ISO/IEC 27006, ISMS certifieringsguide

Vad är syftet med ISO/IEC 27006?

Huvudmålet med ISO 27006 är att göra det lättare för tredje part att certifiera ledningssystem för informationssäkerhet.

För att säkerställa att ISMS-certifieringar är giltiga måste all certifierad tredjepartsrevision och verifiering av överensstämmelse med ISO 27001 uppfylla kriterierna i denna standard.

ISO 27006 fastställer kriterier för att demonstrera expertis hos ISMS-revisorer. När ett certifieringsorgan granskar ett ISMS måste det se till att varje revisor i revisionsteamet är bekant med:

• Övervakning, bedömning, tolkning och granskning av ISMS
• Informationssäkerhet
• Ledningsprocesser
• Revisionsstandarder
• Teknisk kunskap om granskade system

Teamets revisorer måste alla vara bekanta med koncept, standarder och tekniker för informationssystemshantering. De måste vara bekanta med alla ISO 27001 standarder, samt alla ISO 27002-kontroller. Revisorer måste också känna till företagsledningsstandarder samt juridiska och reglerande kriterier inom ett specifikt informationssystemområde.

Personalgranskning revisioner och att göra kvalifikationsbedömningar ska också visa på kompetens. De måste ha tillräcklig erfarenhet för att validera certifieringsomfångets noggrannhet. Det måste de också vara bekant med kontrollsystem, revisionsprocesser, standarder och tekniker.

ISO27006 specificerar vidare lämplig utbildningsnivå, professionell utbildning och relevant erfarenhet som behövs för ISMS-revisioner.

Hur man visar överensstämmelse med ISO 27006

Alla organisationer som eftersträvar ISO 27001-certifiering måste anlita en godkänd certifieringsmyndighet för att genomföra en ISMS-certifieringsrevision.

Organisationen bör göra due diligence för att säkerställa att det anlitade revisionsföretaget uppfyller ISO27006:2015. Under hela revisionen måste organisationen garantera att allt pappersarbete som behövs för att avsluta revisionen är tillgängligt, samt förse revisionsteamet med ISMS-poster, inklusive men inte begränsat till information om ISMS:s design och kontrolleffektivitet.

ISO 27006 kan användas som referensstandard för ackreditering, expertgranskning och andra revisionsförfaranden. Dess huvudsakliga mål är dock att hjälpa till med ackrediteringen av certifierande organ som tillhandahåller ISMS-certifiering.

Varför förhållandet mellan ISO 27006, ISO 27001, ISO 27021 och ISO 19011?

Varje lämpligt auktoriserad enhet som utfärdar ISO 27001-certifieringar måste uppfylla standarderna för ISO 27006, ISO 17021 och ISO 19011 för sin kompetens, lämplighet och tillförlitlighet för att utföra sin uppgift effektivt.

Detta är viktigt för att garantera att utfärdas Överensstämmelse med ISO 27001 certifieringar är meningsfulla och återspeglar korrekt att företaget har uppfyllt alla ISO 27001:s krav.

Om någon kunde utfärda certifikat utan att följa de certifieringsprocesser som omfattas av denna standard, skulle icke-kompatibla organisationer teoretiskt kunna köpa sina ISMS-certifikat eller helt enkelt certifiera sig själva istället för att visa efterlevnad. Detta kan effektivt misskreditera hela certifieringssystemet.

Hur ISMS.online kan göra det enkelt att implementera ISO 27006

På ISMS.online gör vi det enkelt för dig att dokumentera din Information Security Governanace så att den är i linje med ISO 27006-standarden. Vi förser dig med ett logiskt, användbart, molnbaserat informationshanteringsgränssnitt som hjälper din organisation att kontrollera dess infosec-styrningsprocesser och framsteg mot ISO 27006-standarden.

Vår molnbaserad plattform låter dig komma åt alla dina ISMS-resurser på ett ställe. Vi har ett internt team av informationssäkerhetsexperter som kan ge vägledning och svara på frågor för att hjälpa dig på vägen mot ISO 27006-implementering så att du kan visa ditt engagemang för bästa praxis för informationssäkerhetsstyrning. Ring ISMS.online på + 44 (0) 1273 041140 för att ta reda på mer om hur vi kan hjälpa dig att bli certifierad enligt ISO 27001.