ČESKÁ TECHNICKÁ NORMA

ICS 35.040 Říjen 2016

Information technology – Security techniques – Requirements for bodies providing audit and certification of information security management systems

Technologies de l’information – Techniques de sécurité – Exigences pour les organismes procédant à l’audit
et à la certification des systèmes de management de la sécurité de l’information

Tato norma je českou verzí mezinárodní normy ISO/IEC 27006:2015. Překlad byl zajištěn Úřadem pro technickou normalizaci, metrologii a státní zkušebnictví. Má stejný status jako oficiální verze.

This standard is the Czech version of the International Standard ISO/IEC 27006:2015. It was translated by the Czech Office for Standards, Metrology and Testing. It has the same status as the official version.

Nahrazení předchozích norem

Touto normou se nahrazuje ČSN ISO/IEC 27006 (36 9790) z června 2016.

Národní předmluva

Změny proti předchozí normě

Proti předchozí normě dochází ke změně způsobu převzetí ISO/IEC 27006:2015 do soustavy norem ČSN.
Zatímco ČSN ISO/IEC 27006 z června 2016 převzala ISO/IEC 27006:2015 převzetím anglického originálu, tato norma ji přejímá překladem.

Informace o citovaných dokumentech

ISO/IEC 17021-1:2015 zavedena v ČSN EN ISO/IEC 17021-1:2016 (01 5257) Posuzování shody – Požadavky na orgány poskytující služby auditů a certifikace systémů managementu – Část 1: Požadavky

ISO/IEC 27000 zavedena v ČSN ISO/IEC 27000 (36 9790) Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Přehled a slovník

ISO/IEC 27001:2013 zavedena v ČSN ISO/IEC 27001:2014 (36 9797) Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Požadavky

Souvisící ČSN

ČSN EN ISO 19011 (01 0330) Směrnice pro auditování systémů managementu

ČSN ISO/IEC 27007 (36 9790) Informační technologie – Bezpečnostní techniky – Směrnice pro audit systémů řízení bezpečnosti informací

ČSN EN ISO 9001 (01 0321) Systémy managementu kvality – Požadavky

Vysvětlivky k textu převzaté normy

Pro účely této normy je anglický termín „teleworking“ použit v původním tvaru, vzhledem k rozšíření tohoto
termínu v odborné komunitě a absenci českého ekvivalentu.

Pro účely této normy je použit překlad anglického termínu „management“ jako „řízení“, s ohledem na jeho používání v oblasti IT, a v souladu s vydanými normami řady ČSN ISO/IEC 27XXX. V některých případech je anglický termín „management“ ponechán v původním tvaru, s ohledem na kontext, v jakém je v textu normy použit.

Vypracování normy

Zpracovatel: Ing. Alena Hönigová, IČ 61470716

Technická normalizační komise: TNK 20 Informační technologie

Pracovník Úřadu pro technickou normalizaci, metrologii a státní zkušebnictví: Ing. Miroslav Škop

MEZINÁRODNÍ NORMA

Informační technologie – Bezpečnostní techniky – Požadavky ISO/IEC 27006
na orgány provádějící audit a certifikaci systémů řízení bezpečnosti Třetí vydání
informací 2015-10-01

