Národní předmluva
Změny proti předchozí normě
Proti předchozí normě dochází ke změně způsobu převzetí
EN ISO/IEC 27006-1:2024 do soustavy norem ČSN. Zatímco ČSN EN ISO/IEC 27006-1 ze
září 2024 převzala EN ISO/IEC 27006-1:2024 schválením k přímému
používání jako ČSN oznámením ve Věstníku ÚNMZ, tato norma ji přejímá překladem.
Informace o citovaných dokumentech
ISO/IEC 17021-1:2015 zavedena v ČSN EN ISO/IEC 17021-1:2016
(01 5257) Posuzování shody – Požadavky na orgány poskytující služby
auditů a certifikace systémů managementu – Část 1: Požadavky
ISO/IEC 27001:2022 zavedena
v ČSN EN ISO/IEC 27001:2023 (36 9797) Informační
bezpečnost, kybernetická bezpečnost a ochrana soukromí – Systémy
managementu informační bezpečnosti – Požadavky
Souvisící ČSN
ČSN EN ISO 19011 (01 0330) Směrnice
pro auditování systémů managementu
ČSN EN ISO/IEC 27000 (36 9790) Informační
technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti
informací – Přehled a slovník
ČSN EN ISO/IEC 27002
(36 9798) Informační bezpečnost, kybernetická bezpečnost a ochrana
soukromí – Opatření informační bezpečnosti
ČSN EN ISO/IEC 27007
(36 9790) Bezpečnost informací, kybernetická bezpečnost a ochrana
soukromí – Směrnice pro audit systémů řízení bezpečnosti informací
ČSN EN ISO 9000 (01 0300) Systémy
managementu kvality – Základní principy a slovník
ČSN EN ISO 9001 (01 0321) Systémy
managementu kvality – Požadavky
Vysvětlivky k textu této normy
V případě nedatovaných odkazů na evropské/mezinárodní
normy jsou ČSN uvedené v článku „Souvisící ČSN“ nejnovějšími vydáními, platnými v době schválení této normy. Při
používání této normy je třeba vždy použít taková vydání ČSN, která přejímají nejnovější vydání nedatovaných
evropských/mezinárodních norem (včetně všech změn).
Pro účely této normy je anglický termín „guidance“ přeložen
jako „pokyn“ vzhledem k jeho používání v oboru IT a v návaznosti
na vydané normy z oboru IT, zejména normy řady ISO/IEC 27XXX. Český
ekvivalent „návod“ je vzhledem ke kontextu nevhodný a v praxi se v souvislosti
s řadou norem ISO/IEC 27XXX nepoužívá.
Upozornění na národní poznámku
K terminologickému heslu 3.10 byla doplněna národní
poznámka upozorňující na zrušený dokument.
Vypracování normy
Zpracovatel odborného překladu: Ing. Vladimír Pračke,
IČO 40654419
Technická normalizační komise: TNK 20 Informační technologie
Vydala: Česká
agentura pro standardizaci, státní příspěvková organizace
Citované dokumenty a souvisící ČSN lze získat na e-shopu České agentury pro
standardizaci, s. p. o.
Česká agentura pro standardizaci je státní příspěvková
organizace zřízená Úřadem pro technickou normalizaci, metrologii a státní
zkušebnictví na základě ustanovení § 5 odst. 2 zákona č. 22/1997 Sb.,
o technických požadavcích na výrobky a o změně a doplnění
některých zákonů, ve znění pozdějších předpisů.
EVROPSKÁ NORMA EN ISO/IEC 27006-1
EUROPEAN STANDARD
NORME EUROPÉENNE
EUROPÄISCHE NORM Březen 2024
ICS 03.120.20; 35.030 Nahrazuje
EN ISO/IEC 27006:2020
Informační bezpečnost, kybernetická bezpečnost a ochrana
soukromí – Požadavky na orgány provádějící audit a certifikaci
systémů managementu informační bezpečnosti –
Část 1: Obecně
(ISO/IEC 27006-1:2024)
Information security, cybersecurity and
privacy protection – Requirements for bodies providing audit and
certification of information security management systems –
Part 1: General
(ISO/IEC 27006-1:2024)
|
Sécurité de l’information,
cybersécurité et protection de la vie privée – Exigences pour les
organismes procédant à l’audit et à la certification
des systèmes de management de la sécurité de l’information –
Partie 1: Généralités
(ISO/IEC 27006-1:2024)
|
Cybersicherheit und Datenschutz – Anforderungen
an Stellen, die
Informationssicherheitsmanagementsysteme auditieren und zertifizieren –
Teil 1: Allgemeines
(ISO/IEC 27006-1:2024)
|
Tato evropská norma byla schválena CEN dne 2024-01-29.
