7.2 Під час роботи
A.7.2.1 Обов'язки керівництва X

ISO/IEC 27006:2015(E)
Таблиця D.1(продовження)
A.7.2.2 Поінформованість про інформаційну X Запитайте персонал, чи знають
безпеку, освіта та навчання вони про конкретні речі, про які їм
слід знати
A.7.2.3 Дисциплінарний процес X

A.7.3 Звільнення та зміна роботи
A.7.3.1 Припинення або зміна X

трудових обов'язків
A.8 Управління активами
A.8.1 Відповідальність за активи
A.8.1.1 Інвентаризація активів X Визначте активи
A.8.1.2 Право власності на активи X

A.8.1.3 Прийнятне використання активів X
A.8.1.4 Повернення активів X
A.8.2 Класифікація інформації
A.8.2.1 Класифікація інформації X Також перевірте виконання

A.8.2.2 Маркування інформації X Назви: каталоги, файли, друковані звіти,

носії інформації (наприклад, касети,
диски, компакт-диски), електронні
повідомлення та передача файлів
A.8.2.3 Поводження з активами X

A.8.3 Обробка медіа
A.8.3.1 Керування знімними носіями X X можливо
A.8.3.2 Утилізація носія X X Процес утилізації
A.8.3.3 Передача фізичного носія X Фізичний захист
A.9 Контроль доступу
A.9.1 Бізнес-вимоги контролю доступу
A.9.1.1 Політика контролю доступу X Також перевірте виконання

A.9.1.2 Доступ до мереж і мережевих X Також перевірте виконання

послуг політики, якщо це необхідно
A.9.2 Керування доступом користувачів
A.9.2.1 Реєстрація та скасування реєстрації X

користувача
A.9.2.2 Надання доступу користувача X X можливо Зразок осіб, які виконують роботу
під контролем організації/
підрядників, мають авторизувати
всі права доступу до всіх систем
A.9.2.3 Управління привілейованими правами X X можливо Внутрішнє переміщення персоналу

доступу
A.9.2.4 Управління секретною інформацією X

автентифікації користувачів
A.9.2.5 Перегляд прав доступу користувачів X

A.9.2.6 Видалення або налаштування прав X
доступу
A.9.3 Обов'язки користувача
A.9.3.1 Використання секретної інформації X Перевірте вказівки/політику для

автентифікації користувачів
A.9.4 Контроль доступу до системи та програм

ISO/IEC 27006:2015(E)
A.9.4.1 Обмеження доступу до інформації X X рекомендований
A.9.4.2 Безпечні процедури входу в систему X X рекомендований
A.9.4.3 Система керування паролями X X рекомендований
A.9.4.4 Використання привілейованих службових програм X X рекомендований
A.9.4.5 Контроль доступу до вихідного коду X X рекомендований

програми
A.10 Криптографія
A.10.1 Криптографічний контроль
A.10.1.1 Політика щодо використання засобів X Також перевірте виконання

криптографічного контролю політики, якщо це необхідно
A.10.1.2 Керування ключами X X рекомендований Також перевірте виконання

A.11 Фізична та екологічна безпека
A.11.1 Зони безпеки
A.11.1.1 Периметр фізичної безпеки X

A.11.1.2 Контроль фізичного входу X X можливо X Архівація записів доступу
A.11.1.3 Охорона офісів, кімнат і X X
засобів
A.11.1.4 Захист від зовнішніх і X X
екологічних загроз
A.11.1.5 Робота в безпечних зонах X X
A.11.1.6 Зони доставки та завантаження X X
A.11.2 Обладнання
A.11.2.1 Розташування та захист обладнання X X

A.11.2.2 Допоміжні утиліти X X можливо X
A.11.2.3 Безпека кабелів X X
A.11.2.4 Обслуговування обладнання X
A.11.2.5 Вилучення активів X Запис активів, вивезених за межі підприємства
A.11.2.6 Безпека обладнання та активів за межами X X можливо Шифрування портативного пристрою

