ISO/IEC 27006, ISMS-Zertifizierungsleitfaden

Was ist der Zweck von ISO/IEC 27006?

Das Hauptziel von ISO 27006 besteht darin, Dritten die Zertifizierung von Informationssicherheits-Managementsystemen zu erleichtern.

Um sicherzustellen, dass ISMS-Zertifizierungen gültig sind, müssen alle zertifizierten Dritten, die die Einhaltung von ISO 27001 auditieren und verifizieren, die Kriterien dieser Norm erfüllen.

ISO 27006 legt Kriterien für den Nachweis der Fachkompetenz von ISMS-Auditoren fest. Wenn eine Zertifizierungsstelle ein ISMS prüft, muss sie sicherstellen, dass jeder Prüfer im Prüfungsteam mit Folgendem vertraut ist:

• Überwachung, Bewertung, Interpretation und Überprüfung des ISMS
• Informationssicherheit
• Managementprozesse
• Prüfungsstandards
• Technische Kenntnisse der geprüfte Systeme

Die Prüfer des Teams müssen alle mit den Konzepten, Standards und Techniken des Informationssystemmanagements vertraut sein. Sie müssen mit allem vertraut sein ISO 27001 Standards sowie alle ISO 27002-Kontrollen. Auch Wirtschaftsprüfer müssen damit vertraut sein Standards der Unternehmensführung sowie rechtliche und regulatorische Kriterien in einem bestimmten Bereich der Informationssysteme.

Personalbeurteilung Auch bei Audits und Qualifikationsbeurteilungen muss Kompetenz nachgewiesen werden. Sie müssen über ausreichende Erfahrung verfügen, um die Genauigkeit des Zertifizierungsumfangs zu validieren. Das müssen sie auch sein vertraut mit Kontrollsystemen und Auditprozessen, Standards und Techniken.

ISO27006 spezifiziert weiter das angemessene Bildungsniveau, professionell Schulung und einschlägige Erfahrung, die für ISMS-Audits erforderlich sind.

So zeigen Sie die Einhaltung von ISO 27006

Jede Organisation, die eine ISO 27001-Zertifizierung anstrebt, muss die Dienste einer zugelassenen Zertifizierungsstelle in Anspruch nehmen, um ein ISMS-Zertifizierungsaudit durchzuführen.

Die Organisation sollte die gebotene Sorgfalt walten lassen, um sicherzustellen, dass das beauftragte Wirtschaftsprüfungsunternehmen ISO27006:2015-konform ist. Während des gesamten Audits muss die Organisation sicherstellen, dass alle für den Abschluss des Audits erforderlichen Unterlagen verfügbar sind, und dem Auditteam ISMS-Aufzeichnungen zur Verfügung stellen, einschließlich, aber nicht beschränkt auf, Informationen zum Design und zur Kontrollwirksamkeit des ISMS.

ISO 27006 kann als Referenzstandard für Akkreditierung, Peer-Review und andere Auditverfahren verwendet werden. Sein Hauptziel besteht jedoch darin, bei der Akkreditierung von Zertifizierungsstellen zu helfen, die ISMS-Zertifizierungen anbieten.

Warum besteht die Beziehung zwischen ISO 27006, ISO 27001, ISO 27021 und ISO 19011?

Jede entsprechend autorisierte Stelle, die ISO 27001-Compliance-Zertifizierungen ausstellt, muss die Standards von ISO 27006, ISO 17021 und ISO 19011 hinsichtlich ihrer Kompetenz, Angemessenheit und Zuverlässigkeit erfüllen, um ihre Aufgabe effektiv ausführen zu können.

Dies ist wichtig, um die Ausstellung sicherzustellen ISO 27001-Konformität Zertifizierungen sind aussagekräftig und spiegeln genau wider, dass das Unternehmen alle Anforderungen der ISO 27001 erfüllt hat.

Wenn jemand Zertifikate ausstellen könnte, ohne sich an die in diesem Standard beschriebenen Zertifizierungsprozesse zu halten, könnten nicht konforme Organisationen theoretisch ihre ISMS-Zertifikate kaufen oder sich einfach selbst zertifizieren, anstatt die Konformität nachzuweisen. Dies kann das gesamte Zertifizierungssystem effektiv diskreditieren.

Wie ISMS.online die Implementierung von ISO 27006 einfach machen kann

Bei ISMS.online machen wir es Ihnen leicht, Ihre Informationssicherheits-Governance so zu dokumentieren, dass sie der ISO 27006-Norm entspricht. Wir stellen Ihnen eine logische, benutzerfreundliche, cloudbasierte Informationsverwaltungsschnittstelle zur Verfügung, die Ihrem Unternehmen dabei hilft, seine Infosec-Governance-Prozesse zu überprüfen und Fortschritte im Vergleich zum ISO 27006-Standard zu erzielen.

Unsere Cloud-basierte Plattform ermöglicht Ihnen den Zugriff auf alle Ihre ISMS-Ressourcen an einem Ort. Wir verfügen über ein internes Team von Informationssicherheitsexperten, die Ihnen mit Rat und Tat zur Seite stehen und Fragen beantworten können, um Sie auf Ihrem Weg zur ISO 27006-Implementierung zu unterstützen, damit Sie Ihr Engagement für Best Practices für die Informationssicherheits-Governance unter Beweis stellen können. Rufen Sie ISMS.online an +44 (0)1273 041140 Erfahren Sie mehr darüber, wie wir Ihnen bei der Zertifizierung nach ISO 27001 helfen können.