ИСО и МЭК: Опубликован стандарт ISO/IEC 27006-1:2024 «Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности – Часть 1: Общие положения»

В марте 2024 года сайт Международной организации по стандартизации (ИСО) сообщил о публикации нового стандарта ISO/IEC 27006-1:2024 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни - Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности – Часть 1: Общие положения» (Information security, cybersecurity and privacy protection - Requirements for bodies providing audit and certification of information security management systems - Part 1: General) объёмом 54 страницы, см. https://www.iso.org/standard/82908.html и https://www.iso.org/obp/ui/en/#!iso:std:82908:en .

Стандарт подготовлен техническим подкомитетом ISO/IEC JTC1/SC27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection).

Во вводной части документа отмечается следующее:

«Настоящий документ устанавливает требования и предоставляет рекомендации для органов, проводящих аудит и сертификацию системы менеджмента информационной безопасности (СМИБ), в дополнение к требованиям, содержащимся в стандарте ISO/IEC 17021-1.

Мой комментарий: Здесь упомянут стандарт ISO/IEC 17021-1:2015 «Оценка соответствия - Требования к органам, проводящим аудит и сертификацию систем менеджмента - Часть 1: Требования» (Conformity assessment - Requirements for bodies providing audit and certification of management systems - Part 1: Requirements, см. https://www.iso.org/standard/61651.html и https://www.iso.org/obp/ui/en/#!iso:std:61651:en ), который в России адаптирован как ГОСТ Р ИСО/МЭК 17021-1-2017 «Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента. Часть 1. Требования», см. https://protect.gost.ru/document.aspx?control=7&id=218000 .   

Соответствие требованиям, содержащимся в данном документе, демонстрируется проводящими сертификацию СМИБ органами, с точки зрения их компетентности и надёжности. Содержащиеся в данном документе рекомендации содержат дополнительную интерпретацию этих требований для органов, проводящих сертификацию СМИБ.»

Примечание: Данный документ можно использовать в качестве источника критериев для аккредитации, коллегиальной оценки и иных процессов аудита.»

Содержание документа следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Принципы
5. Общие требования
6. Структурные требования
7. Требования к ресурсам
8. Требования к информации
9. Требования к процессам
10. Требования к органам по сертификации в отношении системы менеджмента
Приложение A: Знания и навыки для проведения аудита и сертификации СМИБ
Приложение B: Дополнительные соображения относительно компетентности
Приложение C: Время на проведение аудита
Приложение D: Методы расчета времени на проведение аудита
Приложение E: Руководство по проверке реализованных мер и средств контроля и управления согласно стандарту ISO/IEC 27001:2022, Приложение A
Библиография

Источник: сайт ИСО
https://www.iso.org/standard/82908.html
https://www.iso.org/obp/ui/en/#!iso:std:82908:en