ISO/IEC 27007:2020
(Main)Information security, cybersecurity and privacy protection — Guidelines for information security management systems auditing
Information security, cybersecurity and privacy protection — Guidelines for information security management systems auditing
This document provides guidance on managing an information security management system (ISMS) audit programme, on conducting audits, and on the competence of ISMS auditors, in addition to the guidance contained in ISO 19011. This document is applicable to those needing to understand or conduct internal or external audits of an ISMS or to manage an ISMS audit programme.
Sécurité de l'information, cybersécurité et protection des données privées — Lignes directrices pour l'audit des systèmes de management de la sécurité de l'information
Le présent document fournit des recommandations sur le programme d'audit des systèmes de management de la sécurité de l'information (SMSI), sur la conduite d'audits, et sur la compétence des auditeurs de SMSI, en plus des recommandations de l'ISO 19011. Le présent document est conçu à l'intention de ceux qui ont besoin de comprendre ou de réaliser des audits internes ou externes d'un SMSI ou de gérer un programme d'audit de SMSI.
General Information
Relations
Buy Standard
Related Packages
Standards Content (Sample)
INTERNATIONAL ISO/IEC
STANDARD 27007
Third edition
2020-01
Information security, cybersecurity
and privacy protection — Guidelines
for information security management
systems auditing
Sécurité de l'information, cybersécurité et protection des données
privées — Lignes directrices pour l'audit des systèmes de
management de la sécurité de l'information
Reference number
©
ISO/IEC 2020
© ISO/IEC 2020
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting
on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address
below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Fax: +41 22 749 09 47
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO/IEC 2020 – All rights reserved
Contents Page
Foreword .v
Introduction .vi
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Principles of auditing . 1
5 Managing an audit programme . 1
5.1 General . 1
5.2 Establishing audit programme objectives . 1
5.3 Determining and evaluating audit programme risks and opportunities . 2
5.4 Establishing audit programme . 2
5.4.1 Roles and responsibilities of the individual(s) managing audit programme . 2
5.4.2 Competence of individual(s) managing audit programme . 2
5.4.3 Establishing extent of the audit programme . 2
5.4.4 Determining audit programme resources . 3
5.5 Implementing audit programme . 3
5.5.1 General. 3
5.5.2 Defining the objectives, scope and criteria for an individual audit . 3
5.5.3 Selecting and determining audit methods . 4
5.5.4 Selecting audit team members . 4
5.5.5 Assigning responsibility for an individual audit to the audit team leader. 4
5.5.6 Managing audit programme results . 4
5.5.7 Managing and maintaining audit programme records . 4
5.6 Monitoring audit programme . 5
5.7 Reviewing and improving audit programme . 5
6 Conducting an audit . 5
6.1 General . 5
6.2 Initiating audit . 5
6.2.1 General. 5
6.2.2 Establishing contact with auditee . 5
6.2.3 Determining feasibility of audit . 5
6.3 Preparing audit activities . 5
6.3.1 Performing review of documented information. 5
6.3.2 Audit planning . . . 5
6.3.3 Assigning work to audit team . 6
6.3.4 Preparing documented information for audit . 6
6.4 Conducting audit activities . 6
6.4.1 General. 6
6.4.2 Assigning roles and responsibilities of guides and observers . 6
6.4.3 Conducting opening meeting . 6
6.4.4 Communicating during audit . 6
6.4.5 Audit information availability and access . 6
6.4.6 Reviewing document information while conducting audit . 6
6.4.7 Collecting and verifying information . 7
6.4.8 Generating audit findings . 7
6.4.9 Determining audit conclusions . 7
6.4.10 Conducting closing meeting . 7
6.5 Preparing and distributing audit report . 7
6.5.1 Preparing audit report . 7
6.5.2 Distributing audit report . 7
6.6 Completing audit . 7
6.7 Conducting audit follow-up. 7
© ISO/IEC 2020 – All rights reserved iii
7 Competence and evaluation of auditors . 8
7.1 General . 8
7.2 Determining auditor competence . . 8
7.2.1 General. 8
7.2.2 Personal behaviour . 8
7.2.3 Knowledge and skills . 8
7.2.4 Achieving auditor competence . 9
7.2.5 Achieving audit team leader competence . 9
7.3 Establishing auditor evaluation criteria. 9
7.4 Selecting appropriate auditor evaluation method . 9
7.5 Conducting auditor evaluation . 9
7.6 Maintaining and improving auditor competence. 9
Annex A (informative) Guidance for ISMS auditing practice .10
Bibliography .39
iv © ISO/IEC 2020 – All rights reserved
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that
are members of ISO or IEC participate in the development of International Standards through
technical committees established by the respective organization to deal with particular fields of
technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other
international organizations, governmental and non-governmental, in liaison with ISO and IEC, also
take part in the work.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for
the different types of document should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www .iso .org/ directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject
of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent
rights. Details of any patent rights identified during the development of the document will be in the
Introduction and/or on the ISO list of patent declarations received (see www .iso .org/ patents) or the IEC
list of patent declarations received (see http:// patents .iec .ch).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO's adherence to the
World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www .iso .org/
iso/ foreword .html.
