SIST ISO/IEC 27006:2011
(Main)Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems
Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems
ISO/IEC 27006:2007 specifies requirements and provides guidance for bodies providing audit and certification of an information security management system (ISMS), in addition to the requirements contained within ISO/IEC 17021 and ISO/IEC 27001. It is primarily intended to support the accreditation of certification bodies providing ISMS certification.
The requirements contained in ISO/IEC 27006:2007 need to be demonstrated in terms of competence and reliability by any body providing ISMS certification, and the guidance contained in ISO/IEC 27006:2007 provides additional interpretation of these requirements for any body providing ISMS certification.
Technologies de l'information - Techniques de sécurité - Exigences pour les organismes procédant à l'audit et à la certification des systèmes de management de la sécurité de l'information
Informacijska tehnologija - Varnostne tehnike - Zahteve za organe, ki izvajajo presoje in certificiranje sistemov upravljanja informacijske varnosti
Ta mednarodni standard opredeljuje zahteve in podaja navodilo za organe, ki izvajajo presoje in certificiranje sistemov upravljanja informacijske varnosti (ISMS), poleg zahtev, ki jih vsebujeta ISO/IEC 17021 in ISO/IEC 27001. Predvsem je namenjen podpori akreditacijskim in certifikacijskim organom, ki izvajajo certificiranje ISMS. Zahteve, ki jih vsebuje ta mednarodni standard, morajo biti izkazane glede na pristojnost in zanesljivost katerega koli organa, ki izvaja certificiranje ISMS, navodilo iz tega mednarodnega standarda pa podaja dodatno razlago teh zahtev za kateri koli organ, ki izvaja certificiranje ISMS.
General Information
Relations
Standards Content (Sample)
INTERNATIONAL ISO/IEC
STANDARD 27006
First edition
2007-03-01
Information technology — Security
techniques — Requirements for bodies
providing audit and certification of
information security management
systems
Technologies de l'information — Techniques de sécurité — Exigences
pour les organismes procédant à l'audit et à la certification des
systèmes de management de la sécurité de l'information
Reference number
©
ISO/IEC 2007
PDF disclaimer
This PDF file may contain embedded typefaces. In accordance with Adobe's licensing policy, this file may be printed or viewed but
shall not be edited unless the typefaces which are embedded are licensed to and installed on the computer performing the editing. In
downloading this file, parties accept therein the responsibility of not infringing Adobe's licensing policy. The ISO Central Secretariat
accepts no liability in this area.
Adobe is a trademark of Adobe Systems Incorporated.
Details of the software products used to create this PDF file can be found in the General Info relative to the file; the PDF-creation
parameters were optimized for printing. Every care has been taken to ensure that the file is suitable for use by ISO member bodies. In
the unlikely event that a problem relating to it is found, please inform the Central Secretariat at the address given below.
© ISO/IEC 2007
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO/IEC 2007 – All rights reserved
Contents
Foreword. iv
Introduction . v
1 Scope .1
2 Normative references .1
3 Terms and definitions .1
4 Principles.2
5 General requirements.2
5.1 Legal and contractual matter.2
5.2 Management of impartiality .2
5.3 Liability and financing.3
6 Structural requirements .3
6.1 Organizational structure and top management.3
6.2 Committee for safeguarding impartiality .3
7 Resource requirements.3
7.1 Competence of management and personnel.3
7.2 Personnel involved in the certification activities .4
7.3 Use of individual external auditors and external technical experts.6
7.4 Personnel records .6
7.5 Outsourcing.6
8 Information requirements .6
8.1 Publicly accessible information.6
8.2 Certification documents.6
8.3 Directory of certified clients .7
8.4 Reference to certification and use of marks.7
8.5 Confidentiality.7
8.6 Information exchange between a certification body and its clients.7
9 Process requirements .7
9.1 General requirements.7
9.2 Initial audit and certification.11
9.3 Surveillance activities .15
9.4 Recertification.16
9.5 Special audits.16
9.6 Suspending, withdrawing or reducing scope of certification.16
9.7 Appeals .17
9.8 Complaints .17
9.9 Records of applicants and clients .17
10 Management system requirements for certification bodies .17
10.1 Options .17
10.2 Option 1 – Management system requirements in accordance with ISO 9001.17
10.3 Option 2 – General management system requirements .17
Annex A (informative) Analysis of a client organization’s complexity and sector-specific aspects .18
Annex B (informative) Example areas of auditor competence .21
Annex C (informative) Audit time.23
Annex D (informative) Guidance for review of implemented ISO/IEC 27001:2005, Annex A controls .29
© ISO/IEC 2007 – All rights reserved iii
Foreword
ISO (the International Organization for Standardization) and IEC (International Electrotechnical Commission)
form the specialized system for worldwide standardization. National bodies that are members of ISO and IEC
participate in the development of International Standards through technical committees established by the
respective organization to deal with particular fields of technical activity. ISO and IEC technical committees
collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental,
in liaison with ISO and IEC, also take part in the work. In the field of information technology, ISO and IEC have
established a joint technical committee, ISO/IEC JTC 1.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of the joint technical committee is to prepare International Standards. Draft International
Standards adopted by the technical committees are circulated to the member bodies for voting. Publication as
an International Standard requires approval by at least 75 % of the member bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO shall not be held responsible for identifying any or all such patent rights.
