ISO IEC 27006-1-2024 PDF

Полное наименование и описание

ISO/IEC 27006-1:2024 — Information security, cybersecurity and privacy protection — Requirements for bodies providing audit and certification of information security management systems — Part 1: General. Стандарт задаёт дополнительные требования к органам, выполняющим аудит и выдающим сертификаты систем управления информационной безопасностью (ISMS) в соответствии с ISO/IEC 27001, дополняя общие требования ISO/IEC 17021-1 и адаптируя их к специфике сертификации SGSI.

Аннотация

Документ определяет компетентность, процедуры и принципы, которые должны соблюдаться органами сертификации при проведении аудитов ISMS — включая требования к персоналу, объёму аудита, учёту рисков и обеспечению беспристрастности и конфиденциальности. ISO/IEC 27006-1:2024 заменил предыдущую редакцию ISO/IEC 27006:2015 (и соответствующее дополнение 2020 г.), обновив и уточнив требования применительно к современным практикам аудита и угрозам.

Общая информация

• Статус: Опубликован (International Standard / Published).
• Дата публикации: март 2024 (издание 1, 2024-03; в источниках указывается 1 марта 2024 как дата публикации).
• Организация-издатель: Международная организация по стандартизации (ISO) и Международная электротехническая комиссия (IEC), разработана техническим комитетом ISO/IEC JTC 1/SC 27.
• ICS / категории: 35.030; 03.120.20 (информационная безопасность, кибербезопасность и защита приватности).
• Редакция / версия: Издание 1 (2024).
• Количество страниц: 47.

Область применения

Стандарт применяется к органам, осуществляющим аудит и сертификацию систем управления информационной безопасностью (ISMS) на соответствие ISO/IEC 27001. Он устанавливает дополнительные требования к процедурам аккредитации и подтверждению компетентности сертификационных органов, чтобы обеспечить единообразие, беспристрастность и надёжность выдаваемых сертификатов по всему миру.

Ключевые темы и требования

• Дополнительные требования к органам сертификации сверх ISO/IEC 17021-1 — адаптация общих правил аудита к спецификe ISMS.
• Требования к компетентности аудиторов и команд аудита: профиль компетенций, опыт в области управления рисками информационной безопасности и знание контролей ISO/IEC 27001.
• Параметры планирования и объёма аудита для различных типов организаций и зон риска, учёт технических, организационных и правовых аспектов.
• Положения по беспристрастности, управлению конфликтами интересов и обеспечению конфиденциальности при проведении сертификационных процедур.
• Уточнения к практикам дистанционного аудита и использованию электронных средств при оценке ISMS в условиях современных технологий (включая требования к доказательной базе и верификации).
• Переходный период и требование к переходу аккредитованных органов с предыдущей редакции: аккредитационные органы и IAF установили двухлетний период с момента публикации для завершения перехода (окончание перехода — 31 марта 2026).

Применение и пользователи

Основные пользователи стандарта — аккредитованные органы сертификации ISMS, органы аккредитации (assessors), и аудиторы ISMS. Косвенно стандарт важен для организаций, стремящихся получить ISO/IEC 27001‑сертификацию, поскольку он повышает надёжность и сравнимость сертификатов, а также для регуляторов и заказчиков, которые полагаются на стороннюю валидацию управления информационной безопасностью.

Связанные стандарты

ISO/IEC 27006-1:2024 тесно связан с ISO/IEC 27001 (требования к ISMS) и ISO/IEC 17021-1 (общие требования к органам, обеспечивающим аудит и сертификацию систем менеджмента). Предыдущая редакция ISO/IEC 27006:2015 и её поправка 2020 были отозваны и заменены данной редакцией. Ранее также публиковалась техническая спецификация по части конфиденциальности (ISO/IEC TS 27006-2:2021), которая имеет собственный жизненный цикл и отношения с другими документами серии.

Ключевые слова

ISO/IEC 27006-1, ISMS, сертификация, органы сертификации, аккредитация, аудит информационной безопасности, ISO/IEC 27001, ISO/IEC 17021-1, компетентность аудиторов, беспристрастность, переходный период.

FAQ

В: Что это за стандарт?

О: Международный стандарт, задающий дополнительные требования к органам, проводящим аудит и сертификацию систем управления информационной безопасностью (ISMS) по ISO/IEC 27001; часть семейства ISO/IEC 27000.

В: Что он регулирует?

О: Требования к компетентности и процедурам сертификационных органов — от подбора и оценки аудиторов до объёма аудита, управления беспристрастностью и документирования доказательств. Стандарт дополняет общие положения ISO/IEC 17021-1 и конкретизирует их для контекста ISMS.

В: Кто обычно использует?

О: Аккредитованные органы сертификации и их аудиторы, органы аккредитации, а также организации и заказчики, заинтересованные в надёжности ISO/IEC 27001‑сертификации.

В: Он актуален или заменён?

О: На момент публикации этот документ актуален — ISO/IEC 27006-1:2024 опубликован в марте 2024 и заменил предыдущую редакцию ISO/IEC 27006:2015 (и поправку 2020). Для аккредитованных органов действует переходный период (24 месяца с даты публикации) для приведения практик в соответствие с новой редакцией.

В: Это часть серии?

О: Да — это документ семейства ISO/IEC 27000, конкретно часть 1 в новом обозначении 27006-1; ранее существовала редакция без разделения на части (2015), а также смежные технические спецификации по приватности (TS 27006-2).

В: Какие ключевые слова?

О: Сертификация ISMS, аккредитация, аудит информационной безопасности, компетентность аудитора, беспристрастность, ISO/IEC 27001, ISO/IEC 17021-1.