приміщення
A.11.2.7 Безпечна утилізація або повторне використання X X можливо X Стирання диска, шифрування диска
обладнання
A.11.2.8 Обладнання користувача без нагляду X Перевірте вказівки/політику для

користувачів
A.11.2.9 Політика чистого столу та чистого екрана X X Також перевірте виконання

A.12 Безпека операцій
A.12.1 Операційні процедури та

обов'язки
A.12.1.1 Задокументовані робочі процедури X
A.12.1.2 Управління змінами X X рекомендований
A.12.1.3 Управління потужністю X X можливо
A.12.1.4 Розділення середовища розробки, X X можливо

тестування та операційного середовища
A.12.2 Захист від шкідливих програм
A.12.2.1 Засоби контролю проти шкідливих програм X X рекомендований Конфігурація та повнота

охоплення ПЗ контролю
шкідливих програм.
A.12.3 Резервне копіювання

ISO/IEC 27006:2015(E)
A.12.3.1 Резервне копіювання інформації X X рекомендований Політика перевірки, тести відновлення
A.12.4 Реєстрація та моніторинг
A.12.4.1 Журнал подій X X можливо Вибір подій для реєстрації на основі

ризику
A.12.4.2 Захист інформації журналу X X можливо
A.12.4.3 Журнали адміністратора та оператора X X можливо
A.12.4.4 Синхронізація годинника X можливо
A.12.5 Контроль операційного програмного забезпечення
A.12.5.1 Встановлення програмного забезпечення в X X можливо

операційних системах
A.12.6 Управління технічною вразливістю
A.12.6.1 Управління технічними X X рекомендований Управління виправленнями на основі

вразливими місцями ризиків і захист операційних систем,
баз даних і програм
A.12.6.2 Обмеження щодо встановлення програмного X X можливо

забезпечення
A.12.7 Міркування аудиту інформаційних

систем
A.12.7.1 Контроль аудиту інформаційних систем X

A.13 Безпека зв'язку
A.13.1 Управління безпекою мережі
A.13.1.1 Контроль мережі X X можливо Управління мережею
A.13.1.2 Безпека мережевих послуг X X рекомендований Угоди про рівень обслуговування, забезпечення
інформаційної безпеки мережевих послуг
(наприклад, VPN, керування мережевою
маршрутизацією та підключенням, конфігурація
мережевих пристроїв)
A.13.1.3 Сегрегація в мережах X X можливо Схеми мережі, сегменти мережі

(наприклад, DMZ) і сегрегація
(наприклад, VLAN)
A.13.2 Передача інформації
A.13.2.1 Політика та процедури X Також перевірте виконання

передачі інформації політики, якщо це необхідно
A.13.2.2 Угоди про передачу X

інформації
A.13.2.3 Електронні повідомлення X X можливо Підтвердьте, що зразки повідомлень
відповідають політиці/процедурам
A.13.2.4 Угоди про конфіденційність або X Огляд договору

нерозголошення
A.14 Придбання, розробка та

обслуговування системи
A.14.1 Вимоги безпеки інформаційних

систем
A.14.1.1 Аналіз і специфікація вимог X
A.14.1.2 Захист служб додатків у X X рекомендований Розробка прикладних служб на
публічних мережах основі ризиків
A.14.1.3 Захист транзакцій служб X X рекомендований Конфіденційність, цілісність,

додатків невідмовність
A.14.2 Безпека в процесах розробки

та підтримки
A.14.2.1 Політика безпечної розробки X Також перевірте виконання

ISO/IEC 27006:2015(E)
A.14.2.2 Процедури контролю системних змін X X рекомендований
A.14.2.3 Технічна перевірка програм X

