ISO/IEC 27006
ISO/IEC 27006 ist ein Informationssicherheit Standard, veröffentlicht von der Internationale Standardisierungsorganisation (ISO) und die Internationale Elektrotechnische Kommission (IEC). Teil von ISO/IEC 27000 Serie Von ISO/IEC Information Security Management System (ISMS) Standards ( Informationstechnologie - Sicherheitstechniken - Anforderungen an Körper, die Audit und Zertifizierung von Systemen für Informationssicherheitsmanagement bereitstellen.
ISO/IEC 27006 enthält formelle Anforderungen für akkreditierte Organisationen, die andere Organisationen zertifizieren, die mit ISO/IEC 27001 entsprechen.
Es ersetzt effektiv EA 7/03 (Richtlinien für die Akkreditierung von Zertifizierungszertifizierung/ Registrierung von. Informationssicherheitsmanagementsystemen).
Der Standard hilft sicherzustellen, dass ISO/IEC 27001 -Zertifikate von akkreditierten Organisationen sinnvoll und vertrauenswürdig sind. Mit anderen Worten, es ist eine Frage der Sicherheit.
Beschreibung des Standards
ISO 27006 beschreibt die Anforderungen, die für Dritte akkreditiert werden sollen, die von ISSMs von ISO 17021-1 und ISO 27001 festgelegt wurden, die Informationssicherheitsmanagementsysteme (ISMS) prüfen und zertifizieren zweimal überarbeitet, weil signifikante Änderungen am Standard -ISO 17021 -Standard vorgenommen wurden. Die aktuelle Version ist ISO 27006 Dritte Ausgabe, die 2015 veröffentlicht wurde.[1]
ISO 27006: 2015 setzt Standards für die Demonstration der Kompetenz der ISMS -Prüfer fest. Die ISMS der Zertifizierungsbehörde ist erforderlich, um jeden Auditor im Auditing -Team zu überprüfen.
- ISMS -Überwachung, Messung, Analyse und Bewertung,
- Informationssicherheit,
- Verwaltungs-Systeme,
- Prüfungsprinzipien und
- Technisches Kenntnis der Systeme, die geprüft werden sollen.
Alle Prüfer des Teams müssen sich gemeinsam mit der Terminologie, den Prinzipien und Techniken des Informationssystems vertraut sein. Sie müssen alle Anforderungen aus ISO 27001 kennen, alle in ISO 27002 aufgeführten Kontrollen. Außerdem müssen sich die Prüfer der Unternehmensmanagementpraktiken, der rechtlichen und regulatorischen Anforderungen in einem bestimmten Bereich des Informationssystems, der Geographie und der Gerichtsbarkeiten bewusst sein.
Die Kompetenz muss auch durch das Personal nachgewiesen werden, das die Audits überprüft und Zertifizierungsentscheidungen getroffen hat. Sie müssen über ausreichendes Wissen verfügen, um die Genauigkeit des Zertifizierungsbereichs zu überprüfen. Sie müssen auch über allgemeine Kenntnisse über Managementsysteme, Prüfungsverfahren, Prinzipien und Techniken verfügen.
ISO27006: 2015 beschreibt auch angemessene Ausbildung, berufliche Entwicklung, Schulungen zu ISMS -Audits und aktuelles/relevantes Erfahrungsniveau.[2]
Absicht des Standards
Die Hauptabsicht von ISO 27006 besteht darin, die Akkreditierung für Dritte zu unterstützen, die das System des Informationssicherheitsmanagements zertifizieren. Alle akkreditierten Prüfungen und Bestätigung der Einhaltung von ISO 27001 müssen die Anforderungen in diesem Standard erfüllen, um sicherzustellen, dass die ISMS-Zertifizierungen gültig sind. Akkreditierte Dritte müssen ihre Kompetenz und Zuverlässigkeit demonstrieren.
Anwendung
Eine mittelständische Organisation, die eine ISO 27001-Zertifizierung anstrebt, muss eine akkreditierte Zertifizierungsstelle einstellen, um die ISMS-Zertifizierungsprüfung abzuschließen. Die Organisation sollte die Sorgfaltspflicht abschließen, um sicherzustellen, dass das ausgewählte Wirtschaftsprüfungsunternehmen ISO27006: 2015 Standard entspricht. Während des Audits sollte die Organisation sicherstellen, dass alle zum Abschluss des Audits erforderlichen Dokumentationen verfügbar sind, und das Auditing -Team ISMS -Aufzeichnungen bereitstellen, einschließlich der Informationen zu ISMS -Design und Effektivität der Steuerelemente.
Siehe auch
Verweise
- ^ "ISO/IEC 27006: 2015 - Informationstechnologie - Sicherheitstechniken - Anforderungen an Körper, die Audit und Zertifizierung von Systemen für Informationssicherheitsmanagementsysteme liefern". www.iso.org. Abgerufen 2018-07-02.
- ^ "ISO/IEC 27006: 2015 Informationstechnologie - Sicherheitstechniken - Anforderungen an Körper, die Audit und Zertifizierung von Systemen für Informationssicherheitsmanagementsysteme bereitstellen". Joint Technical Committee ISO/IEC JTC 1 - Informationstechnologie und Unterausschuss SC 27 - IT -Sicherheitstechniken. 10. Januar 2015 - über Distributed über das amerikanische National Standard Institute (ANSI).
{{}}
: Journal zitieren erfordert|journal=
(Hilfe)