Szanowni Klienci

Informujemy, że opublikowano nowe wydanie normy PN-EN ISO/IEC 27006:2024-8 (ISO/IEC 27006-1:2024): Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności. Wymagania dla jednostek prowadzących audit i certyfikację systemów zarządzania bezpieczeństwem informacji.

Norma ta określa zasady przeprowadzania auditów i certyfikacji na zgodność ze standardem PN-EN ISO/IEC 27001:2023.
W dokumencie IAF MD 29:2024 „Wymagania dotyczące przejścia na ISO/IEC 27006-1:2024” z dnia 21.05.2024 r., ustanowiono 2 letni okres przejściowy na uwzględnienie nowych wymagań przez jednostki akredytujące i certyfikujące.

ISOCERT złożył wniosek o uaktualnienie posiadanej akredytacji do aktualnych wymagań normy PN-EN ISO/IEC 27006:2024.
Zmiany wynikające z nowego wydania normy PN-EN ISO/IEC 27006-1:2024 nie wymagają dostosowania SZBI w organizacjach naszych klientów. Wymagania zaktualizowanej normy nakładają obowiązki na ISOCERT.

ZMIANY MAJĄCE WPŁYW NA WSPÓŁPRACĘ Z KLIENTAMI ISOCERT:

Dotyczą one w szczególności:

1. Audyt zdalny:

  • wprowadzono nowe wymogi dotyczące wdrażania zdalnych auditów – w szczególności przeprowadzania analizy ryzyk i uzasadnienia wykorzystania formy zdalnego auditu w całym cyklu certyfikacji;
  • raport musi wskazywać zakres, w jakim zastosowano metody auditu oraz ich skuteczność w osiąganiu celów auditu;
  • usunięto wymóg uzyskania zgody Jednostki Akredytującej, jeśli działania auditu zdalnego  stanowią więcej niż 30% planowanego czasu auditu na miejscu
  • w przypadku klientów z niewielką liczbą odpowiednich fizycznych lokalizacji lub bez nich, raport z auditu i dokumenty certyfikacyjne muszą wskazywać, że działalność klienta jest prowadzona zdalnie;

2. Czas auditu:

  • wprowadzono pojęcie osób wykonujących identyczne czynności i zdefiniowano wymóg dotyczący sposobu określania początkowej liczby personelu;
  • wprowadzono nowe wymagania dotyczące czasu trwania auditu dla rozszerzeń zakresu ISMS;
  • wyjaśniono metody obliczania czasu auditu dla wielu lokalizacji.

 3. Powoływanie się na inne normy w dokumentach certyfikacyjnych SZBI:

Doprecyzowano wymagania dotyczące powoływania się na inne normy w dokumentach certyfikacyjnych SZBI. W przypadku gdy Deklaracja Stosowania zawiera odniesienia do dodatkowych zabezpieczeń, które są określone w międzynarodowych lub krajowych normach sektorowych, istnieje możliwość odniesienia się do tych norm w dokumencie certyfikacyjnym PN-EN ISO/IEC 27001:2023. Odniesienie to musi jasno wskazywać, że są to tylko dodatkowe zabezpieczenia wynikające z przedmiotowych norm, które zostały zdefiniowane jako mające zastosowanie w Deklaracji Stosowania, a nie jest to certyfikacja zgodnie z tymi normami.

 

 

Nowe wymagania zostaną zastosowane natychmiast po przyznaniu akredytacji ISOCERT  dla wersji PN-EN ISO/IEC 27006:2024. Zmianie uległy wymagania dotyczące ustalania czasu auditu, zatem możliwe, że konieczne będzie wprowadzenie zmian w zawartych z Państwem umowach. Analizę przeprowadzimy indywidualnie dla każdego przypadku, w momencie przyznania ISOCERT akredytacji dla wersji PN-EN ISO/IEC 27006:2024.