ISO/IEC 27006, ISMS-sertifiseringsveiledning

Hva er hensikten med ISO/IEC 27006?

Hovedmålet med ISO 27006 er å gjøre det enklere for tredjeparter å sertifisere styringssystemer for informasjonssikkerhet.

For å sikre at ISMS-sertifiseringer er gyldige, må all sertifisert tredjepartsrevisjon og verifisering av samsvar med ISO 27001 oppfylle kriteriene i denne standarden.

ISO 27006 etablerer kriterier for å demonstrere ekspertisen til ISMS-revisorer. Når et sertifiseringsorgan reviderer et ISMS, må det sørge for at hver revisor i revisjonsteamet er kjent med:

• Overvåking, vurdering, tolkning og gjennomgang av ISMS
• Informasjonssikkerhet
• Ledelsesprosesser
• Revisjonsstandarder
• Teknisk kunnskap om reviderte systemer

Teamets revisorer må alle være kjent med konsepter, standarder og teknikker for informasjonssystemer. De må være kjent med alle ISO 27001 standarder, samt alle ISO 27002 kontroller. Revisorer må også være kjent med forretningsstyringsstandarder samt juridiske og regulatoriske kriterier i et spesifikt informasjonssystemfelt.

Personalgjennomgang revisjoner og å gjøre kvalifikasjonsvurderinger skal også vise kompetanse. De må ha tilstrekkelig erfaring til å validere sertifiseringsomfangets nøyaktighet. Det må de også være kjent med kontrollsystemer, revisjonsprosesser, standarder og teknikker.

ISO27006 spesifiserer videre riktig utdanningsnivå, profesjonelt opplæring og relevant erfaring som trengs for ISMS-revisjoner.

Hvordan vise samsvar med ISO 27006

Enhver organisasjon som søker etter ISO 27001-sertifisering må beholde tjenestene til en godkjent sertifiseringsmyndighet for å gjennomføre en ISMS-sertifiseringsrevisjon.

Organisasjonen bør gjøre due diligence for å sikre at revisjonsselskapet som er ansatt er ISO27006:2015-kompatibelt. Gjennom hele revisjonen må organisasjonen garantere at alt papirarbeid som er nødvendig for å fullføre revisjonen er tilgjengelig, samt forsyne revisjonsteamet med ISMS-poster, inkludert men ikke begrenset til informasjon om ISMSs design og kontrolleffektivitet.

ISO 27006 kan brukes som en referansestandard for akkreditering, fagfellevurdering og andre revisjonsprosedyrer. Hovedmålet er imidlertid å hjelpe til med akkreditering av sertifiseringsorganer som gir ISMS-sertifisering.

Hvorfor forholdet mellom ISO 27006, ISO 27001, ISO 27021 og ISO 19011?

Enhver passende autorisert enhet som utsteder ISO 27001-sertifiseringer, må oppfylle standardene i ISO 27006, ISO 17021 og ISO 19011 med hensyn til deres kompetanse, hensiktsmessighet og pålitelighet for å utføre oppgaven effektivt.

Dette er viktig for å garantere at utstedt Overholdelse av ISO 27001 sertifiseringer er meningsfulle og reflekterer nøyaktig at selskapet har overholdt alle ISO 27001-kravene.

Hvis noen kunne utstede sertifikater uten å følge sertifiseringsprosessene som dekkes av denne standarden, kan ikke-kompatible organisasjoner teoretisk kjøpe sine ISMS-sertifikater eller bare sertifisere seg selv i stedet for å demonstrere samsvar. Dette kan effektivt diskreditere hele sertifiseringssystemet.

Hvordan ISMS.online kan gjøre implementering av ISO 27006 enkelt

Hos ISMS.online gjør vi det enkelt for deg å dokumentere din informasjonssikkerhetsstyring slik at den er i tråd med ISO 27006-standarden. Vi gir deg et logisk, brukbart, skybasert informasjonsadministrasjonsgrensesnitt som vil hjelpe organisasjonen din med å sjekke sine infosec-styringsprosesser og fremgang mot ISO 27006-standarden.

Vår skybasert plattform lar deg få tilgang til alle ISMS-ressursene dine på ett sted. Vi har et internt team med informasjonssikkerhetseksperter som kan gi veiledning og svare på spørsmål for å hjelpe deg på vei til ISO 27006-implementering, slik at du kan demonstrere din dedikasjon til beste praksis for informasjonssikkerhetsstyring. Ring ISMS.online på + 44 (0) 1273 041140 for å finne ut mer om hvordan vi kan hjelpe deg med å bli sertifisert etter ISO 27001.