ISO/IEC 27006 was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee SC 27, IT Security techniques.
iv © ISO/IEC 2007 – All rights reserved
Introduction
ISO/IEC 17021 is an International Standard which sets out criteria for bodies operating audit and certification
of organizations' management systems. If such bodies are to be accredited as complying with ISO/IEC 17021
with the objective of auditing and certifying Information Security Management Systems (ISMS) in accordance
with ISO/IEC 27001:2005, some additional requirements and guidance to ISO/IEC 17021 are necessary.
These are provided by this International Standard.
The text in this International Standard follows the structure of ISO/IEC 17021, and the additional ISMS-specific
requirements and guidance on the application of ISO/IEC 17021 for ISMS certification are identified by the
letters “IS”.
The term “shall” is used throughout this International Standard to indicate those provisions which, reflecting
the requirements of ISO/IEC 17021 and ISO/IEC 27001, are mandatory. The term “should” is used to indicate
those provisions which, although they constitute guidance for the application of the requirements, are
expected to be adopted by a certification body.
One aim of this International Standard is to enable accreditation bodies to more effectively harmonise their
application of the standards against which they are bound to assess certification bodies. In this context, any
variation from the guidance by a certification body is an exception. Such variations will only be permitted on a
case-by-case basis after the certification body has demonstrated to the accreditation body that the exception
meets in some equivalent way the relevant requirements clause of ISO/IEC 17021, ISO/IEC 27001 and the
intent of this International Standard.
NOTE Throughout this International Standard, the terms “management system” and “system” are used interchangeably.
The definition of a management system can be found in ISO 9000:2005. The management system as used in this
International Standard is not to be confused with other types of system, such as IT systems.
© ISO/IEC 2007 – All rights reserved v
INTERNATIONAL STANDARD ISO/IEC 27006:2007(E)
Information technology — Security techniques — Requirements
for bodies providing audit and certification of information
security management systems
1 Scope
This International Standard specifies requirements and provides guidance for bodies providing audit and
certification of an information security management system (ISMS), in addition to the requirements contained
within ISO/IEC 17021 and ISO/IEC 27001. It is primarily intended to support the accreditation of certification
bodies providing ISMS certification.
The requirements contained in this International Standard need to be demonstrated in terms of competence
and reliability by any body providing ISMS certification, and the guidance contained in this International
Standard provides additional interpretation of these requirements for any body providing ISMS certification.
NOTE This International Standard can be used as a criteria document for accreditation, peer assessment or other audit
processes.
2 Normative references
The following referenced documents are indispensable for the application of this document. For dated
references, only the edition cited applies. For undated references, the latest edition of the referenced
document (including any amendments) applies.
ISO/IEC 17021:2006, Conformity assessment — Requirements for bodies providing audit and certification of
management systems
ISO/IEC 27001:2005, Information technology — Security techniques — Information security management
systems — Requirements
ISO/IEC 19011, Guidelines for quality and/or environmental management systems auditing
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 17021, ISO/IEC 27001 and the
following apply.
3.1
certificate
certificate issued by a certification body in accordance with the conditions of its accreditation and bearing an
accreditation symbol or statement
3.2
certification body
third party that assesses and certifies the ISMS of a client organization with respect to published ISMS
standards, and any supplementary documentation required under the system
3.3
certification document
document indicating that a client organization’s ISMS conforms to specified ISMS standards and any
supplementary documentation required under the system
© ISO/IEC 2007 – All rights reserved 1
3.4
mark
legally registered trade mark or otherwise protected symbol which is issued under the rules of an accreditation
body or of a certification body, indicating that adequate confidence in the systems o
...