This document was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee
...
INTERNATIONAL ISO/IEC
STANDARD 27007
Third edition
2020-01
Information security, cybersecurity
and privacy protection — Guidelines
for information security management
systems auditing
Sécurité de l'information, cybersécurité et protection des données
privées — Lignes directrices pour l'audit des systèmes de
management de la sécurité de l'information
Reference number
©
ISO/IEC 2020
© ISO/IEC 2020
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting
on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address
below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Fax: +41 22 749 09 47
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO/IEC 2020 – All rights reserved
Contents Page
Foreword .v
Introduction .vi
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Principles of auditing . 1
5 Managing an audit programme . 1
5.1 General . 1
5.2 Establishing audit programme objectives . 1
5.3 Determining and evaluating audit programme risks and opportunities . 2
5.4 Establishing audit programme . 2
5.4.1 Roles and responsibilities of the individual(s) managing audit programme . 2
5.4.2 Competence of individual(s) managing audit programme . 2
5.4.3 Establishing extent of the audit programme . 2
5.4.4 Determining audit programme resources . 3
5.5 Implementing audit programme . 3
5.5.1 General. 3
5.5.2 Defining the objectives, scope and criteria for an individual audit . 3
5.5.3 Selecting and determining audit methods . 4
5.5.4 Selecting audit team members . 4
5.5.5 Assigning responsibility for an individual audit to the audit team leader. 4
5.5.6 Managing audit programme results . 4
5.5.7 Managing and maintaining audit programme records . 4
5.6 Monitoring audit programme . 5
5.7 Reviewing and improving audit programme . 5
6 Conducting an audit . 5
6.1 General . 5
6.2 Initiating audit . 5
6.2.1 General. 5
6.2.2 Establishing contact with auditee . 5
6.2.3 Determining feasibility of audit . 5
6.3 Preparing audit activities . 5
6.3.1 Performing review of documented information. 5
6.3.2 Audit planning . . . 5
6.3.3 Assigning work to audit team . 6
6.3.4 Preparing documented information for audit . 6
6.4 Conducting audit activities . 6
6.4.1 General. 6
6.4.2 Assigning roles and responsibilities of guides and observers . 6
6.4.3 Conducting opening meeting . 6
6.4.4 Communicating during audit . 6
6.4.5 Audit information availability and access . 6
6.4.6 Reviewing document information while conducting audit . 6
6.4.7 Collecting and verifying information . 7
6.4.8 Generating audit findings . 7
6.4.9 Determining audit conclusions . 7
6.4.10 Conducting closing meeting . 7
6.5 Preparing and distributing audit report . 7
6.5.1 Preparing audit report . 7
6.5.2 Distributing audit report . 7
6.6 Completing audit . 7
6.7 Conducting audit follow-up. 7
© ISO/IEC 2020 – All rights reserved iii
7 Competence and evaluation of auditors . 8
7.1 General . 8
7.2 Determining auditor competence . . 8
7.2.1 General. 8
7.2.2 Personal behaviour . 8
7.2.3 Knowledge and skills . 8
7.2.4 Achieving auditor competence . 9
7.2.5 Achieving audit team leader competence . 9
7.3 Establishing auditor evaluation criteria. 9
7.4 Selecting appropriate auditor evaluation method . 9
7.5 Conducting auditor evaluation . 9
7.6 Maintaining and improving auditor competence. 9
Annex A (informative) Guidance for ISMS auditing practice .10
Bibliography .39
iv © ISO/IEC 2020 – All rights reserved
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that
are members of ISO or IEC participate in the development of International Standards through
technical committees established by the respective organization to deal with particular fields of
technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other
international organizations, governmental and non-governmental, in liaison with ISO and IEC, also
take part in the work.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for
the different types of document should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www .iso .org/ directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject
of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent
rights. Details of any patent rights identified during the development of the document will be in the
Introduction and/or on the ISO list of patent declarations received (see www .iso .org/ patents) or the IEC
list of patent declarations received (see http:// patents .iec .ch).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO's adherence to the
World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www .iso .org/
iso/ foreword .html.
This document was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee
...
