8.4. Теми, що підлягають оцінці

CA SHALLпройти аудит відповідно до однієї з наступних схем:
1. WebTrust для CAs v2.0 або новішої І WebTrust для CA SSL Baseline з мережевою безпекою v2.2 або новішої;
2. ETSI EN 319 411-1, який включає нормативні посилання на ETSI EN 319 401 (повинна бути застосована остання версія документів, на які посилається ETSI); або
3.Якщо відповідно до Політики сертифікації для використання іншої системи внутрішнього аудиту Державний ЦС MAY використовувати таку схему за умови, що аудит або (a) охоплює всі вимоги однієї з перерахованих вище схем або (b) складається з порівнянних критеріїв, доступних для громадського огляду.

Яка б не була схема обрана, вона MUST включати в себе періодичні процедури моніторингу та / або підзвітності для забезпечення того, щоб її аудити продовжували проводитись відповідно до вимог схеми.

Аудит MUST проводити кваліфікований аудитор, як зазначено в розділі 8.2.

Для делегованих третіх сторін, які не є підприємствами RА, CA SHALL отримати звіт про аудит, виданий відповідно до стандартів аудиту, які лежать в основі прийнятих схем аудиту, які викладені в розділі 8.1, в якому є висновок про те, чи відповідає діяльність третьої сторони або практика сертифікації третьої сторони Політиці сертифікації CA та / або Практиці сертифікації. Якщо думка така, що Делегована третя сторона не виконує, тоді CA SHALL не дозволяти делегованій третій стороні продовжувати виконувати делеговані функції.

Період перевірки делегованої сторонньої сторони SHALL NOT перевищує один рік (ідеально підходить до аудиту CА). Однак, якщо СА або Делегована третя сторона знаходиться під управлінням, контролем або наглядом органу державної влади, а схема аудиту завершується протягом декількох років, то щорічний аудит MUST охоплювати, принаймні, основні елементи контролю, які повинні бути перевірені щорічно за допомогою такої схеми плюс та частина всіх неосновних перевірок, що дозволяється проводити рідше, але ні в якому разі не можна проводити аудит неосновного контролю рідше, ніж один раз на три роки.