ДСТУ EN ISO/IEC 27006:2022 Информационные технологии. Методы защиты. Требования к органам, предоставляющим услуги по аудиту и сертификации систем управления информационной безопасностью (EN ISO/IEC 27006:2020...



ПІДТВЕРДЖУВАЛЬНЕ ПОВІДОМЛЕННЯ

Державне підприємство
«Український науково-дослідний і навчальний центр
проблем стандартизації, сертифікації та якості»
(ДП «УкрНДНЦ»)

Наказ від 28.12.2022 № 285

EN ISO/IEC 27006:2020

Information technology - Security techniques - Requirements for bodies providing
audit and certification of information security management systems
(ISO/IEC 27006:2015, including Amd 1:2020)

прийнято як національний стандарт
методом «підтвердження» за позначенням

ДСТУ EN ISO/IEC 27006:2022
(EN ISO/IEC 27006:2020, IDT; ISO/IEC 27006:2015, including Amd 1:2020, IDT)

Інформаційні технології. Методи захисту. Вимоги до органів, які надають послуги
з аудиту і сертифікації систем управління інформаційною безпекою

З наданням чинності від 2023-12-31

Відповідає офіційному тексту

З питань придбання офіційного видання звертайтесь
до національного органу стандартизації
(ДП «УкрНДНЦ» http://uas.gov.ua)

Contents

Foreword

Introduction

1 Scope

2 Normative references

3 Terms and definitions

4 Principles

5 General requirements

5.1 Legal and contractual matters

5.2 Management of impartiality

5.3 Liability and financing

6 Structural requirements

7 Resource requirements

7.1 Competence of personnel

7.2 Personnel involved in the certification activities

7.3 Use of individual external auditors and external technical experts

7.4 Personnel records

7.5 Outsourcing

8 Information requirements

8.1 Public information

8.2 Certification documents

8.2 ISMS Certification documents

8.3 Reference to certification and use of marks

8.4 Confidentiality

8.4 Access to organizational records

8.5 Information exchange between a certification body and its clients

9 Process requirements

9.1 Pre-certification activities

9.2 Planning audits

9.3 Initial certification

9.4 Conducting audits

9.4 General

9.4 Specific elements of the ISMS audit

9.4 Audit report

9.5 Certification decision

9.5 Certification decision

9.6 Maintaining certification

9.7 Appeals

9.8 Complaints

9.9 Client records

10 Management system requirements for certification bodies

10.1 Options

10.2 Option A: General management system requirements

10.3 Option B: Management system requirements in accordance with ISO 9001

Annex A (informative) Knowledge and skills for ISMS auditing and certification

Annex B (normative) Audit time

Annex C (informative) Methods for audit time calculations

Annex D (informative) Guidance for review of implemented ISO/IEC 27001:2013, Annex A controls

Bibliography