NORME ISO/IEC
INTERNATIONALE 27007
Troisième édition
2020-01
Sécurité de l'information,
cybersécurité et protection des
données privées — Lignes directrices
pour l'audit des systèmes de
management de la sécurité de
l'information
Information security, cybersecurity and privacy protection —
Guidelines for information security management systems auditing
Numéro de référence
© ISO/IEC 2020
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2020
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii
© ISO/IEC 2020 – Tous droits réservés
Sommaire Page
Avant-propos .v
Introduction . vi
1 Domaine d'application .1
2 Références normatives .1
3 Termes et définitions . 1
4 Principes de l'audit . 1
5 Management d'un programme d'audit . 1
5.1 Généralités . 1
5.2 Détermination des objectifs du programme d'audit . 1
5.3 Détermination et évaluation des risques et des opportunités du programme d'audit . 2
5.4 Établissement d'un programme d'audit . 2
5.4.1 Rôles et responsabilités de la ou des personnes responsables du
management du programme d'audit . 2
5.4.2 Compétence de la ou des personnes responsables du management du
programme d'audit . 2
5.4.3 Détermination de l'étendue du programme d'audit . 2
5.4.4 Détermination des ressources du programme d'audit . 3
5.5 Mise en œuvre du programme d'audit . 3
5.5.1 Généralités . 3
5.5.2 Définition des objectifs, du domaine d'application et des critères pour
chaque audit individuel . 3
5.5.3 Choix et détermination des méthodes d'audit . 4
5.5.4 Choix des membres de l'équipe d'audit . 4
5.5.5 Attribution de la responsabilité d'un audit individuel au responsable de
l'équipe d'audit . 5
5.5.6 Management des résultats du programme d'audit . 5
5.5.7 Management et conservation des enregistrements du programme d'audit . 5
5.6 Surveillance du programme d'audit . 5
5.7 Revue et amélioration du programme d'audit . 5
6 Réalisation d'un audit . .5
6.1 Généralités . 5
6.2 Déclenchement de l'audit . 5
6.2.1 Généralités . 5
6.2.2 Prise de contact avec l'audité . 5
6.2.3 Détermination de la faisabilité de l'audit . . 5
6.3 Préparation des activités d'audit . 6
6.3.1 Réalisation d'une revue des informations documentées . 6
6.3.2 Planification de l'audit . 6
6.3.3 Répartition des tâches au sein de l'équipe d'audit . 6
6.3.4 Préparation des informations documentées en vue de l'audit . 6
6.4 Réalisation des activités d'audit . 6
6.4.1 Généralités . 6
6.4.2 Attribution des rôles et responsabilités des guides et des observateurs . 6
6.4.3 Conduite de la réunion d'ouverture . . 6
6.4.4 Communication pendant l'audit . 6
6.4.5 Disponibilité et accès aux informations d'audit . . 6
6.4.6 Réalisation d'une revue des informations documentées au cours de l'audit. 7
6.4.7 Recueil et vérification des informations . 7
6.4.8 Production de constatations d'audit . 7
6.4.9 Détermination des conclusions d'audit . 7
6.4.10 Conduite de la réunion de clôture . 7
6.5 Préparation et diffusion du rapport d'audit . 8
iii
© ISO/IEC 2020 – Tous droits réservés
6.5.1 Préparation du rapport d'audit . 8
6.5.2 Diffusion du rapport d'audit . 8
6.6 Clôture de l'audit . 8
6.7 Réalisation du suivi d'audit . 8
7 Compétence et évaluation des auditeurs . 8
7.1 Généralités . 8
7.2 Déterminer la compétence d'un auditeur . 8
7.2.1 Généralités . 8
7.2.2 Comportements personnels . 9
7.2.3 Connaissances et aptitudes . 9
7.2.4 Acquérir la compétence d'auditeur . 9
7.2.5 Acquérir la compétence de responsable d'équipe d'audit . 9
7.3 Déterminer les critères d'évaluation des auditeurs . 9
7.4 Choisir la méthode d'évaluation des auditeurs appropriée . 9
7.5 Réaliser l'évaluation d'un auditeur . 10
7.6 Maintenir et améliorer la compétence du ou des auditeurs . 10
Annexe A (informative) Recommandations pour la pratique d'audit de SMSI .11
Bibliographie .42
iv
© ISO/IEC 2020 – Tous droits réservés
Avant-propos
L'ISO (Organisation internationale de normalisation) et l'IEC (Commission électrotechnique
internationale) forment le système spécialisé de la normalisation mondiale. Les organismes
nationaux membres de l'ISO ou de l'IEC participent au développement de Normes internationales
par l'intermédiaire des comités techniques créés par l'organisation concernée afin de s'occuper des
domaines particuliers de l'activité technique. Les comités techniques de l'ISO et de l'IEC collaborent
dans des domaines d'intérêt commun. D'autres organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO et l'IEC participent également aux travaux.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour
sont décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des
différents critères d'approbation requis pour les différents types de document. Le présent document
a été rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2
(voir www.iso.org/directives).
L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet
de droits de propriété intellectuelle ou de droits analogues. L'ISO et l'IEC ne sauraient être tenues pour
responsables de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails
concernant les références aux droits de propriété intellectuelle ou autres droits analogues identifiés
lors de l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations
de brevets reçues par l'ISO (voir www.iso.org/brevets) ou dans la liste des déclarations de brevets
reçues par l'IEC (voir http://patents.iec.ch).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l'intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la natur
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.