В ноябре 2011 года вышла новая версия стандарта ISO/IEC 27006:2011.

24.01.2012

Данная информация будет полезна, прежде всего, для органов по сертификации, консультационных компаний и независимых консультантов.

Стандарт ISO/IEC 27006:2011 вышел взамен стандарту ISO/IEC 27006:2007.

ISO/IEC 27006 является изданным стандартом ISO/IEC, который служит для сертификационных органов для формализации процесса аудита систем менеджмента информационной безопасности. Его основное предназначение – создание требований для адекватности, прослеживаемости и независимости аудита систем менеджмента информационной безопасности, построенных в соответствии с требованиями международного стандарта ISO/IEC 27001.

ISO/IEC 27006 определяет требования к органам по сертификации в дополнение к требованиям, содержавшихся в стандартах ISO/IEC 17021, ISO 19011 и ISO/IEC 27001.

Выполнение требований стандарта ISO/IEC 27006 является обязательным для получения аккредитации органом по сертификации. Стандарт ISO/IEC 27006 включает в себя и заменяет более старое руководство EA7/03 для процессов аккредитации.

Данный стандарт, только от части, может быть полезен компаниям, проводящим работы по внедрению и поддержке систем менеджмента информационной безопасности. Изучая данный стандарт, компании могут получить понимание процесса сертификации со стороны органа по сертификации. Также, стандарт ISO/IEC 27006 может помочь в выборе адекватного органа по сертификации и знания процесса сертификации. Применять же требования данного стандарта для сертифицирующихся компаний не имеет смысла, т.к. в нем заложены жесткие требования именно для органов по сертификации.

Содержание

Foreword

Introduction

1 Scope

2 Normative references

3 Terms and definitions

4 Principles

5 General requirements

5.1 Legal and contractual matter

5.2 Management of impartiality

5.3 Liability and financing

6 Structural requirements

6.1 Organizational structure and top management

6.2 Committee for safeguarding impartiality

7 Resource requirements

7.1 Competence of management and personnel

7.2 Personnel involved in the certification activities

7.3 Use of individual external auditors and external technical experts

7.4 Personnel records

7.5 Outsourcing

8 Information requirements

8.1 Publicly accessible information

8.2 Certification documents

8.3 Directory of certified clients

8.4 Reference to certification and use of marks

8.5 Confidentiality

8.6 Information exchange between a certification body and its clients

9 Process requirements

9.1 General requirements

9.2 Initial audit and certification

9.3 Surveillance activities

9.4 Recertification

9.5 Special audits

9.6 Suspending, withdrawing or reducing scope of certification

9.7 Appeals

9.8 Complaints

9.9 Records of applicants and clients

10 Management system requirements for certification bodies

10.1 Options

10.2 Option 1 – Management system requirements in accordance with ISO 9001

10.3 Option 2 – General management system requirements

Annex A (informative) Analysis of a client organization’s complexity and sector-specific aspects

Annex B (informative) Example areas of auditor competence

Annex C (informative) Audit time

Annex D (informative) Guidance for review of implemented ISO/IEC 27001:2005, Annex A controls

Источник: Александр Дмитриев, ведущий аудитор ISO 27001, BS 25999, ISO 9001