Навигација

План преласка на ISO/IEC 27006-1:2024 – Безбедност информација, сајбер безбедност и заштита приватности - Захтеви за тела која обављају проверу и сертификацију система менаџмента безбедношћу информација – Део 1: Опште

01.03.2024. године објављено је ново издање стандарда ISO/IEC 27006-1:2024; Information security, cybersecurity and privacy protection - Requirements for bodies providing audit and certification of information security management systems - Part 1: General, намењен за подршку акредитацији сертификационих тела која обављају сертификацију ISMS.

Издање ISO/IEC 27006-1:2024 замењује ISO/IEC 27006:2015 и ISO/IEC 27006:2015/AMD1:2020, и утврђује захтеве и пружа смернице за тела која обављају проверу и сертификацију система менаџмента безбедношћу информација (ISMS), као додатак захтевима садржаним у ISO/IEC 17021-1:2015. 

Детаљније информације о новинама у ISO/IEC 27006-1:2024, као и детаљи о активностима које треба предузети како би се правилно управљало преласком, дати су у обавезујућем документу IAF MD 29:2024, Transition Requirements for ISO/IEC 27006-1:2024 од 21.05.2024. године (https://iaf.nu/iaf_system/uploads/documents/IAF_MD_29_27006-1_Transition_21052024.pdf ). 

У поређењу са претходном верзијом (ISO/IEC 27006:2015 и ISO/IEC 27006:2015/АМD1:2020), ревидирано издање садржи (између осталог):

  • јасније захтеве за провере на даљину;
  • ажуриране захтеве за израчунавање времена провере;
  • ажуриран Прилог Д стандарда ISO/IEC 27006:2015 како би се ускладио са контролама безбедности информација наведеним у Прилогу А стандарда ISO/IEC 27001:2022 и пребацивање као Прилога Е стандарда ISO/IEC 27006-1:2024. Табела Д је поново означена као Табела Е;
  • прецизније исказане захтеве за упућивање на друге стандарде у ISMS сертификационим документима;
  • уклањање преопширности из ISO/IEC 17021-1:2015, на пример, клаузуле 5.2, 7.1.3, 9.3.2.2 и 9.4 (ISO/IEC 27006-1:2024) су ажуриране и
  • уклоњен је квантитативни захтев за радно искуство и обуку за ISMS проверавача, нпр, 4-годишње практично радно искуство са пуним радним временом.

Узимајући у обзир IAF MD29 којим су дефинисани захтеви и крајњи рокови за спровођење активности преласка и за сертификациона тела и за акредитациона тела, Акредитационо тело Србије је утврдило временске рокове за следеће активности, који су приказани у наставку.

Од сертификационих тела за сертификацију система менаџмента која желе да буду акредитовани према SRPS ISO/IEC 17021-1:2015 и ISO/IEC 27006-1:2024 се захтева да након детаљне анализе измена које је унео нови нормативни документ, ISO/IEC 27006-1:2024, припреме план преласка и поштујући наведене рокове формализују свој захтев за прелазак на акредитацију према SRPS ISO/IEC 17021-1:2015 и ISO/IEC 27006-1:2024 достављањем пријаве за прелазак* која треба да садржи опис активности предузетих у циљу усаглашавања, као и доказе којима се потврђује да су те активности спроведене, а које се односе на:

АТС ће спровести оцењивање у сврху преласка преиспитивањем достављене документације у трајању од 1 оцењивач дан (по 0,5 оцењивач дана за вођу тима и члана тима – техничког оцењивача). У случају потребе, АТС задржава право да затражи и додатну документацију. Налази спроведеног оцењивања биће презентовани сертификационом телу у усаглашеном термину за оцењивање.
Уколико прелазак није могуће оценити на основу достављене документације, реализоваће се оцењивање на локацији или оцењивање са удаљености.

Ефекти примене промена које су резултат усаглашавања са ISO/IEC 27006-1:2024 биће оцењени током редовних оцењивања у циклусу акредитације.