ICS 35.040

Obsah

Strana

Předmluva 4

Úvod 7

1 Předmět normy 8

2 Citované dokumenty 8

3 Termíny a definice 8

4 Principy 8

5 Obecné požadavky 8

5.1 Právní a smluvní záležitosti 8

5.2 Management nestrannosti 8

5.2.1 IS 5.2 Střet zájmů 8

5.3 Záruky a financování 9

6 Požadavky na strukturu 9

7 Požadavky na zdroje 9

7.1 Kompetence zaměstnanců 9

7.1.1 IS 7.1.1 Obecné záležitosti 9

7.1.2 IS 7.1.2 Stanovení kompetenčních kritérií 9

7.2 Zaměstnanci zapojeni do certifikačních činností 12

7.2.1 IS 7.2 Prokazování znalostí a zkušeností auditora 12

7.3 Využití externích auditorů a externích technických expertů 13

7.3.1 IS 7.3 Využití externích auditorů nebo externích technických expertů jako členů auditního týmu 13

7.4 Záznamy zaměstnanců 13

7.5 Outsourcing 13

8 Požadavky na informace 13

8.1 Veřejné informace 13

8.2 Certifikační dokumenty 13

8.2.1 IS 8.2 Certifikační dokumenty ISMS 13

8.3 Odkazy na certifikaci a užití značek 13

8.4 Důvěrnost 13

8.4.1 IS 8.4 Přístup k záznamům organizace 13

8.5 Výměna informací mezi certifikačním orgánem a jeho klienty 14

9 Požadavky na proces 14

9.1 Činnosti před certifikací 14

Strana

9.1.1 Žádost 14

9.1.2 Přezkoumání žádosti 14

9.1.3 Program auditů 14

9.1.4 Stanovení doby trvání auditu 15

9.1.5 Vzorkování na více místech 15

9.1.6 Kombinované systémy řízení 16

9.2 Plánování auditů 16

9.2.1 Stanovení cílů, rozsahu a kritérií auditu 16

9.2.2 Výběr auditního týmu a přidělování úkolů 16

9.2.3 Auditní plán 17

9.3 Prvotní certifikace 17

9.3.1 IS 9.3.1 Prvotní certifikační audit 17

9.4 Provádění auditů 18

9.4.1 IS 9.4 Obecně 18

9.4.2 IS 9.4 Specifické prvky auditu ISMS 18

9.4.3 IS 9.4 Auditní zpráva 18

9.5 Rozhodnutí o certifikaci 19

9.5.1 IS 9.5 Rozhodnutí o certifikaci 19

9.6 Udržování platnosti certifikace 19

9.6.1 Obecně 19

9.6.2 Dohledové činnosti 19

9.6.3 Recertifikace 20

9.6.4 Speciální audity 20

9.6.5 Pozastavení, odnětí nebo omezení rozsahu certifikace 20

9.7 Odvolání 20

9.8 Stížnosti 20

9.8.1 IS 9.8 Stížnosti 21

9.9 Záznamy o klientech 21

10 Požadavky systému řízení na certifikační orgány 21

10.1 Možnosti 21

10.1.1 IS 10.1 Implementace ISMS 21

10.2 Možnost A: Obecné požadavky na systém řízení 21

10.3 Možnost B: Požadavky na systém řízení v souladu s ISO 9001 21

Příloha A (informativní) Znalosti a dovednosti pro audit a certifikaci ISMS 22

Příloha B (normativní) Doba trvání auditu 24

Příloha C (informativní) Metody výpočtu doby trvání auditu 28

Příloha D (informativní) Návod pro přezkoumání implementovaných opatření z ISO/IEC 27001:2013, Příloha A 32

Bibliografie 42  

© ISO/IEC 2015, Published in Switzerland

Veškerá práva vyhrazena. Není-li specifikováno jinak, nesmí být žádná část této publikace reprodukována nebo používána v jakékoliv formě nebo jakýmkoliv způsobem, elektronickým ani mechanickým, včetně pořizování fotokopií nebo zveřejnění na internetu nebo intranetu, bez předchozího písemného svolení. O písemné svolení lze požádat buď přímo ISO na níže uvedené adrese, nebo členskou organizaci ISO
v zemi žadatele.

ISO copyright office

Case postale 56 · CH-1211 Geneva 20

Tel. + 41 22 749 01 11

Fax + 41 22 749 09 47

E-mail copyright@iso.org

Web www.iso.org 

Předmluva

ISO (Mezinárodní organizace pro normalizaci) a IEC (Mezinárodní elektrotechnická komise) tvoří specializovaný systém celosvětové normalizace. Národní orgány, které jsou členy ISO nebo IEC, se podílejí na vypracování mezi-
národních norem prostřednictvím svých technických komisí ustavených příslušnými organizacemi pro jednotlivé obory technické činnosti. Technické komise ISO a IEC spolupracují v oborech společného zájmu. Práce se zúčastňují také další vládní a nevládní mezinárodní organizace, s nimiž ISO a IEC navázaly pracovní styk. V oblasti informační technologie zřídily ISO a IEC společnou technickou komisi ISO/IEC JTC 1.