Členové CEN a CENELEC
jsou povinni splnit vnitřní předpisy CEN/CENELEC, v nichž jsou stanoveny
podmínky, za kterých se této evropské
normě bez jakýchkoliv modifikací uděluje status národní normy. Aktualizované
seznamy a bibliografické citace týkající se těchto národních norem lze
obdržet na vyžádání v Řídicím centru CEN-CENELEC nebo u kteréhokoliv
člena CEN a CENELEC.
Tato evropská norma existuje ve třech oficiálních verzích
(anglické, francouzské, německé). Verze v každém jiném jazyce přeložená členem CEN a CENELEC do jeho vlastního
jazyka, za kterou zodpovídá a kterou notifikuje Řídicímu centru
CEN-CENELEC, má stejný status jako oficiální verze.
|
Řídicí centrum CEN-CENELEC
Rue de la Science 23, B-1040 Brusel
©
2024 CEN/CENELEC Veškerá práva pro využití v jakékoliv formě
a jakýmikoliv Ref. č. EN ISO/IEC 27006-1:2024 E
prostředky jsou celosvětově vyhrazena národním
členům CEN a CENELEC.
|
Členy CEN a CENELEC
jsou národní normalizační orgány a národní elektrotechnické komise Belgie,
Bulharska, České republiky, Dánska, Estonska, Finska, Francie,
Chorvatska, Irska, Islandu, Itálie, Kypru, Litvy, Lotyšska, Lucemburska,
Maďarska, Malty, Německa, Nizozemska, Norska, Polska, Portugalska, Rakouska,
Republiky
Severní Makedonie, Rumunska, Řecka,
Slovenska, Slovinska, Spojeného
království, Srbska, Španělska,
Švédska, Švýcarska a Turecka.
Evropská předmluva
Tento dokument (EN ISO/IEC 27006-1:2024)
vypracovala technická komise ISO/IEC JTC 1 Informační technologie
ve spolupráci s technickou komisí CEN-CENELEC/JTC 13 Kybernetická
bezpečnost a ochrana dat, jejímž sekretariátem je DIN.
Této evropské normě je
nutno nejpozději do září 2024 udělit status národní normy, a to buď
vydáním identického textu, nebo
schválením k přímému používání, a národní normy, které jsou s ní
v rozporu, je nutno zrušit nejpozději do září 2024.
Upozorňuje se na možnost, že některé prvky tohoto dokumentu
mohou být předmětem patentových práv.
CEN-CENELEC nelze činit odpovědným za identifikaci jakéhokoliv nebo všech
patentových práv.
Tento dokument nahrazuje EN ISO/IEC 27006:2020.
Jakákoli zpětná vazba a otázky týkající se tohoto
dokumentu mají být adresovány národnímu normalizačnímu orgánu uživatele. Úplný seznam těchto orgánů lze nalézt
na webových stránkách CEN a CENELEC.
Podle vnitřních předpisů CEN-CENELEC jsou tuto evropskou
normu povinny zavést národní normalizační organizace
následujících zemí: Belgie, Bulharska, České republiky, Dánska, Estonska,
Finska, Francie, Chorvatska, Irska, Islandu, Itálie, Kypru, Litvy,
Lotyšska, Lucemburska, Maďarska, Malty, Německa, Nizozemska, Norska, Polska, Portugalska, Rakouska, Republiky Severní
Makedonie, Rumunska, Řecka, Slovenska, Slovinska, Spojeného království,
Srbska, Španělska, Švédska, Švýcarska a Turecka.
