ИСО/МЭК 27006
Эта статья может чрезмерно полагаться на источники, слишком тесно связанные с предметом , что потенциально препятствует тому, чтобы статья была проверяемой и нейтральной . ( сентябрь 2022 г. ) |
ISO/IEC 27006 — это стандарт информационной безопасности , опубликованный Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC). Часть серии ISO/IEC 27000 стандартов ISO/IEC на системы управления информационной безопасностью (ISMS) называется « Информационные технологии. Методы обеспечения безопасности. Требования к органам, обеспечивающим аудит и сертификацию систем управления информационной безопасностью» .
ISO/IEC 27006 устанавливает формальные требования к аккредитованным организациям, которые сертифицируют другие организации на соответствие ISO/IEC 27001.
Он фактически заменяет EA 7/03 (Руководство по аккредитации органов, осуществляющих сертификацию/регистрацию систем управления информационной безопасностью).
Стандарт помогает гарантировать, что сертификаты ISO/IEC 27001, выданные аккредитованными организациями, являются значимыми и заслуживающими доверия, другими словами, это вопрос гарантии.
Описание стандарта [ править ]
В ISO 27006 изложены требования, которые должны быть аккредитованы для третьих сторон, которые проводят аудит и сертификацию систем управления информационной безопасностью (ISMS), в дополнение к требованиям, установленным ISO 17021-1 и ISO 27001. Этот стандарт был впервые опубликован в 2007 году, и его необходимо было дважды пересматривался из-за значительных изменений, внесенных в стандарт ISO 17021. Текущей версией является третье издание ISO 27006, опубликованное в 2015 году. [1]
ISO 27006:2015 устанавливает стандарты для демонстрации компетентности аудиторов СМИБ. Орган по сертификации, проводящий аудит СМИБ, обязан проверять, что каждый аудитор в аудиторской группе обладает знаниями:
- Мониторинг, измерение, анализ и оценка СМИБ,
- информационная безопасность,
- Системы управления,
- Принципы аудита и
- Технические знания систем, подлежащих аудиту.
Все аудиторы в команде должны вместе разбираться в терминологии, принципах и методах управления информационными системами. Они должны знать все требования ISO 27001, все средства контроля, перечисленные в ISO 27002. Кроме того, аудиторы должны быть осведомлены о практике управления бизнесом, законодательных и нормативных требованиях в конкретной области информационных систем, географии и юрисдикции.
Компетентность также должна быть продемонстрирована персоналом, рассматривающим аудиты и принимающим решения по сертификации. Им необходимо обладать достаточными знаниями для проверки точности области сертификации. Кроме того, им необходимо иметь общие знания о системах управления, процедурах, принципах и методах аудита.
ISO27006:2015 также описывает адекватное образование, профессиональное развитие, обучение, охватывающее аудит СМИБ, а также текущий/соответствующий уровень опыта. [2]
Цель стандарта [ править ]
Основной целью ISO 27006 является поддержка аккредитации третьих сторон, сертифицирующих систему управления информационной безопасностью. Любая аккредитованная сторонняя проверка и подтверждение соответствия стандарту ISO 27001 должны соответствовать требованиям настоящего стандарта, чтобы гарантировать действительность сертификатов СМИБ. Аккредитованным третьим лицам необходимо продемонстрировать свою компетентность и надежность.
Приложение [ править ]
Организация среднего размера, желающая получить сертификат ISO 27001, должна нанять аккредитованный орган по сертификации для проведения сертификационного аудита СМИБ. Организация должна провести комплексную проверку, чтобы убедиться, что выбранная аудиторская фирма соответствует стандарту ISO27006:2015. В ходе аудита организация должна обеспечить доступность всей документации, необходимой для завершения аудита, предоставить проверяющей группе записи СМИБ, включая, помимо прочего, информацию о конструкции СМИБ и эффективности средств контроля.
См. также [ править ]
Ссылки [ править ]
- ^ «ISO/IEC 27006:2015 – Информационные технологии. Методы обеспечения безопасности. Требования к органам, обеспечивающим аудит и сертификацию систем менеджмента информационной безопасности» . www.iso.org . 17 декабря 2015 года . Проверено 2 июля 2018 г.
- ^ «ISO/IEC 27006:2015 Информационные технологии. Методы обеспечения безопасности. Требования к органам, обеспечивающим аудит и сертификацию систем управления информационной безопасностью». Объединенный технический комитет ISO/IEC JTC 1 – Информационные технологии и подкомитет SC 27 – Методы ИТ-безопасности. 10 января 2015 г. – через Распространено через Американский национальный институт стандартов (ANSI).
{{cite journal}}
: Для цитирования журнала требуется|journal=
( помощь )