среда, 21 февраля 2007 г.

Прибавление в семействе стандартов ISO по информационной безопасности


13 февраля 2007 года Международная организация по стандартизации ISO опубликовала ещё один стандарт из серии 27000: «Требования к органам, проводящим аудит и сертификацию систем менеджмента информационной безопасности (СМИБ)» (ISO/IEC 27006:2007 «Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems»).

Данный стандарт содержит требования и рекомендации для органов, занимающихся аудитом и сертификацией СМИБ, которые дополняют требования, содержащиеся в стандартах ISO/IEC 17021:2006 «Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента» ("Conformity assessment - Requirements for bodies providing audit and certification of management systems") и ISO/IEC 27001:2005 (однако новый стандарт не предлагает каких-либо дополнительных обязательных требований для аккредитации, отличных от тех, что содержатся в ISO/IEC 17021). Его основная цель – помочь в аккредитации подобных органов, которые должны продемонстрировать своё соответствие требованиям, как в части компетентности, так и в части надёжности.

Основная часть стандарта посвящена порядку и методологии проведения аудита. Кроме того, даны рекомендации по обеспечению непредвзятости и избеганию конфликта интересов, по подтверждению компетенции органа аудита/сертификации и его персонала.

Источник: ISO
http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=42505&ICS1=35&ICS2=40&ICS3=