Орган з сертифікації систем менеджменту ДержНДІ технологій кібербезпеки (надалі – ОССМ) підтримує надану клієнту сертифікацію, базуючись на демонстрації того, що клієнт продовжує задовольняти вимоги стандарту ДСТУ ISO/IEC 27001:2023 (ISO/IEC 27001:2022, IDT).

Діяльність щодо наглядання

ОССМ планує свою діяльність щодо наглядання таким чином, щоб на регулярній основі проводити моніторинг репрезентативних об’єктів і функцій, які охоплені сферою системи управління інформаційною безпекою (надалі – СУІБ), а також враховувати зміни у сертифікованого клієнта і його СУІБ.

Діяльність щодо наглядання передбачає аудити на місці, під час яких оцінюють дотримання сертифікованою СУІБ клієнта встановлених вимог стандарту, на відповідність якому надано сертифікацію. Інші дії щодо наглядання можуть охоплювати:

• запити від ОССМ до сертифікованого клієнта щодо аспектів сертифікації;
• аналізування будь-яких заяв сертифікованого клієнта щодо його дій (наприклад, рекламних матеріалів, веб-сайту);
• запити сертифікованому клієнту щодо надання документів і записів (на паперових або електронних носіях);
• інші заходи моніторингу роботи сертифікованого клієнта.

Наглядові аудити - це аудити на місці, але не обов'язково повні аудити системи, які плануються разом з іншими діями щодо наглядання таким чином, щоб ОССМ був в змозі підтримувати упевненість в тому, що сертифікована СУІБ клієнта продовжує відповідати вимогам у періоди між повторними сертифікаційними аудитами. Кожен нагляд охоплює:

• внутрішні аудити і аналізування з боку керівництва;
• перевіряння дій, ужитих стосовно невідповідностей, що були виявлені під час попереднього аудиту;
• розглядання скарг;
• ефективність СУІБ відповідно до досягнення сертифікованим клієнтом задач та намічених результатів відповідної(них) СУІБ;
• хід виконання запланованих дій, спрямованих на постійне поліпшування;
• постійний оперативний контроль;
• перевіряння будь-яких змін;
• використовування знаків та/або будь-яких інших посилань на сертифікацію.

Наглядові аудити проводяться щонайменше один раз рік. Дата першого наглядового аудита, після первинної сертифікації, не повинна перебільшувати 12 місяців від останнього дня аудита етапу 2.

Повторна сертифікація

Мета повторного сертифікаційного аудиту - підтвердити постійну відповідність і результативність СУІБ в цілому, а також її постійну відповідність і придатність для сфери сертифікації.

Повторний сертифікаційний аудит планується і проводиться для того, щоб оцінити постійне виконання всіх вимог стандарту ДСТУ ISO/IEC 27001:2023 (ISO/IEC 27001:2022, IDT) або іншого нормативного документу. Такий аудит планується та проводиться своєчасно з метою забезпечення продовження сертифікації вчасно, до закінчення дії сертифікату.

Заходи з повторної сертифікації охоплюють аналіз звітів попередніх наглядових аудитів та результативності СУІБ протягом останнього циклу сертифікації.

У ситуаціях, коли відбулись суттєві зміни в СУІБ, у клієнта або в контексті функціонування СУІБ (наприклад, зміни до законодавства), під час здійснення діяльності щодо повторного сертифікаційного аудиту може виникнути потреба у проведенні аудиту першого етапу.

Такі ситуації можуть виникнути в будь-який час протягом циклу сертифікації і ОССМ може знадобитись провести спеціальний аудит, який може складатися з одного або двох етапів.

Повторний сертифікаційний аудит охоплює аудит на місці і враховує:

• ефективність СУІБ в цілому з урахуванням внутрішніх і зовнішніх змін та її постійної відповідності і придатності у сфері сертифікації;
• продемонстроване виконання зобов'язань підтримувати результативність і поліпшувати СУІБ для того, щоб удосконалювати усі показники;
• ефективність СУІБ стосовно досягнення сертифікованим клієнтом цілей та запланованих результатів відповідної СУІБ.

Для будь-яких суттєвих невідповідностей ОССМ визначає терміни для коригування та коригувальних дій. Такі дії повинні бути впроваджені та перевірені до закінчення дії сертифікації.

Якщо заходи з повторної сертифікації успішно завершено до дати завершення існуючої сертифікації, дата завершення нової сертифікації може ґрунтуватись на даті завершення чинної сертифікації. Дата видання нового сертифіката повинна бути однаковою або пізнішою ніж дата рішення щодо повторної сертифікації.

Якщо ОССМ не завершив аудит повторної сертифікації або ОССМ не має можливості перевірити впровадження коригувань та коригувальних дій щодо будь-яких суттєвих невідповідностей до дати завершення сертифікації, повторна сертифікація не рекомендується та дія сертифікації не подовжується. Клієнта поінформують про таке рішення, а також про його наслідки.

Після закінчення дії сертифікації ОССМ може поновити сертифікацію в термін до 6 місяців за умови завершення всіх заходів з повторної сертифікації, в іншому випадку проводиться щонайменше аудит другого етапу. Дата набуття чинності сертифікатом повинна бути однаковою або пізнішою ніж дата рішення щодо повторної сертифікації. Дата завершення дії повинна ґрунтуватись на попередньому циклі сертифікації.

Спеціальні аудити

ОССМ, у відповідь на заявку щодо розширення сфери вже наданої сертифікації, розпочинає аналізування заявки і визначає будь-які дії щодо аудиту, необхідні для вирішення того, чи можна прийняти рішення щодо розширення сфери сертифікації, чи ні. Це може бути проведено у поєднанні з наглядовим аудитом.

З метою розслідування скарг, або у відповідь на зміни, або як подальші дії щодо клієнтів, сертифікацію яких було призупинено, у ОССМ може виникнути необхідність проводити аудит сертифікованих клієнтів у стислі строки або без попереднього повідомлення. У таких випадках:

• ОССМ описує і заздалегідь повідомляє сертифікованих клієнтів щодо умов, за яких такі аудити будуть здійснюватися;
• ОССМ приділяє додаткову увагу призначенню групи з аудиту через відсутність можливості для клієнта заперечити склад групи з аудиту.

Призупинення, скасування або скорочення сфери сертифікації

Відповідно до вимог ДСТУ EN ISO/IEC 17021-1:2017 ОССМ може призупинити, скасувати або скоротити сферу сертифікації, у випадках, коли, наприклад:

• сертифікована СУІБ клієнта постійно або суттєво не відповідає вимогам сертифікації, зокрема, вимогам щодо результативності СУІБ;
• сертифікований клієнт не дозволяє проводити наглядові аудити або повторні сертифікаційні аудити з необхідною періодичністю;
• сертифікований клієнт добровільно подав прохання щодо призупинення.

Під час призупинення, сертифікація СУІБ клієнта є тимчасово недійсною.

ОССМ поновлює призупинену сертифікацію, якщо проблемне питання, результатом якого є призупинення, вирішено. Неспроможність вирішити проблемне питання, результатом якого є призупинення, в терміни, встановлені ОССМ, має своїм результатом скасування сертифікації або скорочення сфери сертифікації.

У більшості випадків призупинення не перевищує 6 місяців.

ОССМ скорочує сферу сертифікації клієнта, щоб виключити частини, які не відповідають вимогам, якщо клієнт постійно або суттєво не відповідає вимогам сертифікації відносно цих частин сфери сертифікації. Будь-яке таке скорочення узгоджується з вимогами стандарту, що використовується для сертифікації.