ISO/IEC 27006, ISMS-certificeringsgids

Wat is het doel van ISO/IEC 27006?

Het belangrijkste doel van ISO 27006 is om het voor derden gemakkelijker te maken om informatiebeveiligingsbeheersystemen te certificeren.

Om ervoor te zorgen dat ISMS-certificeringen geldig zijn, moet elke gecertificeerde externe audit en verificatie van de naleving van ISO 27001 voldoen aan de criteria van deze norm.

ISO 27006 stelt criteria vast voor het aantonen van de expertise van ISMS-auditors. Wanneer een certificeringsinstantie een ISMS auditeert, moet zij ervoor zorgen dat elke auditor in het auditteam bekend is met:

• Monitoring, beoordeling, interpretatie en herziening van het ISMS
• Informatiebeveiliging
• Beheerprocessen
• Audit normen
• Technische kennis van gecontroleerde systemen

De auditors van het team moeten allemaal bekend zijn met de concepten, standaarden en technieken voor informatiesysteembeheer. Ze moeten met alles vertrouwd zijn ISO 27001 normen, evenals alle ISO 27002-controles. Ook accountants moeten er bekend mee zijn normen voor bedrijfsbeheer evenals wettelijke en regelgevende criteria op een specifiek gebied van informatiesystemen.

Personeel beoordelen audits en het maken van kwalificatiebeoordelingen moeten ook competentie aantonen. Ze moeten over voldoende ervaring beschikken om de nauwkeurigheid van de certificeringsscope te valideren. Dat moeten ze ook zijn bekend met controlesystemen en auditprocessen, normen en technieken.

ISO27006 specificeert verder het passende opleidingsniveau, professioneel training en relevante ervaring die nodig zijn voor ISMS-audits.

Hoe u naleving van ISO 27006 kunt aantonen

Elke organisatie die ISO 27001-certificering nastreeft, moet gebruik maken van de diensten van een goedgekeurde certificeringsinstantie om een ​​ISMS-certificeringsaudit uit te voeren.

De organisatie moet due diligence uitvoeren om ervoor te zorgen dat het ingehuurde auditbedrijf voldoet aan ISO27006:2015. Gedurende de hele audit moet de organisatie garanderen dat al het papierwerk dat nodig is om de audit af te ronden beschikbaar is, en het auditteam voorzien van ISMS-gegevens, inclusief maar niet beperkt tot informatie over het ontwerp en de doeltreffendheid van de controles van het ISMS.

ISO 27006 kan worden gebruikt als referentiestandaard voor accreditatie, peer review en andere auditprocedures. Het belangrijkste doel is echter om te helpen bij de accreditatie van certificerende instanties die ISMS-certificering verstrekken.

Waarom de relatie tussen ISO 27006, ISO 27001, ISO 27021 en ISO 19011?

Elke op de juiste manier geautoriseerde entiteit die ISO 27001-conformiteitscertificeringen afgeeft, moet voldoen aan de normen van ISO 27006, ISO 17021 en ISO 19011 wat betreft hun competentie, geschiktheid en betrouwbaarheid om hun taak effectief uit te voeren.

Dit is belangrijk om dat afgegeven te garanderen ISO 27001-conformiteit certificeringen zijn betekenisvol en weerspiegelen nauwkeurig dat het bedrijf aan alle eisen van ISO 27001 heeft voldaan.

Als iemand certificaten zou kunnen uitgeven zonder zich te houden aan de certificeringsprocessen die in deze norm worden beschreven, zouden niet-conforme organisaties in theorie hun ISMS-certificaten kunnen kopen of zichzelf eenvoudigweg kunnen certificeren in plaats van naleving aan te tonen. Deze gebeurtenis kan het hele certificeringssysteem effectief in diskrediet brengen.

Hoe ISMS.online de implementatie van ISO 27006 eenvoudig kan maken

Bij ISMS.online maken we het u gemakkelijk om uw Information Security Governanace te documenteren, zodat deze in lijn is met de ISO 27006-norm. Wij bieden u een logische, bruikbare, cloudgebaseerde informatiebeheerinterface waarmee uw organisatie haar infosec-beheerprocessen en voortgang kan controleren aan de hand van de ISO 27006-norm.

Onze cloud-gebaseerd platform geeft u toegang tot al uw ISMS-bronnen op één plek. We hebben een intern team van informatiebeveiligingsexperts die u kunnen begeleiden en vragen kunnen beantwoorden om u te helpen op weg naar de implementatie van ISO 27006, zodat u kunt aantonen dat u zich inzet voor best practices op het gebied van informatiebeveiligingsbeheer. Bel ISMS.online op +44 (0)1273 041140 voor meer informatie over hoe wij u kunnen helpen gecertificeerd te worden volgens ISO 27001.