DIN EN ISO/IEC 27006:2020 legt zusätzlich zu ISO/IEC 27021-1 Anforderungen fest und bietet Leitlinien für Stellen, die ein Informationssicherheits-Managementsystem (ISMS) nach DIN EN ISO/IEC 27001 auditieren und zertifizieren.

Es ist in erster Linie beabsichtigt Unterstützung bei der Akkreditierung von Zertifizierungsstellen, die ISMS-Zertifizierungen anbieten zu geben. Die in diesem Dokument enthaltenen Anforderungen müssen von jeder Stelle, die eine ISMS-Zertifizierung anbietet, in Bezug auf Kompetenz und Zuverlässigkeit bei der Akkreditierung nachgewiesen werden, und die in dieser Norm enthaltenen Leitlinien bieten eine zusätzliche Hilfe bei der Interpretation dieser Anforderungen. Diese Norm kann als Kriteriendokument für die Akkreditierung, Beurteilung durch Fachkollegen oder andere Prüfungsverfahren verwendet werden.

Inhalt

Europäisches Vorwort
Vorwort
Einleitung

1 Anwendungsbereich

2 Normative Verweisungen

3 Begriffe

4 Grundsätze

5 Allgemeine Anforderungen

5.1 Rechts- und Vertragsfragen
5.2 Handhabung der Unparteilichkeit
5.2.1 IS 5.2 Interessenskonflikte
5.3 Haftung und Finanzierung

6 Strukturelle Anforderungen

7 Anforderungen an Ressourcen

7.1 Kompetenz des Personals
7.1.1 IS 7.1.1 Allgemeine Betrachtungen
7.1.2 IS 7.1.2 Bestimmung von Kompetenzkriterien
7.2 Personal, das in die Zertifizierungstätigkeiten einbezogen ist
7.2.1 IS 7.2 Nachweis des Wissens und der Erfahrung der Auditoren
7.3 Einsatz einzelner externer Auditoren und externer Fachexperten
7.3.1 IS 7.3 Einsatz einzelner externer Auditoren und externer Fachexperten als Teil des Auditteams
7.4 Aufzeichnungen über Personal
7.5 Ausgliederung

8 Anforderungen an Informationen

8.1 Öffentliche Informationen
8.2 Zertifizierungsdokumente
8.2.1 IS 8.2 ISMS-Zertifizierungsdokumente
8.3 Verweis auf Zertifizierung und Zeichennutzung
8.4 Vertraulichkeit
8.4.1 IS 8.4 Zugang zu den Aufzeichnungen der Organisation
8.5 Informationsaustausch zwischen einer Zertifizierungsstelle und ihren Kunden

9 Anforderungen an Prozesse

9.1 Tätigkeiten vor der Zertifizierung

9.1.1 Antrag
9.1.2 Antragsprüfung
9.1.3 Auditprogramm
9.1.4 Ermittlung des Auditzeitaufwandes
9.1.5 Stichprobenprüfung an mehreren Standorten
9.1.6 Mehrfach-Managementsysteme

9.2 Planung von Audits

9.2.1 Festlegung der Auditziele, des Auditumfangs und der Auditkriterien
9.2.2 Auswahl des Auditteams und Aufgabenzuordnung
9.2.3 Auditplan

9.3 Erstzertifizierung

9.3.1 IS 9.3.1 Erstzertifizierungsaudit

9.4 Durchführen von Audits

9.4.1 IS 9.4 Allgemeines
9.4.2 IS 9.4 Spezifische Elemente des ISMS-Audits
9.4.3 IS 9.4 Auditbericht

9.5 Zertifizierungsentscheidung

9.5.1 IS 9.5 Zertifizierungsentscheidung

9.6 Aufrechterhaltung der Zertifizierung

9.6.1 Allgemeines
9.6.2 Überwachungstätigkeiten
9.6.3 Re-Zertifizierung
9.6.4 Audits aus besonderem Anlass
9.6.5 Aussetzung, Zurückziehung oder Einschränkung des Geltungsbereichs der Zertifizierung

9.7 Einsprüche

9.8 Beschwerden

9.8.1 IS 9.8 Beschwerden
9.9 Aufzeichnungen zu Kunden

10 Managementsystemanforderungen für Zertifizierungsstellen

10.1 Optionen
10.1.1 IS 10.1 ISMS-Umsetzung
10.2 Option A: Allgemeine Managementsystemanforderungen
10.3 Option B: Managementsystemanforderungen übereinstimmend mit DIN EN ISO 9001

Anhang A (informativ) Wissen und Fertigkeiten für ISMS-Audits und -Zertifizierung
Anhang B (normativ) Auditzeitaufwand
Anhang C (informativ) Methoden für Berechnungen des Auditzeitaufwands
Anhang D (informativ) Anleitung für die Prüfung umgesetzter Maßnahmen nach ISO/IEC 27001:2013, Anhang A
Literaturhinweise