Oznámení o schválení
Text
ISO/IEC 27006-1:2024 byl schválen CEN-CENELEC jako
EN ISO/IEC 27006-1:2024 bez jakýchkoliv modifikací.
Obsah
Strana
Předmluva...................................................................................................................................................................................................... 7
Úvod................................................................................................................................................................................................................ 8
1............ Předmět
normy.............................................................................................................................................................................. 9
2............ Citované
dokumenty..................................................................................................................................................................... 9
3............ Termíny
a definice......................................................................................................................................................................... 9
4............ Zásady.......................................................................................................................................................................................... 12
5............ Obecné
požadavky..................................................................................................................................................................... 12
5.1......... Právní
a smluvní záležitosti....................................................................................................................................................... 12
5.2......... Management
nestrannosti......................................................................................................................................................... 12
5.2.1...... Obecně......................................................................................................................................................................................... 12
5.2.2...... Střety
zájmů................................................................................................................................................................................. 12
5.3......... Záruky
a financování.................................................................................................................................................................. 12
6............ Požadavky
na strukturu.............................................................................................................................................................. 12
7............ Požadavky
na zdroje.................................................................................................................................................................. 12
7.1......... Kompetence
pracovníků............................................................................................................................................................ 12
7.1.1...... Obecně......................................................................................................................................................................................... 12
7.1.2...... Obecné
požadavky na kompetence......................................................................................................................................... 12
7.1.3...... Stanovení
kompetenčních kritérií............................................................................................................................................. 13
7.2......... Pracovníci
zapojení do certifikačních činností........................................................................................................................ 15
7.2.1...... Obecně......................................................................................................................................................................................... 15
7.2.2...... Prokázání
znalostí a zkušeností auditorů............................................................................................................................... 15
7.3......... Využití
externích auditorů a externích technických expertů................................................................................................. 16
7.4......... Osobní
záznamy......................................................................................................................................................................... 16
7.5......... Outsourcing.................................................................................................................................................................................. 16
8............ Požadavky
na informace............................................................................................................................................................ 16
8.1......... Veřejné
informace....................................................................................................................................................................... 16
8.2......... Certifikační
dokumenty............................................................................................................................................................... 16
8.2.1...... Obecně......................................................................................................................................................................................... 16
8.2.2...... Certifikační
dokumenty ISMS.................................................................................................................................................... 16
8.2.3...... Odkaz
na další normy v certifikačních dokumentech ISMS................................................................................................. 16
8.3......... Odkaz
na certifikaci a užití značek........................................................................................................................................... 16
8.4......... Důvěrnost..................................................................................................................................................................................... 16
8.4.1...... Obecně......................................................................................................................................................................................... 16
8.4.2...... Přístup
k záznamům organizace.............................................................................................................................................. 16
8.5......... Výměna
informací mezi certifikačním orgánem a jeho klienty............................................................................................. 17
9............ Požadavky
na proces................................................................................................................................................................. 17
9.1......... Činnosti
před certifikací.............................................................................................................................................................. 17
9.1.1...... Žádost........................................................................................................................................................................................... 17
9.1.2...... Přezkoumání
žádosti.................................................................................................................................................................. 17
9.1.3...... Program
auditů............................................................................................................................................................................ 17
9.1.4...... Určování
doby trvání auditu...................................................................................................................................................... 18
9.1.5...... Vzorkování
na více místech...................................................................................................................................................... 18
Strana
9.1.6...... Vícenásobné
systémy managementu...................................................................................................................................... 19
9.2......... Plánování
