Information security, cybersecurity and privacy protection — Requirements for bodies providing audit and certification of information security management systems — Part 1: General

This document specifies requirements and provides guidance for bodies providing audit and certification of an information security management system (ISMS), in addition to the requirements contained within ISO/IEC 17021-1. The requirements contained in this document are demonstrated in terms of competence and reliability by bodies providing ISMS certification. The guidance contained in this document provides additional interpretation of these requirements for bodies providing ISMS certification. NOTE This document can be used as a criteria document for accreditation, peer assessment or other audit processes.

Sécurité de l'information, cybersécurité et protection de la vie privée — Exigences pour les organismes procédant à l'audit et à la certification des systèmes de management de la sécurité de l'information — Partie 1: Généralités

Le présent document spécifie les exigences et fournit des recommandations pour les organismes procédant à l'audit et à la certification d'un système de management de la sécurité de l'information (SMSI), en plus des exigences contenues dans l'ISO/IEC 17021‑1. Les organismes qui procèdent à la certification de systèmes ISMS démontrent qu'ils respectent les exigences de compétence et de fiabilité présentées dans le présent document. Les recommandations contenues dans le présent document fournissent une interprétation supplémentaire de ces exigences pour les organismes procédant à la certification de systèmes ISMS. NOTE Le présent document peut être utilisé comme référentiel pour l'accréditation, l'évaluation par des pairs ou d'autres processus d'audit.

General Information

Status

Published

Publication Date

29-Feb-2024

ICS

03.120.20 - Product and company certification. Conformity assessment

35.030 - IT Security

Technical Committee

ISO/IEC JTC 1/SC 27 - Information security, cybersecurity and privacy protection

Drafting Committee

ISO/IEC JTC 1/SC 27 - Information security, cybersecurity and privacy protection

Current Stage

6060 - International Standard published

Start Date

01-Mar-2024

Due Date

21-Apr-2024

Completion Date

01-Mar-2024

Ref Project

Relations

Consolidates

ISO 11119-3:2020 - Gas cylinders — Design, construction and testing of refillable composite gas cylinders and tubes — Part 3: Fully wrapped fibre reinforced composite gas cylinders and tubes up to 450 l with non-load-sharing metallic or non-metallic liners or without liners

Effective Date

06-Jun-2022

Revises

ISO/IEC 27006:2015/Amd 1:2020 - Information technology — Security techniques — Requirements for bodies providing audit and certification of information security management systems — Amendment 1

Effective Date

06-Jun-2022

Revises

ISO/IEC 27006:2015 - Information technology — Security techniques — Requirements for bodies providing audit and certification of information security management systems

Effective Date

06-Jun-2022

ISO/IEC 27006-1:2024 - Information security, cybersecurity and privacy protection — Requirements for bodies providing audit and certification of information security management systems — Part 1: General
Released:1. 03. 2024

Standard

ISO/IEC 27006-1:2024 - Information security, cybersecurity and privacy protection — Requirements for bodies providing audit and certification of information security management systems — Part 1: General Released:1. 03. 2024

English language

47 pages

sale 15% off

Preview

sale 15% off

Preview

ISO/IEC 27006-1:2024 - Sécurité de l'information, cybersécurité et protection de la vie privée — Exigences pour les organismes procédant à l'audit et à la certification des systèmes de management de la sécurité de l'information — Partie 1: Généralités
Released:1. 03. 2024

Standard

ISO/IEC 27006-1:2024 - Sécurité de l'information, cybersécurité et protection de la vie privée — Exigences pour les organismes procédant à l'audit et à la certification des systèmes de management de la sécurité de l'information — Partie 1: Généralités Released:1. 03. 2024

French language

53 pages

sale 15% off

Preview

sale 15% off

Preview

Standards Content (Sample)

International
Standard
ISO/IEC 27006-1
First edition
Information security, cybersecurity
2024-03
and privacy protection —
Requirements for bodies
providing audit and certification of
information security management
systems —
Part 1:
General
Sécurité de l'information, cybersécurité et protection de la vie
privée — Exigences pour les organismes procédant à l'audit et
à la certification des systèmes de management de la sécurité de
l'information —
Partie 1: Généralités
Reference number
© ISO/IEC 2024
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
© ISO/IEC 2024 – All rights reserved
ii
Contents Page
Foreword .v
Introduction .vi
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Principles . 4
5 General requirements . 5
5.1 L egal and contractual matters .5
5.2 Management of impartiality .5
5.2.1 General .5
5.2.2 Conflicts of interest.5
5.3 Liability and financing .5
6 Structural requirements . 5
7 Resource requirements . 5
7.1 Competence of personnel .5
7.1.1 General .5
7.1.2 Generic competence requirements .5
7.1.3 Determination of competence criteria.6
7.2 Personnel involved in the certification activities .8
7.2.1 General .8
7.2.2 Demonstration of auditor knowledge and experience .8
7.3 Use of individual external auditors and external technical experts .9
7.4 Personnel records .9
7.5 Outsourcing .9
8 Information requirements . 9
8.1 Public information . .9
8.2 Certification documents .9
8.2.1 General .9
8.2.2 ISMS Certification documents .10
8.2.3 Reference of other standards in the ISMS certification documents .10
8.3 Reference to certification and use of marks .10
8.4 Confidentiality .10
8.4.1 General .10
8.4.2 Access to organizational records.10
8.5 Information exchange between a certification body and its clients .10
9 Process requirements .11
9.1 Pre-certification activities .11
9.1.1 Application .11
9.1.2 Application review . .11
9.1.3 Audit programme .11
9.1.4 Determining audit time . 12
9.1.5 Multi-site sampling . . 13
9.1.6 Multiple management systems .14
9.2 P lanning audits .14
9.2.1 Determining audit objectives, scope and criteria .14
9.2.2 Audit team selection and assignments .14
9.2.3 Audit plan . 15
9.3 Initial certification . 15
9.3.1 General . 15
9.3.2 Initial certification audit . 15
9.4 Conducting audits .16

