Первинний сертифікаційний аудит

Первинний сертифікаційний аудит системи управління інформаційною безпекою (надалі – СУІБ) Органом з сертифікації систем менеджменту ДержНДІ технологій кібербезпеки (надалі – ОССМ) проводитися у два етапи: перший етап і другий етап згідно з процедурою
ПРСМ.ОССМ-9.4 «Сертифікація систем управління інформаційною безпекою».

Перший етап сертифікаційного аудиту

Планування першого етапу сертифікаційного аудиту без складання офіційного плану аудиту забезпечує можливість виконання задач першого етапу та інформування клієнта щодо будь-яких заходів, які будуть проведені «на місці» протягом першого етапу.

Цілями першого етапу аудиту є:

а)  перевірити задокументовану інформацію СУІБ клієнта;

б) оцінити конкретний стан ділянки клієнта та провести співбесіди з персоналом клієнта з метою визначення готовності до другого етапу аудиту;

в)  проаналізувати стан клієнта та його розуміння щодо вимог стандарту
ДСТУ ISO/IEC 27001:2023 (ISO/IEC 27001:2022, IDT), зокрема стосовно визначення ключових характеристик або суттєвих аспектів, процесів, цілей і функціювання СУІБ;

г)  зібрати необхідну інформацію щодо сфери СУІБ, включаючи:

1) ділянки(нок) клієнта;

2) процеси та обладнання;

3) встановлені рівні контролю (зокрема у випадках клієнтів з розгалуженою структурою);

4) застосовні законодавчі та регуляторні вимоги.

д) проаналізувати розподіл ресурсів для проведення аудиту другого етапу і погодити з клієнтом деталі аудиту другого етапу;

е)  забезпечити конкретизацію планування аудиту другого етапу завдяки досягненню достатнього розуміння СУІБ клієнта і діяльності його дільниць в контексті стандарту
ДСТУ ISO/IEC 27001:2023 (ISO/IEC 27001:2022, IDT) або інших нормативних документів;

ж) оцінити, чи планують і провадять внутрішні аудити і аналізування з боку керівництва, і чи ступень запровадження СУІБ підтверджує готовність клієнта для аудиту другого етапу.

За умови, що хоча б частина аудиту першого етапу проводиться в приміщені клієнта, це може допомогти в досягнені зазначених вище задач.

Задокументовані висновки стосовно виконання цілей першого етапу аудиту та готовності до проведення другого етапу ОССМ повідомляє клієнту, включаючи визначення будь-яких проблемних питань, які можуть бути класифіковані як невідповідність під час аудиту другого етапу.

У визначенні інтервалу між аудитами першого і другого етапів, ОССМ приймає до уваги потреби клієнта вирішити проблемні питання, що були виявлені протягом аудиту першого етапу. ОССМ може, за необхідності, переглянути свої плани щодо другого етапу. При виникненні будь-яких значних змін, що можуть нести суттєвий вплив на СУІБ, ОССМ розглядає необхідність повторно провести аудит першого етапу, повністю або частково.

Другий етап сертифікаційного аудиту

Мета аудиту другого етапу – оцінити запровадження, зокрема результативність, СУІБ клієнта. Аудит другого етапу проводиться на місці(ях) розташування клієнта.

Він охоплює щонайменше, таке:

а)  інформацію та докази відповідності всім вимогам стандарту ДСТУ ISO/IEC 27001:2023 (ISO/IEC 27001:2022, IDT);

б) провадження моніторингу, вимірювання, звітування і аналізування щодо ключових цілей і завдань (узгоджених з очікуваннями у стандарту ДСТУ ISO/IEC 27001:2023
(ISO/IEC 27001:2022, IDT);

в)  дотримання СУІБ клієнта і його діяльністю застосовних законодавчих, регуляторних та договірних вимог;

г)  оперативне керування процесами клієнта;

д) провадження внутрішніх аудитів і аналізування з боку керівництва;

е)  відповідальність керівництва клієнта за власні політики.

Група з аудиту ОССМ аналізує всю інформацію і докази сертифікаційного аудиту, зібрані протягом аудитів першого і другого етапів, щоб проаналізувати дані аудиту і узгодити висновки аудиту.

СХЕМА ПРОЦЕСУ АУДИТУ ТА СЕРТИФІКАЦІЇ

ЗАЯВКА НА ПРОВЕДЕННЯ РОБІТ З CЕРТИФІКАЦІЇ СИСТЕМИ УПРАВЛІННЯ ІНФОРМАЦІЙНОЮ БЕЗПЕКОЮ

ОПИТУВАЛЬНА АНКЕТА