Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение С
(справочное)
Продолжительность аудита
С.1 Введение
В настоящем приложении содержится дополнительная информация, касающаяся пунктов 9.1, 9.2, 9.3 и 9.4 ИСО/МЭК 17021:2006. Ее следует читать вместе с пунктами ИБ 9.1.2, ИБ 9.1.3, ИБ 9.1.5, ИБ 9.1.6, ИБ 9.2.3.1, ИБ 9.2.3.2 и ИБ 9.2.3.3 настоящего стандарта. Это приложение представляет собой руководство для органа сертификации по разработке собственных процедур определения времени, требуемого для сертификации области действия СМИБ организаций-клиентов различных размеров и сложности в широком спектре деятельности.
Органам сертификации необходимо определить продолжительность аудита, которая должна затрачиваться на первоначальную сертификацию, надзор и повторную сертификацию для каждой организации-клиента и сертифицированной СМИБ. Использование данного приложения в период планирования аудита может привести к формированию последовательного подхода к определению соответствующего времени, требуемого аудитору. В руководстве, приведенном в настоящем приложении, также учитываются гибкость в отношении результатов аудита, особенно во время его первого этапа, и сложность рассматриваемой области действия СМИБ.
С.2 Процедура определения продолжительности аудита
Опыт показывает, что область действия СМИБ и количество сотрудников (как проиллюстрировано в таблице времени аудитора в пункте С.3), размер, характеристики, сложность и значимость потенциальных рисков информационной безопасности (ниже объясняется более подробно) обусловливают время для аудитов данной СМИБ. В пункте ИБ 9.1.3, а также в пунктах ИБ 9.2.3.1, ИБ 9.2.3.2 и ИБ 9.2.3.3 перечисляются критерии, которые должны учитываться при определении необходимого времени аудитора. Эти и другие факторы должны рассматриваться в процессе анализа договора органа сертификации ввиду их потенциального влияния на назначение времени аудитора.
Важно отметить, что все эти факторы должны приниматься во внимание при определении продолжительности аудита и что таблица времени аудитора в пункте С.3 не может использоваться отдельно. Следующие примеры иллюстрируют факторы, которые могут повлиять на продолжительность аудита, и конкретизируют перечень факторов, данных в пункте ИБ 9.1.3, а именно:
факторы, касающиеся размера области действия СМИБ (например, количество использованных информационных систем, объем обрабатываемой информации, количество пользователей, количество привилегированных пользователей, количество платформ ИТ, количество объектов и их размер);
факторы, касающиеся сложности СМИБ (например, критичность информационных систем, ситуация риска СМИБ, объемы и виды обрабатываемой секретной и критической информации, количество и типы электронных сделок, количество и объем опытно-конструкторских работ, размер удаленного рабочего места, объем документации СМИБ);
вид(ы) деятельности, осуществляемой в области действия СМИБ, требования безопасности, правовые, регулирующие, договорные и требования, касающиеся этих видов деятельности;
объем и разнообразие технологий, использованных в реализации различных компонентов СМИБ (такие как: внедренные меры управления, контроль документации и/или управление процессом, корректирующие/предупредительные действия, информационные системы, системы ИТ, сети, например, являются ли они фиксированными, мобильными, беспроводными, внешними, внутренними);
количество объектов в пределах области действия СМИБ, насколько они идентичны или различны и будет ли проверяться вся совокупность объектов или выборка из них;
ранее продемонстрированное функционирование СМИБ;
объем аутсорсинга и мероприятий третьей стороны, использованных в области действия СМИБ и зависимость от этих услуг;
стандарты, законы и нормативы, применяющиеся к сертификации, и специфические для сектора требования, которые могут применяться.
Сертификация СМИБ обычно занимает больше времени, чем сертификация системы менеджмента качества или системы экологического менеджмента, из-за возросших требований к СМИБ, таких как требования к политике СМИБ, менеджменту риска, целям управления СМИБ и средствам контроля. Орган сертификации обязан:
a) проверить правильность и последовательность метода, посредством которого организация-клиент определяет значимость рисков информационной безопасности и воздействий на нее;
b) подтвердить, что система, предназначенная для достижения соответствия (со всеми соответствующими законами и другими требованиями, относящимися к СМИБ), способна это выполнить и что она работает и поддерживается;
c) подтвердить, что цели управления и средства контроля выбраны и реализованы правильно, их результативность оценивается и что процесс достижения "предотвращения и соответствующего реагирования на нарушения безопасности" является правильным и соблюдается;
d) подтвердить выполнение требований документации СМИБ организации-клиента;
e) реагировать на возросшие требования, появившиеся в результате первого этапа аудита.
С.3 Таблица времени аудитора
С.3.1 Общие положения
В таблице времени аудитора (таблица С.1) установлено среднее количество дней для первоначального аудита (здесь и в дальнейшем оно включает в себя дни аудита первого и второго этапов), которое, как показал опыт, целесообразно для области действия СМИБ с заданным числом сотрудников. Для областей действия сходных по размерам СМИБ требуется разное количество времени аудитора.