SLOVENSKI STANDARD
01-marec-2011
Informacijska tehnologija - Varnostne tehnike - Zahteve za organe, ki izvajajo
presoje in certificiranje sistemov upravljanja informacijske varnosti
Information technology - Security techniques - Requirements for bodies providing audit
and certification of information security management systems
Technologies de l'information - Techniques de sécurité - Exigences pour les organismes
procédant à l'audit et à la certification des systèmes de management de la sécurité de
l'information
Ta slovenski standard je istoveten z: ISO/IEC 27006:2007
ICS:
03.120.20 Certificiranje proizvodov in Product and company
podjetij. Ugotavljanje certification. Conformity
skladnosti assessment
35.040 Nabori znakov in kodiranje Character sets and
informacij information coding
2003-01.Slovenski inštitut za standardizacijo. Razmnoževanje celote ali delov tega standarda ni dovoljeno.
INTERNATIONAL ISO/IEC
STANDARD 27006
First edition
2007-03-01
Information technology — Security
techniques — Requirements for bodies
providing audit and certification of
information security management
systems
Technologies de l'information — Techniques de sécurité — Exigences
pour les organismes procédant à l'audit et à la certification des
systèmes de management de la sécurité de l'information
Reference number
©
ISO/IEC 2007
PDF disclaimer
This PDF file may contain embedded typefaces. In accordance with Adobe's licensing policy, this file may be printed or viewed but
shall not be edited unless the typefaces which are embedded are licensed to and installed on the computer performing the editing. In
downloading this file, parties accept therein the responsibility of not infringing Adobe's licensing policy. The ISO Central Secretariat
accepts no liability in this area.
Adobe is a trademark of Adobe Systems Incorporated.
Details of the software products used to create this PDF file can be found in the General Info relative to the file; the PDF-creation
parameters were optimized for printing. Every care has been taken to ensure that the file is suitable for use by ISO member bodies. In
the unlikely event that a problem relating to it is found, please inform the Central Secretariat at the address given below.
© ISO/IEC 2007
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO/IEC 2007 – All rights reserved
Contents
Foreword. iv
Introduction . v
1 Scope .1
2 Normative references .1
3 Terms and definitions .1
4 Principles.2
5 General requirements.2
5.1 Legal and contractual matter.2
5.2 Management of impartiality .2
5.3 Liability and financing.3
6 Structural requirements .3
6.1 Organizational structure and top management.3
6.2 Committee for safeguarding impartiality .3
7 Resource requirements.3
7.1 Competence of management and personnel.3
7.2 Personnel involved in the certification activities .4
7.3 Use of individual external auditors and external technical experts.6
7.4 Personnel records .6
7.5 Outsourcing.6
8 Information requirements .6
8.1 Publicly accessible information.6
8.2 Certification documents.6
8.3 Directory of certified clients .7
8.4 Reference to certification and use of marks.7
8.5 Confidentiality.7
8.6 Information exchange between a certification body and its clients.7
9 Process requirements .7
9.1 General requirements.7
9.2 Initial audit and certification.11
9.3 Surveillance activities .15
9.4 Recertification.16
9.5 Special audits.16
9.6 Suspending, withdrawing or reducing scope of certification.16
9.7 Appeals .17
9.8 Complaints .17
9.9 Records of applicants and clients .17
10 Management system requirements for certification bodies .17
10.1 Options .17
10.2 Option 1 – Management system requirements in accordance with ISO 9001.17
10.3 Option 2 – General management system requirements .17
Annex A (informative) Analysis of a client organization’s complexity and sector-specific aspects .18
Annex B (informative) Example areas of auditor competence .21
Annex C (informative) Audit time.23
Annex D (informative) Guidance for review of implemented ISO/IEC 27001:2005, Annex A controls .29
© ISO/IEC 2007 – All rights reserved iii
Foreword
ISO (the International Organization for Standardization) and IEC (International Electrotechnical Commission)
form the specialized system for worldwide standardization. National bodies that are members of ISO and IEC
participate in the development of International Standards through technical committees established by the
respective organization to deal with particular fields of technical activity. ISO and IEC technical committees
collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental,
in liaison with ISO and IEC, also take part in the work. In the field of information technology, ISO and IEC have
established a joint technical committee, ISO/IEC JTC 1.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of the joint technical committee is to prepare International Standards. Draft International
Standards adopted by the technical committees are circulated to the member bodies for voting. Publication as
an International Standard requires approval by at least 75 % of the member bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO shall not be held responsible for identifying any or all such patent rights.