після змін операційної платформи
A.14.2.4 Обмеження на зміни X

програмних пакетів
A.14.2.5 Принципи проектування безпечної X
системи
A.14.2.6 Безпечне середовище розробки X X можливо
A.14.2.7 Аутсорсинг розробки X

A.14.2.8 Тестування безпеки системи X
A.14.2.9 Приймальні випробування системи X X можливо
A.14.3 Тестові дані
A.14.3.1 Захист тестових даних X X можливо X

A.15 Відносини з постачальниками
A.15.1 Інформаційна безпека у відносинах з

постачальниками
A.15.1.1 Політика інформаційної безпеки для X Також перевірте виконання

відносин з постачальниками політики, якщо це необхідно
A.15.1.2 Вирішення питань безпеки в угодах з X Перевірте деякі умови контракту

постачальниками
A.15.1.3 Ланцюг постачання інформаційно- X Перевірте деякі умови контракту

комунікаційних технологій
A.15.2 Управління наданням послуг

постачальника
A.15.2.1 Моніторинг та аналіз послуг X

A.15.2.2 Управління змінами послуг X

A.16 Управління інцидентами інформаційної

безпеки
A.16.1 Управління інцидентами

інформаційної безпеки та вдосконалення
A.16.1.1 Обов'язки та процедури X

A.16.1.2 Звітування про події інформаційної X
безпеки
A.16.1.3 Повідомлення про недоліки X

A.16.1.4 Оцінка та прийняття рішень щодо X

подій інформаційної безпеки
A.16.1.5 Реагування на інциденти X

A.16.1.6 Навчання з інцидентів X

A.16.1.7 Збір доказів X

A.17 Аспекти інформаційної безпеки
управління безперервністю бізнесу
A.17.1 Безперервність інформаційної безпеки Протокол огляду керівництва
A.17.1.1 Планування безперервності інформаційної X

безпеки
A.17.1.2 Впровадження безперервності X


ISO/IEC 27006:2015(E)
A.17.1.3 Перевірити, переглянути та оцінити X
безперервність інформаційної безпеки
A.17.2 Надлишки
A.17.2.1 Наявність засобів обробки X X можливо

інформації
A.18 Відповідність
A.18.1 Дотримання законодавчих та

договірних вимог
A.18.1.1 Визначення чинного X рекомендований
законодавства та договірних вимог
A.18.1.2 Права інтелектуальної власності X
A.18.1.3 Захист записів X X рекомендований
A.18.1.4 Конфіденційність і захист X Також перевірте виконання

особистої інформації політики, якщо це необхідно
A.18.1.5 Регулювання криптографічного X

контролю
A.18.2 Огляд інформаційної безпеки
A.18.2.1 Незалежна перевірка X Читайте звіти

A.18.2.2 Відповідність політикам і X

стандартам безпеки
A.18.2.3 Огляд технічної відповідності X X

ISO/IEC 27006:2015(E)
Бібліографія
[1] ISO 19011,Методичні рекомендації з аудиту систем менеджменту
[2] ISO/IEC 27007,Інформаційні технології. Методи безпеки. Настанови щодо аудиту систем
[3] ISO 9001,Системи управління якістю — Вимоги

ISO/IEC 27006:2015(E)
ICS 35.040
Ціна з розрахунку на 35 сторінок
© ISO/IEC 2015 – Усі права захищено

ISO IEC 27006-2015.en - Uk

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

ISO IEC 27006-2015.en - Uk

Uploaded by

Copyright:

Available Formats

Translated from English to Ukrainian - www.onlinedoctranslator.