Изменение времени, затраченного на каждую сертификацию, зависит от количества факторов, включая размер, область действия аудита, материально-техническое обеспечение, сложность организации и ее состояние готовности к проведению аудита (см. также пункт С.2). Эти и другие факторы должны рассматриваться в процессе анализа договора органом сертификации ввиду их потенциального влияния на определение времени, требуемого аудитору. Следовательно, таблица времени аудитора не может использоваться отдельно.
Таблица времени аудитора представляет основную схему, которая может использоваться для планирования аудита путем определения отправной точки, основанной на общем количестве сотрудников всех смен, и регулирования этого количества на основе значимых факторов, применяющихся к области действия СМИБ, которая должна подвергаться аудиту, и придания каждому фактору своего коэффициента важности (аддитивный или субтрактивный) с целью определения необходимого числа сотрудников. Термины, использующиеся в этой таблице, объясняются в пункте С.3.2.
Таблица С.1 - Таблица времени аудитора
Количество сотрудников |
Время аудитора для первоначального аудита системы менеджмента качества (дни аудитора) |
Продолжительность первоначального аудита системы экологического менеджмента (дни аудитора) |
Продолжительность первоначального аудита СМИБ (дни аудитора) |
Аддитивные и субтрактивные факторы |
Общее время аудитора |
1~10 |
2 |
3 |
5 |
См. приложение С.2 |
|
11~25 |
3 |
|
7 |
См. приложение С.2 |
|
26~45 |
4 |
6 |
8,5 |
См. приложение С.2 |
|
46~65 |
5 |
|
10 |
См. приложение С.2 |
|
66~85 |
6 |
|
11 |
См. приложение С.2 |
|
86~125 |
7 |
8 |
12 |
См. приложение С.2 |
|
126~175 |
8 |
|
13 |
См. приложение С.2 |
|
176~275 |
9 |
|
14 |
См. приложение С.2 |
|
276~425 |
10 |
|
15 |
См. приложение С.2 |
|
426~625 |
11 |
12 |
16,5 |
См. приложение С.2 |
|
626~875 |
12 |
|
17,5 |
См. приложение С.2 |
|
876~1,175 |
13 |
|
18,5 |
См. приложение С.2 |
|
1,176~1,550 |
14 |
|
19,5 |
См. приложение С.2 |
|
1,551~2,025 |
15 |
18 |
21 |
См. приложение С.2 |
|
2,026~2,675 |
16 |
|
22 |
См. приложение С.2 |
|
2,676~3,450 |
17 |
|
23 |
См. приложение С.2 |
|
3,451~4,350 |
18 |
|
24 |
См. приложение С.2 |
|
4,351~5,450 |
19 |
|
25 |
См. приложение С.2 |
|
5,451~6,800 |
20 |
|
26 |
См. приложение С.2 |
|
6,801~8,500 |
21 |
|
27 |
См. приложение С.2 |
|
8,501~10,700 |
22 |
|
28 |
См. приложение С.2 |
|
>10,700 |
Та же самая прогрессия |
|
Та же самая прогрессия |
См. приложение С.2 |
|
С.3.2 Объяснение терминов
Термин "сотрудники", упоминающийся в таблице времени аудитора, относится ко всем лицам, чья рабочая деятельность имеет отношение к области действия СМИБ. Общее количество сотрудников всех смен является отправной точкой для определения продолжительности аудита.
Фактическое количество сотрудников включает непостоянный (сезонный, временный и субподрядный) штат, который будет представлен во время аудита. Орган сертификации должен согласовать с организациями-клиентами расчет продолжительности аудита, за которую наилучшим образом будет продемонстрирована вся область деятельности организации. По обстановке этот расчет может включать время года, месяц, день/дату и смену.
Частично занятые сотрудники должны рассматриваться как сотрудники с полной занятостью. Такое решение зависит от количества отработанных часов по сравнению с отработанными часами сотрудников с полной занятостью.
Термин "время аудитора" означает время, затраченное аудитором или аудиторской группой на первый и второй этапы аудита и планирование (включая при необходимости внешнюю проверку документов); согласование с организацией-клиентом, персоналом, записями, документацией и процессом; написание отчета. Предполагается, что "время аудитора", затраченное на планирование и написание отчета, обычно не должно сокращать общее "время аудитора" на месте менее чем до 70% времени, показанного в таблице времени аудитора. Время передвижений аудитора не включается в этот расчет и является дополнительным ко времени аудитора, обозначенному в таблице.
Примечание 1 - 70% времени являются фактором, основанным на опыте проведения аудитов СМИБ.
Если используются технологии проведения удаленного аудита, такие как интерактивное веб-сотрудничество, веб-собрания, телеконференции и/или электронная проверка процессов организации-клиента, они должны быть оговорены в плане аудита (см. ИБ 9.1.5) и могут рассматриваться как факторы, увеличивающие общее "время аудитора на месте".