ISO/IEC 27006 was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee SC 27, IT Security techniques.
iv © ISO/IEC 2007 – All rights reserved
Introduction
ISO/IEC 17021 is an International Standard which sets out criteria for bodies operating audit and certification
of organizations' management systems. If such bodies are to be accredited as complying with ISO/IEC 17021
with the objective of auditing and certifying Information Security Management Systems (ISMS) in accordance
with ISO/IEC 27001:2005, some additional requirements and guidance to ISO/IEC 17021 are necessary.
These are provided by this International Standard.
The text in this International Standard follows the structure of ISO/IEC 17021, and the additional ISMS-specific
requirements and guidance on the application of ISO/IEC 17021 for ISMS certification are identified by the
letters “IS”.
The term “shall” is used throughout this International Standard to indicate those provisions which, reflecting
the requirements of ISO/IEC 17021 and ISO/IEC 27001, are mandatory. The term “should” is used to indicate
those provisions which, although they constitute guidance for the application of the requirements, are
expected to be adopted by a certification body.
One aim of this International Standard is to enable accreditation bodies to more effectively harmonise their
application of the standards against which they are bound to assess certification bodies. In this context, any
variation from the guidance by a certification body is an exception. Such variations will only be permitted on a
case-by-case basis after the certification body has demonstrated to the accreditation body that the exception
meets in some equivalent way the relevant requirements clause of ISO/IEC 17021, ISO/IEC 27001 and the
intent of this International Standard.
NOTE Throughout this International Standard, the terms “management system” and “system” are used interchangeably.
The definition of a management system can be found in ISO 9000:2005. The management system as used in this
International Standard is not to be confused with other types of system, such as IT systems.
© ISO/IEC 2007 – All rights reserved v
INTERNATIONAL STANDARD ISO/IEC 27006:2007(E)
Information technology — Security techniques — Requirements
for bodies providing audit and certification of information
security management systems
1 Scope
This International Standard specifies requirements and provides guidance for bodies providing audit and
certification of an information security management system (ISMS), in addition to the requirements contained
within ISO/IEC 17021 and ISO/IEC 27001. It is primarily intended to support the accreditation of certification
bodies providing ISMS certification.
The requirements contained in this International Standard need to be demonstrated in terms of competence
and reliability by any body providing ISMS certification, and the guidance contained in this International
Standard provides additional interpretation of these requirements for any body providing ISMS certification.
NOTE This International Standard can be used as a criteria document for accreditation, peer assessment or other audit
processes.
2 Normative references
The following referenced documents are indispensable for the application of this document. For dated
references, only the edition cited applies. For undated references, the latest edition of the referenced
document (including any amendments) applies.
ISO/IEC 17021:2006, Conformity
...
МЕЖДУНАРОДНЫЙ ISO/IEC
СТАНДАРТ 27006
Первое издание
2007-03-01
Информационные технологии. Методы
и средства обеспечения безопасности.
Требования для органов,
обеспечивающих аудит и
сертификацию систем менеджмента
информационной безопасности
Information technology — Security techniques — Requirements for
bodies providing audit and certification of information security
management systems
Ответственность за подготовку русской версии несёт GOST R
(Российская Федерация) в соответствии со статьёй 18.1 Устава ISO
Ссылочный номер
©
ISO/IEC 2007
Отказ от ответственности при работе в PDF
Настоящий файл PDF может содержать интегрированные шрифты. В соответствии с условиями лицензирования, принятыми
фирмой Adobe, этот файл можно распечатать или смотреть на экране, но его нельзя изменить, пока не будет получена
лицензия на интегрированные шрифты и они не будут установлены на компьютере, на котором ведется редактирование. В
случае загрузки настоящего файла заинтересованные стороны принимают на себя ответственность за соблюдение
лицензионных условий фирмы Adobe. Центральный секретариат ISO не несет никакой ответственности в этом отношении.
Adobe – торговый знак фирмы Adobe Systems Incorporated.
Подробности, относящиеся к программным продуктам, использованные для создания настоящего файла PDF, можно найти
в рубрике General Info файла; параметры создания PDF были оптимизиро4ваны для печати. Были приняты во внимание все
меры предосторожности с тем, чтобы обеспечить пригодность настоящего файла для использования комитетами-членами
ISO. В редких случаях возникновения проблемы, связанной со сказанным выше, просьба проинформировать Центральный
секретариат по адресу, приведенному ниже.
