ISMS

ISO/IEC 27006

ISO/IEC 27006

Requirements for bodies providing audit and certification of information security management systems / Anforderungen an Stellen, die Auditierung und Zertifizierung von Informationssicherheitsmanagementsystemen bereitstellen

Titel: Informationstechnik
Arbeitsgebiet: IT-Sicherheitsverfahren
Name des Standards: Requirements for bodies providing audit and certification of information security management systems Anforderungen an Stellen, die Auditierung und Zertifizierung von Informationssicherheitsmanagementsystemen bereitstellen

Inhalt und Anwendungsbereich

Die ISO/IEC 27006 ist aus dem Leitfaden EA-7/03 der European Accreditation Foundation hervorgegangen. Sie basiert auf der DIN EN ISO/IEC 17021-1 („Konformitätsbewertung - Anforderungen an Stellen, die Managementsysteme auditieren und zertifizieren“) und ergänzt diese um die ISMS-spezifischen Anforderungen. Grundsätzlich ist diese Norm dort anzuwenden, wo die Anforderungen an Zertifizierungs- und Auditierungsstellen von ISMS gemäß DIN ISO/IEC 27001 definiert werden. Primär dient sie somit der Akkreditierung von Zertifizierungsstellen, kann aber auch im Rahmen von Begutachtungen unter Gleichrangigen („peer assessments“) oder zur Etablierung von Auditprozessen herangezogen werden. Ziel des Dokuments ist es, harmonisierte Anforderungen an alle Zertifizierungsstellen zu formulieren und diesen einen Leitfaden zur Umsetzung bereitzustellen, beispielsweise für Aspekte wie die Dauer von Audits.

Methodik

Die Norm legt Anforderungen und allgemeine Prinzipien für die Kompetenz von Auditoren und deren Überwachung, die Anforderungen an Zertifizierungsstellen (Beispiel: Ressourcen, rechtliche Stellung, Umgang mit Beschwerden) sowie den Auditierungs- und Zertifizierungsprozess fest. Sie übernimmt dabei die Anforderungen der DIN EN ISO/IEC 17021-1 (die daher parallel zu beachten ist) und verfeinert sie für die Auditierung und Zertifizierung von ISMS gemäß ISO/IEC 27001.

Aktuelle Ausgabe

ISO/IEC 27006:2015

Standards in diesem Bereich

BSI-Standard 200-1
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards:Managementsysteme für Informationssicherheit
BSI-Standard 200-2
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards:IT-Grundschutz-Methodik
BSI-Standard 100-4
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards:BSI-Standard 100-4: Notfallmanagement
IT-Grundschutz-Kompendium
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards:IT-Grundschutz-Kompendium
ISO/IEC 27001
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards:Information security management systems - Requirements Informationssicherheitsmanagementsysteme – Anforderungen
ISO/IEC 27002
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards: Code of practice for information security management Leitfaden zum Informationssicherheitsmanagement
ISO/IEC 27003
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards:Information security management system implementation guidance
ISO/IEC 27006
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards: Requirements for bodies providing audit and certification of information security management systems Anforderungen an Stellen, die Auditierung und Zertifizierung von Informationssicherheitsmanagementsystemen bereitstellen
ISO/IEC 27007
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards:Guidelines for information security management systems auditing
ISO/IEC TR 27008
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards:Guidelines for auditors on information security controls
ISO/IEC 27013
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards: Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1