Інформаційні технології — Техніка

Номер для посилань

ДОКУМЕНТ, ЗАХИЩЕНИЙ АВТОРСЬКИМ ПРАВОМ

© ISO/IEC 2015, опубліковано в Швейцарії

ii © ISO/IEC 2015 – Усі права захищено

Передмова................................................. ................................................. ................................................. ................................................. ..................................

v Вступ................................................. ................................................. ................................................. ................................................. ........................vi

1 Область застосування................................................. ................................................. ................................................. ................................................. .........................1

2 Нормативні посилання................................................. ................................................. ................................................. ................................1

3 Терміни та визначення................................................. ................................................. ................................................. .................................1

4 Принципи................................................. ................................................. ................................................. ................................................. .............1

5 Загальні вимоги................................................. ................................................. ................................................. .................................2

6 Конструктивні вимоги................................................. ................................................. ................................................. ........................2

7 Вимоги до ресурсів................................................. ................................................. ................................................. .............................2

8 Вимоги до інформації................................................. ................................................. ................................................. ...................8

© ISO/IEC 2015 – Усі права захищено iii

9.6 Підтримка сертифікації................................................. ................................................. ................................................. .......15

10 Вимоги до системи менеджменту для органів сертифікації................................................. .................................17

Додаток С(інформативно)Методика розрахунку часу аудиту................................................. ................................................. .25

Додаток D(інформативно)Керівництво щодо перегляду впровадженого ISO/IEC 27001:2013,

Бібліографія................................................. ................................................. ................................................. ................................................. .....................35

iv © ISO/IEC 2015 – Усі права захищено

ISO (Міжнародна організація зі стандартизації) та IEC (Міжнародна електротехнічна комісія)

Комітет, відповідальний за цей документ, ISO/IEC JTC 1,Інформаційні технології, SC 27,Техніка

© ISO/IEC 2015 – Усі права захищено v

У цьому міжнародному стандарті терміни «система управління» та «система» використовуються як

vi © ISO/IEC 2015 – Усі права захищено

Інформаційні технології — Техніка безпеки — Вимоги до

Будь-який орган, що надає сертифікацію СУІБ, повинен продемонструвати компетентність і

ISO/IEC 17021-1:2015,Оцінка відповідності. Вимоги до органів, що здійснюють аудит та

ISO/IEC 27000,Інформаційні технології — Методи безпеки — Системи управління інформаційною

ISO/IEC 27001:2013,Інформаційні технології — Методи безпеки — Системи управління інформаційною

© ISO/IEC 2015 – Усі права захищено 1

5.1 Правові та договірні питання

Застосовуються вимоги ISO/IEC 17021-1, 5.1.

5.2 Управління неупередженістю

5.2.1 ІБ 5.2 Конфлікт інтересів

Органи сертифікації можуть виконувати наведені нижче обов’язки, не розглядаючись як консультанти

b) надання або публікація на запит інформації, що описує інтерпретацію органом сертифікації

5.3 Відповідальність та фінансування

Застосовуються вимоги ISO/IEC 17021-1, 5.3.

7.1 Компетентність персоналу

2 © ISO/IEC 2015 – Усі права захищено

7.1.1 IS 7.1.1 Загальні міркування

7.1.1.1 Загальні вимоги до компетентності

7.1.2 IS 7.1.2 Визначення критеріїв компетентності

7.1.2.1 Вимоги до компетентності для аудиту СУІБ

7.1.2.1.1 Загальні вимоги

а) знання інформаційної безпеки;

b) технічні знання діяльності, що підлягає аудиту;

в) знання систем управління;

г) знання принципів аудиту;

e) знання моніторингу, вимірювання, аналізу та оцінки СУІБ.

7.1.2.1.2 Термінологія, принципи, практики та методи управління інформаційною безпекою

Разом усі члени аудиторської групи повинні знати про:

a) специфічні структури документації СУІБ, ієрархія та взаємозв’язки;

b) пов'язані з управлінням інформаційною безпекою інструменти, методи, техніки та їх застосування;

в) оцінка ризиків інформаційної безпеки та управління ризиками;

d) процеси, застосовні до СУІБ;

e) поточна технологія, де інформаційна безпека може бути актуальною або проблемною.

© ISO/IEC 2015 – Усі права захищено 3

Кожен аудитор повинен виконати a), c) і d).