ДОКУМЕНТ ЗАЩИЩЕН АВТОРСКИМ ПРАВОМ
© ISO/IEC 2007
Все права сохраняются. Если не указано иное, никакую часть настоящей публикации нельзя копировать или использовать в
какой-либо форме или каким-либо электронным или механическим способом, включая фотокопии и микрофильмы, без
предварительного письменного согласия ISO, которое должно быть получено после запроса о разрешении, направленного по
адресу, приведенному ниже, или в комитет-член ISO в стране запрашивающей стороны.
ISO copyright office
Case postale 56 · CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Опубликовано в Швейцарии
ii © ISO/IEC 2007 – Все права сохраняются
Содержание Страница
Предисловие.v
Введение . vi
1 Область распространения.1
2 Нормативные ссылки.1
3 Термины и определения.1
4 Принципы.2
5 Общие требования.2
5.1 Юридические и договорные вопросы.2
5.2 Менеджмент беспристрастности .2
5.3 Обязательства и финансирование.3
6 Требования к структуре .3
6.1 Структура организации и высшее руководство .3
6.2 Комитет по обеспечению защиты беспристрастности.3
7 Требования к ресурсам.3
7.1 Компетентность руководства и персонала.3
7.2 Персонал, участвующий в деятельности по сертификации.4
7.3 Привлечение отдельных внешних аудиторов и внешних технических экспертов .6
7.4 Записи данных о персонале.6
7.5 Аутсорсинг.6
8 Требования к информации.6
8.1 Общедоступная информация.6
8.2 Документы по сертификации.7
8.3 Список сертифицированных клиентов.7
8.4 Ссылка на сертификацию и использование маркировки .7
8.5 Конфиденциальность .7
8.6 Обмен информацией между органом сертификации и его клиентами.8
9 Требования к процессу.8
9.1 Общие требования.8
9.2 Начальный аудит и сертификация. 12
9.3 Деятельность по надзору. 16
9.4 Повторная сертификация. 17
9.5 Специальные аудиты. 17
9.6 Приостановка, отмена или сокращение сферы действия сертификации. 18
9.7 Апелляции . 18
9.8 Жалобы . 18
9.9 Документы заявителей и клиентов . 18
10 Требования системы менеджмента к органам сертификации. 18
10.1 Варианты . 18
10.2 Вариант 1 —Требования системы менеджмента в соответствии с ISO 9001 . 18
10.3 Вариант 2 — Общие требования системы менеджмента . 19
Приложение А (информативное) Анализ сложности организации-клиента и конкретных для
сектора аспектов. 20
Приложение В (информативное) Примерные области компетентности аудитора . 23
Приложение С (информативное) Продолжительность аудита . 25
Приложение D (информативное) Руководство по анализу реализованных мер управления
из Приложения А ISO/IEC 27001:2005 . 31
© ISO/IEC 2007 – Все права сохраняются iii
Предисловие
Международная организация по стандартизации (ISO) и Международная электротехническая комиссия
(IEC) формируют специализированную систему по мировой стандартизации. Национальные
организации, являющиеся членами ISO или IEC, принимают участие в разработке международных
стандартов через технические комитеты, созданные соответствующей организацией для рассмотрения
вопросов конкретных сфер технической деятельности. Технические комитеты ISO и IEC сотрудничают
в сферах, представляющих взаимный интерес. Другие международные организации, государственные
и негосударственные, взаимодействующие с ISO и IEC, тоже принимают участие в работе. В сфере
информационной технологии ISO и IEC создали совместный технический комитет ISO/IEC JTC 1.
Международные стандарты составляются в соответствии с правилами, приведенными в Директивах
ISO/IEC, Часть 2.
Основной задачей Совместного Технического комитета является подготовка международных
стандартов. Проекты международных стандартов, принятые Техническими комитетами,
распространяются среди орга-низаций-членов для голосования. Публикация в качестве
международного стандарта требует одобрения, по крайней мере, 75 % организаций-членов,
принимающих участие в голосовании.
Следует обратить внимание на возможность того, что некоторые элементы данного документа могут
быть объектом патентного права. ISO не должна нести ответственность за установление любого или
всех таких патентных прав.