Postupy použité při tvorbě tohoto dokumentu a postupy určené pro jeho další udržování jsou popsány ve směrnicích ISO/IEC, část 1. Zejména se má věnovat pozornost rozdílným schvalovacím kritériím potřebným pro různé druhy dokumentů ISO. Tento dokument byl vypracován v souladu s redakčními pravidly uvedenými ve směrnicích ISO/IEC, část 2 (viz www.iso.org/directives).

Upozorňuje se na možnost, že některé prvky tohoto dokumentu mohou být předmětem patentových práv. ISO a IEC nelze činit odpovědnými za identifikaci jakéhokoliv nebo všech patentových práv. Podrobnosti
o jakýchkoliv patentových právech identifikovaných během přípravy tohoto dokumentu budou uvedeny v úvodu a/nebo v seznamu patentových prohlášení obdržených ISO (viz www.iso.org/patents).

Jakýkoliv obchodní název použitý v tomto dokumentu se uvádí jako informace pro usnadnění práce uživatelů a neznamená schválení.

Vysvětlení významu specifických termínů a výrazů ISO, které se vztahují k posuzování shody, jakož i informace o tom, jak ISO dodržuje principy WTO týkající se technických překážek obchodu (TBT), jsou uvedeny na tomto odkazu URL: Foreword – Supplementary information

Za tento dokument je odpovědná komise ISO/IEC JTC 1 Informační technologie, SC 27 IT Bezpečnostní techniky.

ISO/IEC 27006 vypracovala společná technická komise ISO/IEC JTC1 Informační technologie, subkomise SC 27 IT Bezpečnostní techniky.

Toto třetí vydání zrušuje a nahrazuje druhé vydání (ISO/IEC 27006:2011), které bylo technicky zrevidováno.

Úvod

ISO/IEC 17021-1 nastavuje kritéria pro organizace zabývající se auditem a certifikací systémů řízení. Pokud chtějí být tyto organizace akreditované pro shodu s ISO/IEC 17021-1 za účelem auditování a certifikace systémů řízení bezpečnosti informací (Information Security Management System nebo ISMS) v souladu s ISO/IEC 27001:2013, je nutné ISO/IEC 17021-1 doplnit o dodatečné požadavky a doporučení. Takovéto dodatečné požadavky a doporučení poskytuje tato mezinárodní norma.

Text této mezinárodní normy dodržuje strukturu ISO/IEC 17021-1, dodatečné specifické požadavky a doporučení na použití ISO/IEC 17021-1 pro certifikaci ISMS jsou v textu označeny písmeny „IS“.

Termín „shall (muset)“ je v textu této mezinárodní normy použit ke zdůraznění těch opatření, která vyjadřují
požadavky ISO/IEC 17021-1 a ISO/IEC 27001, a jsou povinná. Termín „should (měl by)“ je použit k vyjádření doporučení.

Hlavním cílem této mezinárodní normy je umožnit akreditačním orgánům její efektivní použití a harmonizaci s ostatními normami, podle kterých se provádí hodnocení certifikačních orgánů usilujících o akreditaci.

V této mezinárodní normě jsou termíny „systém řízení“ a „systém“ zaměnitelné. Definice systému řízení je uvedena v ISO 9000:2005. Systém řízení použitý v této mezinárodní normě by neměl být zaměňován s jinými typy systémů, jako jsou například systémy IT.

1 Předmět normy

Tato mezinárodní norma specifikuje požadavky a poskytuje doporučení pro orgány provádějící audit a certifikaci systému řízení bezpečnosti informací (Information Security Management System nebo ISMS) a doplňuje tak požadavky obsažené v ISO/IEC 17021-1 a ISO/IEC 27001. Norma je primárně určena k podpoře procesu akreditace certifikačních orgánů poskytujících certifikace ISMS.

Požadavky obsažené v této mezinárodní normě musí být prokázané ve smyslu odborné způsobilosti a spolehlivosti kteréhokoliv orgánu poskytujícího certifikaci ISMS, a návody obsažené v této mezinárodní normě poskytují dodatečnou interpretaci jednotlivých požadavků pro kterýkoliv orgán poskytující certifikaci ISMS.

POZNÁMKA Tato mezinárodní norma může být použita jako kriteriální dokument pro akreditaci, pro interní hodnocení nebo při jiných auditních procesech.

Konec náhledu - text dále pokračuje v placené verzi ČSN.

Zdroj: www.cni.cz