Если орган сертификации разрабатывает план аудита, для которого технологии проведения удаленного аудита составляют более чем 30% от запланированного времени аудитора на месте, орган сертификации должен обосновать этот план аудита и получить специальное одобрение от органа аккредитации до его реализации.
Примечание 2 - Время аудитора на месте относится ко времени аудитора, определенному для индивидуальных объектов. Электронные аудиты удаленных объектов рассматриваются как дистанционные аудиты, даже если эти электронные аудиты физически осуществляются в помещениях организации-клиента.
"Время аудитора" в таблице исчисляется в "днях аудитора", затраченных на аудит. Обычно "днем аудитора" является полный рабочий день.
Для цикла первоначального сертификационного аудита время надзора для данной организации должно быть пропорционально времени, затраченному на первоначальный аудит с общим временем, затраченным в год на надзор, составляющим 1/3 времени, затраченного на первоначальный аудит. Запланированное время надзора должно периодически пересматриваться, чтобы учесть все изменения в организации, технологическую зрелость системы и т.д., по крайней мере, во время аудита повторной сертификации.
Общее время, затраченное на осуществление аудита повторной сертификации, будет зависеть от полученных данных анализа, определенных в пункте ИБ 9.1.6 настоящего стандарта и ИСО/МЭК 17021:2006, пункт 9.4. Время, затраченное на повторный сертификационный аудит, должно быть пропорционально времени, затраченному на первоначальный сертификационный аудит той же самой организации, и должно составлять около 2/3 от времени, которое потребовалось бы для первоначального сертификационного аудита той же самой организации. Время аудита повторной сертификации превышает, как описано выше, время регулярного надзора, но когда повторный сертификационный аудит выполняется за то же самое время, что запланированная инспекция по регулярному надзору, аудита повторной сертификации также будет достаточно для удовлетворения требованиям к надзору. Руководство ИБ 9.1.2 применяется независимо от сделанного вывода.
После выбора общей отправной точки для определения необходимой продолжительности аудита области действия типичной СМИБ с заданным количеством сотрудников должны быть рассмотрены некоторые уточнения, чтобы учесть различия, которые могли бы повлиять на действительное время аудитора, необходимое для выполнения эффективного аудита для конкретной проверяемой СМИБ в дополнение к факторам, указанным в пункте С.2.
Примерными факторами, требующими дополнительного времени аудитора, могут быть:
сложное материально-техническое обеспечение, включающее более одного здания или помещения в области действия СМИБ;
штат, говорящий на нескольких языках (требуется переводчик(и) или предотвращение независимой работы отдельных аудиторов);
высокая степень регулирования;
СМИБ охватывает очень сложные процессы или относительно большое количество видов деятельности, или уникальную в своем роде деятельность;
процедуры, предусматривающие использование комбинации аппаратных средств, программного обеспечения процессов и услуг;
действия, требующие инспекции временных объектов для подтверждения правильности действия постоянного объекта(ов), чья система менеджмента подлежит сертификации (см. Примечание 3).
Примерными факторами, позволяющими сокращать время аудитора, могут быть:
процессы/продукты с низкой степенью риска;
априорное знание организации-клиента (например, если организация-клиент уже сертифицировалась по другому стандарту тем же органом сертификации);
готовность организации-клиента к сертификации (например, уже сертифицированной или признанной по другой схеме третьей стороны);
процессы, использующие один общий вид деятельности (например, только предоставление услуг);
зрелость системы менеджмента;
высокий процент сотрудников, выполняющих аналогичные простые задачи.
Примечание 3 - В ситуациях, когда клиент сертификации или сертифицированная организация представляет свой(и) продукт(ы) или услуги на временных объектах, важно, чтобы оценки подобных объектов включались в сертификационный аудит и программы надзора.
Временный объект - это место, отличное от объекта/места, идентифицированного в документе по сертификации, где деятельность в рамках области действия сертификации реализуется за определенный период времени. Эти объекты могут варьироваться от главных объектов по управлению проектом до второстепенных объектов для обслуживания/инсталляции. Необходимость инспекции подобных объектов и объем выборки объектов для проверки должны основываться на оценке рисков дефекта продукта или эксплуатационного отказа системы. Образец выбранных объектов должен представлять совокупность потребностей в компетентности и вариантов услуг организации-клиента с учетом масштабов и типов деятельности и различных этапов действующих проектов.
Необходимо рассматривать все особенности области действия СМИБ, процессы и продукты/услуги и осуществлять качественную корректировку факторов, которые могли бы более или менее обосновать время аудитора, требуемое для проведения эффективного аудита. Во всех случаях внесения поправок в таблицу времени аудитора для обоснования этих изменений должно быть достаточно оснований и документов.
Приведенная диаграмма на рисунке С.1 иллюстрирует потенциальное влияние аддитивных и субтрактивных факторов на время, требуемое аудитору, из таблицы С.1.
"Рисунок С.1 - Потенциальное влияние аддитивных и субтрактивных факторов на время, требуемое аудитору"
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.