ISO/IEC 27006 был подготовлен Совместным Техническим комитетом ISO/IEC JTC 1,
Информационные технологии, Подкомитетом SC 27, Методы и средства обеспечения безопасности.
iv © ISO/IEC 2007 – Все права сохраняются
Введение
ISO/IEC 17021 — это международный стандарт, содержащий критерии для органов, осуществляющих
аудит и сертификацию систем менеджмента организаций. Если эти органы должны быть
аккредитованы как соответствующие ISO/IEC 17021 с целью проведения аудита и сертификации
систем менеджмента информационной безопасности (СМИБ) в соответствии с ISO/IEC 27001:2005, то
необходимы дополнительные требования и руководства к ISO/IEC 17021. Они представлены в
настоящем международном стандарте.
Текст настоящего международного стандарта повторяет структуру ISO/IEC 17021, а дополнительные
требования, характерные для СМИБ, и руководство по применению ISO/IEC 17021 для сертификации
СМИБ обозначаются аббревиатурой "ИБ".
Термин "должен" используется в этом международном стандарте для указания тех условий, которые,
отражая требования ISO/IEC 17021 и ISO/IEC 27001, являются обязательными. Термин "должен"
используется для обозначения условий, которые, хотя и являются руководством по применению этих
требований, предполагается, что будут приняты органом сертификации.
Цель настоящего международного стандарта — дать возможность органам аккредитации более
эффективно согласовывать применение ими стандартов, в отношении которых они обязаны оценивать
органы сертификации. В этом контексте любое отклонение органа сертификации от руководства
является исключением. Такие отклонения будут разрешены только на основе рассмотрения каждого
случая по отдельности, после того как орган сертификации докажет органу аккредитации, что это
исключение удовлетворяет каким-то эквивалентным образом пункт соответствующих требований
ISO/IEC 17021, ISO/IEC 27001 и настоящего международного стандарта.
ПРИМЕЧАНИЕ В данном международном стандарте термины "система менеджмента" и "система"
используются, заменяя друг друга. Определение системы менеджмента можно найти в ISO/IEC 9000:2005.
Систему менеджмента, использующуюся в этом международном стандарте, не следует путать с другими типами
системы, такими как системы информационных технологий.
© ISO/IEC 2007 – Все права сохраняются v
МЕЖДУНАРОДНЫЙ СТАНДАРТ ISO/IEC 27006:2007(R)
Информационные технологии. Методы и средства
обеспечения безопасности. Требования к органам,
осуществляющим аудит и сертификацию систем
менеджмента информационной безопасности
1 Область распространения
В настоящем стандарте устанавливаются требования и дополнительно к требованиям, содержащимся
в ISO/IEC 17021 и ISO/IEC 27001, дается руководство для органов, осуществляющих аудит и
сертификацию СМИБ. Главным образом он предназначен для поддержки аккредитации органов
сертификации, осуществляющих сертификацию СМИБ.
Любой орган, осуществляющий сертификацию СМИБ, должен предъявлять требования, содержащиеся
в настоящем стандарте на основе компетентности и надёжности, а в руководстве предоставляется
дополнительное разъяснение этих требований к органу, осуществляющему сертификацию СМИБ.
ПРИМЕЧАНИЕ Настоящий стандарт может использоваться в качестве документа, содержащего критерии для
аккредитации, экспертной оценки или других процессов аудита.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
ISO/IEC 17021:2006, Оценка соответствия. Требования для органов, обеспечивающих аудит и
сертификацию систем менеджмента
ISO/IEC 27001:2005, Информационная технология. Методы и средства обеспечения безопасности.
Системы менеджмента информационной безопасности. Требования
ISO/IEC 19011:2002, Руководящие указания по аудиту систем менеджмента качества и/или систем
экологического менеджмента
3 Термины и определения
В настоящем стандарте применены термины по ISO/IEC 17021, ISO/IEC 27001, а также следующие
термины с соответствующими определениями.
3.1
сертификат
certificate
документ, выданный органом сертификации, в соответствии с условиями его аккредитации и имеющий
подтверждение аккредитации.
3.2
орган сертификации
certification body
третья сторона, оценивающая и сертифицирующая СМИБ организации-клиента на соответствие
действующим стандартам СМИБ и любой дополнительной документации, устанавливаемый в
соответствии с требованиями системы
© ISO/IEC 2007 – Все права сохраняются 1
3.3
документ сертификации
certification document
документ, указывающий, что СМИБ организации-клиента соответствует стандартам СМИБ и
дополнительной документации, требуемой в соответствии с этой системой
3.4
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.