ISO/IEC 27006-1 Bezbednost informacija, sajber bezbednost i zaštita privatnosti

Zahtevi za tela koja sprovode audit i sertifikaciju sistema upravljanja bezbednošću informacija

Deo 1: Opšti zahtevi

Šta je ISO/IEC 27006-1?

Standard ISO/IEC 27006-1 definiše dodatne zahteve za tela koja sprovode audit i sertifikaciju sistema upravljanja bezbednošću informacija (ISMS) u skladu sa standardom ISO/IEC 27001. Ovaj standard dopunjuje ISO/IEC 17021-1 prilagođavanjem pravila specifičnom kontekstu sertifikacije ISMS-a, čime se obezbeđuje da se sertifikacija sprovodi stručno, dosledno i nepristrasno.

Kome je namenjen ISO/IEC 27006-1?

Poverenje u bezbednost informacija jedne kompanije često se zasniva na sertifikaciji prema standardu ISO/IEC 27001 koju sprovodi nezavisno telo. Međutim, da bi se imalo poverenje u sam sertifikat, neophodno je imati poverenje u sertifikaciono telo. Standard ISO/IEC 27006-1 obezbeđuje da tela za sertifikaciju koja sprovode audit ISMS-a posluju uz visok nivo stručnosti i nepristrasnosti. Time se štiti kredibilitet ISMS sertifikata, olakšava njihovo međunarodno priznavanje i obezbeđuje doslednu primenu istih visokih standarda širom sveta.

Standard ISO/IEC 27006-1 koriste:

  • Sertifikaciona tela koja sprovode audit i sertifikaciju sistema upravljanja bezbednošću informacija (ISMS).
  • Akreditaciona tela koja ocenjuju i nadziru rad sertifikacionih tela.
  • Kompanije koje traže ili održavaju sertifikaciju prema ISO/IEC 27001, radi razumevanja zahteva i kredibiliteta sertifikacionog procesa.
  • Auditori i tehnički eksperti uključeni u sertifikaciju ISMS-a.
  • Regulatorna i nadzorna tela koja se oslanjaju na ISMS sertifikate u svrhu usklađenosti i upravljanja rizicima.

Prednosti uvođenja ISO/IEC 27006-1?

Prednosti uvođenja standarda ISO/IEC 27006-1 su:

  • Povećava poverenje u sertifikate sistema upravljanja bezbednošću informacija (ISMS).
  • Obezbeđuje dosledne i nepristrasne prakse sprovođenja audita.
  • Podržava međunarodno priznavanje sertifikacionih tela.
  • Pruža jasnoću u postupcima akreditacije i kolegijalnih (peer) ocenjivanja.
  • Unapređuje stručnost u procesu sertifikacije bezbednosti informacija.

Šta je to implementacija ISO/IEC 27006-1?

Implementacija standarda ISO/IEC 27006-1 znači primenu zahteva ovog standarda u praksi od strane sertifikacionih tela i akreditacionih tela kako bi se obezbedila kvalitetna, kompetentna i nepristrasna sertifikacija sistema upravljanja bezbednošću informacija (ISMS) prema standardu ISO/IEC 27001.

Impelmentacija uključuje:

  • Prilagođavanje procedura audita i sertifikacije specifičnostima ISMS-a.
  • Obezbeđivanje stručnosti i kontinuirane obuke auditora za ISMS.
  • Primenu principa nepristrasnosti i objektivnosti u svim fazama sertifikacionog procesa.
  • Dokumentovanje i praćenje procesa kako bi se zadovoljili zahtevi za akreditaciju i međunarodno priznanje sertifikata.
  • Redovno internim i eksternim nadzorom potvrđivanje da sertifikaciono telo posluje u skladu sa visokim standardima.

Koraci implementacije standarda ISO/IEC 27006-1 su:

  1. Razumevanje standarda
  • Detaljno proučiti standard ISO/IEC 27006-1 i povezani standard ISO/IEC 27001.
  • Identifikovati sve dodatne zahteve koji se odnose na audit i sertifikaciju ISMS-a.
  1. Procena trenutnog stanja
  • Pregledati postojeće procedure sertifikacije i audita.
  • Identifikovati oblasti koje nisu u skladu sa zahtevima standarda ISO/IEC 27006-1.
  1. Prilagođavanje procedura
  • Ažurirati ili kreirati procedure audita i sertifikacije specifične za ISMS.
  • Uvesti kontrolne mehanizme za nepristrasnost i objektivnost.
  • Definisati kriterijume kompetentnosti za auditore i tehničke stručnjake.
  1. Obuka i razvoj kompetencija
  • Osigurati da svi auditori ISMS-a imaju odgovarajuću stručnost i obuku.
  • Kontinuirano unapređivati znanje o informacijama i sajber bezbednosti.
  1. Primena i praćenje
  • Sprovoditi audite prema novim procedurama.
  • Dokumentovati sve aktivnosti i odluke radi transparentnosti i praćenja.
  • Redovno pratiti i ocenjivati kvalitet audita i sertifikacija.
  1. Interna kontrola i poboljšanje
  • Sprovoditi interne nadzore i evaluacije procesa sertifikacije.
  • Identifikovati i implementirati poboljšanja u skladu sa standardom.
  1. Priprema za akreditaciju
  • Prikupiti svu dokumentaciju i dokaze da su procedure u skladu sa standardom ISO/IEC 27006-1.
  • Sarađjivati sa akreditacionim telima i pripremiti se za ocenu.

Šta je to sertifikacija ISO/IEC 27006-1?

Standard ISO/IEC 27006-1 nije standard za direktnu sertifikaciju kompanija, već je standard za tela koja sprovode sertifikaciju ISMS-a (sistema upravljanja bezbednošću informacija). Dakle, ne dobijaju ga kompanije koje štite informacije, već sertifikaciona tela koja žele da pokažu da njihova procedura audita i sertifikacije ISMS-a ispunjava visoke međunarodne standarde.

Sertifikacija stanradra ISO/IEC 27006-1:

  • Sertifikacija po standard ISO/IEC 27006-1 znači da sertifikaciono telo radi kompetentno, dosledno i nepristrasno kada izdaje sertifikate prema standard ISO/IEC 27001.
  • Obezbeđuje da sertifikati ISMS-a koje ovo telo izdaje budu kredibilni, međunarodno priznati i pouzdani.
  • Akreditaciona tela obično vrše ocenu sertifikacionih tela prema standard ISO/IEC 27006-1 pre nego što ih akredituju za sertifikaciju ISMS-a.