Titel: |
Informationstechnik |
Arbeitsgebiet: |
IT-Sicherheitsverfahren |
Name des Standards: |
Requirements for bodies providing audit and certification of information security management systems Anforderungen an Stellen, die Auditierung und Zertifizierung von Informationssicherheitsmanagementsystemen bereitstellen |
Inhalt und Anwendungsbereich
Die ISO/IEC 27006 ist aus dem Leitfaden EA-7/03 der European Accreditation Foundation hervorgegangen. Sie basiert auf der DIN EN ISO/IEC 17021-1 („Konformitätsbewertung - Anforderungen an Stellen, die Managementsysteme auditieren und zertifizieren“) und ergänzt diese um die ISMS-spezifischen Anforderungen. Grundsätzlich ist diese Norm dort anzuwenden, wo die Anforderungen an Zertifizierungs- und Auditierungsstellen von ISMS gemäß DIN ISO/IEC 27001 definiert werden. Primär dient sie somit der Akkreditierung von Zertifizierungsstellen, kann aber auch im Rahmen von Begutachtungen unter Gleichrangigen („peer assessments“) oder zur Etablierung von Auditprozessen herangezogen werden. Ziel des Dokuments ist es, harmonisierte Anforderungen an alle Zertifizierungsstellen zu formulieren und diesen einen Leitfaden zur Umsetzung bereitzustellen, beispielsweise für Aspekte wie die Dauer von Audits.
Methodik
Die Norm legt Anforderungen und allgemeine Prinzipien für die Kompetenz von Auditoren und deren Überwachung, die Anforderungen an Zertifizierungsstellen (Beispiel: Ressourcen, rechtliche Stellung, Umgang mit Beschwerden) sowie den Auditierungs- und Zertifizierungsprozess fest. Sie übernimmt dabei die Anforderungen der DIN EN ISO/IEC 17021-1 (die daher parallel zu beachten ist) und verfeinert sie für die Auditierung und Zertifizierung von ISMS gemäß ISO/IEC 27001.
Aktuelle Ausgabe
ISO/IEC 27006:2015