© ISO/IEC 2024 – All rights reserved
iii
9.4.1 General .16
9.4.2 Specific elements of the ISMS audit .16
9.4.3 Audit report .16
9.5 Certification decision . . .17
9.5.1 General .17
9.5.2 C ertification decision .17
9.6 Maintaining certification .17
9.6.1 General .17
9.6.2 Surveillance activities .17
9.6.3 Re-certification .18
9.6.4 Special audits .18
9.6.5 Suspending, withdrawing or reducing the scope of certification .18
9.7 Appeals .19
9.8 Complaints.19
9.8.1 General .19
9.8.2 Complaints .19
9.9 Client records .
...

Norme
internationale
ISO/IEC 27006-1
Première édition
Sécurité de l'information,
2024-03
cybersécurité et protection de la
vie privée — Exigences pour les
organismes procédant à l'audit
et à la certification des systèmes
de management de la sécurité de
l'information —
Partie 1:
Généralités
Information security, cybersecurity and privacy protection —
Requirements for bodies providing audit and certification of
information security management systems —
Part 1: General
Numéro de référence
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2024
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
© ISO/IEC 2024 – Tous droits réservés
ii
Sommaire Page
Avant-propos .v
Introduction .vii
1 Domaine d'application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Principes . 5
5 Exigences générales . . 5
5.1 Domaine juridique et contractuel .5
5.2 Gestion de l'impartialité .5
5.2.1 Généralités .5
5.2.2 Conflits d'intérêts .5
5.3 Responsabilité et situation financière .5
6 Exigences structurelles . 5
7 Exigences relatives aux ressources . 5
7.1 Compétence du personnel .5
7.1.1 Généralités .5
7.1.2 Exigences génériques en matière de compétence .6
7.1.3 Détermination des critères de compétence .6
7.2 Personnel intervenant dans les activités de certification .9
7.2.1 Généralités .9
7.2.2 Démonstration des connaissances et de l'expérience des auditeurs .9
7.3 Intervention d'auditeurs et d'experts techniques externes individuels .10
7.4 Enregistrements relatifs au personnel .10
7.5 Externalisation .10
8 Exigences relatives aux informations .10
8.1 Informations publiques . . .10
8.2 Documents de certification .10
8.2.1 Généralités .10
8.2.2 Documents de certification SMSI .10
8.2.3 Référence à d'autres normes dans les documents de certification SMSI .10
8.3 Référence à la certification et utilisation des marques .11
8.4 Confidentialité .11
8.4.1 Généralités .11
8.4.2 Accès aux enregistrements de l'organisation .11
8.5 Échange d'informations entre l'organisme de certification et ses clients .11
9 Exigences relatives aux processus .11
9.1 Activités préalables à la certification .11
9.1.1 Demande de certification .11
9.1.2 Revue de la demande . 12
9.1.3 Programme d'audit . 12
9.1.4 Détermination du temps d'audit . 13
9.1.5 Échantillonnage multisite . 13
9.1.6 Systèmes de management multiples . 15
9.2 Planification des audits . 15
9.2.1 Détermination des objectifs, du domaine d'application et des critères de l'audit . 15
9.2.2 Constitution de l'équipe d'audit et affectation des missions . 15
9.2.3 Plan d'audit .16
9.3 Certification initiale .16
9.3.1 Généralités .16
9.3.2 Audit de certification initiale .16
9.4 Réalisation des audits .17

© ISO/IEC 2024 – Tous droits réservés
iii
9.4.1 Généralités .17
9.4.2 Éléments spécifiques de l'audit de SMSI .17
9.4.3 Rapport d'audit .18
9.5 Décision de certification .18
9.5.1 Généralités .18
9.5.2 Décision de certification .18
9.6 Maintien de la certification .18
9.6.1 Généralités .18
9.6.2 Activités de surveillance .19
9.6.3 Recertification .19
9.6.4 Audits particuliers . 20
9.6.5 Suspension, retrait ou réduction du périmètre de la certification . 20
9.7 Appels . 20
9.8 Plaintes . 20
9.8.1 Généralités . 20
9.8.2 Plaintes . . 20
9.9 Enregistrements relatifs au client . 20
10 Exigences relatives au système de management des organismes de certification .20
10.1 Options. 20
10.1.1 Généralités .
...

ISO/IEC 27006-1:2024

Information security, cybersecurity and privacy protection — Requirements for bodies providing audit and certification of information security management systems — Part 1: General

Information security, cybersecurity and privacy protection — Requirements for bodies providing audit and certification of information security management systems — Part 1: General

Sécurité de l'information, cybersécurité et protection de la vie privée — Exigences pour les organismes procédant à l'audit et à la certification des systèmes de management de la sécurité de l'information — Partie 1: Généralités

General Information

Relations

Standards Content (Sample)

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.

Information security, cybersecurity and privacy protection — Requirements for bodies providing audit and certification of information security management systems — Part 1: General

Sécurité de l'information, cybersécurité et protection de la vie privée — Exigences pour les organismes procédant à l'audit et à la certification des systèmes de management de la sécurité de l'information — Partie 1: Généralités

General Information

Relations

Standards Content (Sample)

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.

This May Also Interest You