Росаккредитация подготовила план перехода на применение международного стандарта ISO/IEC 27006-1:2024. Он определяет требования к органам по сертификации, проводящим аудит и сертификацию систем менеджмента информационной безопасности (ИСМС) по ISO/IEC 27001. В результате подкорректируют подходы к компетентности персонала, методикам аудита, управлению программой сертификации и документированию процессов.
| Важный блок | Что это значит |
|---|---|
| Суть изменения | Переход органов по сертификации ИСМС на применение требований ISO/IEC 27006-1:2024 вместо прежних подходов; актуализация внутренних процедур и критериев аудита. |
| Кого касается | Органы по сертификации, проводящие аудит ИСМС, их аудиторы и технические эксперты; косвенно — организации, проходящие сертификацию по ISO/IEC 27001. |
| Кого не касается | Компании, не использующие и не сертифицирующие ИСМС; для них изменения прямых обязанностей не создают. |
| Сроки перехода | Переход будет осуществляться по плану Росаккредитации; конкретные этапы и контрольные точки определяются этим планом. |
| Что нужно сделать органам по сертификации |
|
| Контроль соблюдения | Соответствие будет проверяться в рамках процедур оценки и надзора со стороны национальной системы аккредитации. |
| Последствия несоблюдения | Возможны ограничения области аккредитации, приостановление или прекращение аккредитации в случае системного несоответствия установленным требованиям. |
Органам по сертификации стоит заранее провести разрыв-анализ между действующими процедурами и требованиями ISO/IEC 27006-1:2024, назначить ответственных за внедрение, подготовить план обучения аудиторов и график обновления документов.
Содержание
Практические шаги подготовки
- Сопоставить действующие регламенты с требованиями ISO/IEC 27006-1:2024 и зафиксировать необходимые корректировки.
- Обновить критерии отбора и оценки компетентности членов групп по аудиту ИСМС.
- Пересмотреть формы планов аудита, чек-листы и шаблоны отчётов.
- Проверить управление конфиденциальной информацией и независимость аудиторов.
- Подготовить материалы для информирования клиентов о возможных изменениях подходов к аудиту и отчётности.
Ответы на вопросы
| Вопрос | Ответ |
|---|---|
| Что такое ISO/IEC 27006-1:2024? | Это международный стандарт с требованиями к органам, проводящим аудит и сертификацию ИСМС по ISO/IEC 27001. |
| Кого непосредственно затрагивают изменения? | Органы по сертификации ИСМС и их аудиторы; для сертифицируемых компаний изменения проявятся в обновлённых процедурах аудита. |
| Нужно ли организациям с действующим сертификатом ISO/IEC 27001 что-то делать? | Как правило, сертификаты продолжают действовать до срока истечения; при надзорных и ресертификационных аудитах могут применяться обновлённые подходы органа по сертификации. |
| Есть ли установленный переходный период? | Переход осуществляется по плану, подготовленному Росаккредитацией; конкретные этапы и сроки определяются этим документом. |
| Где ознакомиться с планом перехода? | План опубликован Росаккредитацией; можно ориентироваться на официальные материалы ведомства. |
Нормативная база
- ISO/IEC 27006-1:2024 «Требования к органам, проводящим аудит и сертификацию систем менеджмента информационной безопасности (ИСМС)».
- ISO/IEC 27001 «Системы менеджмента информационной безопасности — Требования» (актуальная редакция).
- Федеральный закон № 412-ФЗ «Об аккредитации в национальной системе аккредитации».
- План перехода на применение ISO/IEC 27006-1:2024, подготовленный Росаккредитацией.
