ISO/IEC 27006, ISMS-sertifiointiopas

Mikä on ISO/IEC 27006:n tarkoitus?

ISO 27006:n päätavoitteena on helpottaa tietoturvan hallintajärjestelmien sertifiointia kolmansille osapuolille.

ISMS-sertifikaattien voimassaolon varmistamiseksi kaikkien sertifioitujen kolmannen osapuolen suorittamien ISO 27001 -standardin mukaisten auditointien ja vaatimustenmukaisuuden todentamisen on täytettävä tämän standardin kriteerit.

ISO 27006 määrittelee kriteerit ISMS-auditoreiden asiantuntemuksen osoittamiseksi. Kun sertifiointielin auditoi ISMS:n, sen on varmistettava, että jokainen auditointitiimin auditoija tuntee:

• ISMS:n seuranta, arviointi, tulkinta ja tarkistus
• Tietoturva
• Hallintoprosessit
• Tilintarkastusstandardit
• Tekninen tietämys auditoidut järjestelmät

Kaikkien tiimin auditoijien tulee tuntea tietojärjestelmien hallintakonseptit, standardit ja tekniikat. Heidän täytyy tuntea kaikki ISO 27001 standardeja sekä kaikkia ISO 27002 -säätimiä. Tilintarkastajien on myös tunnettava liikkeenjohdon standardit sekä oikeudelliset ja sääntelykriteerit tietyllä tietojärjestelmäalalla.

Henkilöstön arviointi myös auditoinneissa ja pätevyysarvioinneissa tulee osoittaa pätevyyttä. Heillä on oltava riittävä kokemus sertifiointialueen tarkkuuden vahvistamiseksi. Niiden on myös oltava tuntee valvontajärjestelmät, auditointiprosessit, standardeja ja tekniikoita.

ISO27006 määrittelee edelleen asianmukaisen koulutustason, ammatillisen ISMS-auditoinneissa tarvittava koulutus ja asianmukainen kokemus.

Kuinka osoittaa ISO 27006 -standardin noudattaminen

Kaikkien ISO 27001 -sertifiointia hakevien organisaatioiden on käytettävä hyväksytyn sertifiointiviranomaisen palveluita ISMS-sertifiointiauditoinnin suorittamiseksi.

Organisaation tulee tehdä due diligence varmistaakseen, että palkattu tilintarkastusyritys on ISO27006:2015 mukainen. Koko auditoinnin ajan organisaation on taattava, että kaikki auditoinnin loppuun saattamiseen tarvittavat paperityöt ovat saatavilla, sekä toimitettava auditointiryhmälle ISMS-tietueet, mukaan lukien, mutta ei rajoittuen, tiedot ISMS:n suunnittelusta ja valvonnan tehokkuudesta.

ISO 27006 -standardia voidaan käyttää vertailustandardina akkreditoinnissa, vertaisarvioinnissa ja muissa auditointimenettelyissä. Sen päätavoitteena on kuitenkin avustaa ISMS-sertifiointia antavien sertifiointielinten akkreditoinnissa.

Miksi ISO 27006, ISO 27001, ISO 27021 ja ISO 19011 välinen suhde?

Jokaisen asianmukaisesti valtuutetun yksikön, joka myöntää ISO 27001 -vaatimustenmukaisuussertifikaatteja, on täytettävä ISO 27006-, ISO 17021- ja ISO 19011 -standardit pätevyyden, asianmukaisuuden ja luotettavuuden osalta voidakseen suorittaa tehtävänsä tehokkaasti.

Tämä on tärkeää sen myöntämisen takaamiseksi ISO 27001 -standardin mukainen Sertifioinnit ovat merkityksellisiä ja osoittavat tarkasti, että yritys on täyttänyt kaikki ISO 27001 -standardin vaatimukset.

Jos joku voisi myöntää varmenteita noudattamatta tämän standardin kattamia sertifiointiprosesseja, vaatimustenvastaiset organisaatiot voisivat teoriassa ostaa ISMS-sertifikaattinsa tai yksinkertaisesti varmentaa itsensä sen sijaan, että ne osoittaisivat noudattavansa. Tämä voi tehokkaasti horjuttaa koko sertifiointijärjestelmää.

Kuinka ISMS.online voi helpottaa ISO 27006:n käyttöönottoa

ISMS.online-sivustolla helpotamme tietoturvahallinnon dokumentointia niin, että se on ISO 27006 -standardin mukainen. Tarjoamme sinulle loogisen, käyttökelpoisen, pilvipohjaisen tiedonhallintaliittymän, joka auttaa organisaatiotasi tarkistamaan infosec-hallintaprosessinsa ja edistymään ISO 27006 -standardin mukaisesti.

Yhtiömme pilvipohjainen alusta voit käyttää kaikkia ISMS-resursseja yhdessä paikassa. Meillä on sisäinen tietoturva-asiantuntijoiden tiimi, joka voi antaa ohjeita ja vastata kysymyksiin auttaakseen sinua matkallasi kohti ISO 27006 -standardin käyttöönottoa, jotta voit osoittaa omistautumisesi tietoturvallisuuden hallinnan parhaille käytännöille. Soita ISMS.online-palveluun + 44 (0) 1273 041140 saadaksesi lisätietoja siitä, kuinka voimme auttaa sinua saamaan ISO 27001 -sertifikaatin.