auditů.......................................................................................................................................................................... 19
9.2.1...... Určování
cílů, rozsahu a kritérií auditu.................................................................................................................................... 19
9.2.2...... Výběr
týmu auditorů a přidělování úkolů................................................................................................................................. 20
9.2.3...... Plán
auditu................................................................................................................................................................................... 20
9.3......... Prvotní
certifikace........................................................................................................................................................................ 20
9.3.1...... Obecně......................................................................................................................................................................................... 20
9.3.2...... Počáteční
certifikační audit........................................................................................................................................................ 20
9.4......... Provádění
auditů......................................................................................................................................................................... 21
9.4.1...... Obecně......................................................................................................................................................................................... 21
9.4.2...... Specifické
prvky auditu ISMS.................................................................................................................................................... 21
9.4.3...... Zpráva
z auditu............................................................................................................................................................................ 21
9.5......... Rozhodnutí
o certifikaci.............................................................................................................................................................. 22
9.5.1...... Obecně......................................................................................................................................................................................... 22
9.5.2...... Rozhodnutí
o certifikaci.............................................................................................................................................................. 22
9.6......... Udržování
platnosti certifikace.................................................................................................................................................. 22
9.6.1...... Obecně......................................................................................................................................................................................... 22
9.6.2...... Dozorové
činnosti........................................................................................................................................................................ 22
9.6.3...... Recertifikace................................................................................................................................................................................ 23
9.6.4...... Speciální
audity........................................................................................................................................................................... 23
9.6.5...... Pozastavení,
odnětí nebo omezení rozsahu certifikace....................................................................................................... 23
9.7......... Odvolání....................................................................................................................................................................................... 23
9.8......... Stížnosti........................................................................................................................................................................................ 23
9.8.1...... Obecně......................................................................................................................................................................................... 23
9.8.2...... Stížnosti........................................................................................................................................................................................ 23
9.9......... Záznamy
o klientech................................................................................................................................................................... 23
10.......... Požadavky
na systém managementu certifikačního orgánu................................................................................................ 23
10.1....... Možnosti....................................................................................................................................................................................... 23
10.1.1... Obecně......................................................................................................................................................................................... 23
10.1.2... Zavedení
ISMS............................................................................................................................................................................ 23
10.2....... Možnost
A: Obecné požadavky na systém managementu.................................................................................................. 23
10.3....... Možnost
B: Systém managementu v souladu s ISO 9001................................................................................................... 23
Příloha A (normativní)
Znalosti a dovednosti pro audit a certifikaci ISMS....................................................................................... 24
Příloha B (informativní)
Další hlediska kompetencí............................................................................................................................. 25
Příloha C (normativní)
Doba trvání auditu............................................................................................................................................. 26
Příloha D (informativní)
Metody výpočtu doby trvání auditu............................................................................................................... 31
Příloha E (informativní)
Pokyny k přezkoumání zavedených opatření podle přílohy A ISO/IEC 27001:2022............................ 34
Bibliografie................................................................................................................................................................................................... 47
ISO (Mezinárodní organizace pro normalizaci) a IEC
(Mezinárodní elektrotechnická komise) tvoří specializovaný systém celosvětové
normalizace. Národní orgány, které jsou členy ISO nebo IEC, se podílejí na
vypracování mezinárodních norem prostřednictvím svých technických komisí
ustavených příslušnými organizacemi pro jednotlivé obory technické činnosti.
Technické komise ISO a IEC spolupracují v oborech společného zájmu.
Práce se zúčastňují také další vládní i nevládní mezinárodní organizace,
s nimiž ISO a IEC navázaly pracovní styk.
Postupy použité při tvorbě tohoto dokumentu a postupy
určené pro jeho další udržování jsou popsány ve směrnicích ISO/IEC,
část 1. Zejména se má věnovat pozornost rozdílným schvalovacím kritériím
potřebným pro různé druhy dokumentů. Tento dokument byl vypracován v souladu
s redakčními pravidly uvedenými ve směrnicích ISO/IEC, část 2 (viz
www.iso.org/directives nebo www.iec.ch/members_experts/refdocs).
ISO a IEC upozorňují na
možnost, že implementace tohoto dokumentu smí vyžadovat využití patentu
(patentů). V souvislosti s tím ISO a IEC nezaujímají žádné
stanovisko týkající se důkazů, platnosti nebo použitelnosti všech uplatňovaných
patentových práv. Ke dni zveřejnění tohoto dokumentu ISO a IEC neobdržely
oznámení o patentu (patentech), který smí být vyžadován pro implementaci
tohoto dokumentu. ISO a IEC však upozorňují implementující organizace, že
se nemusí jednat o nejnovější informace, které lze získat z databáze
patentů dostupné na www.iso.org/patents
a https://patents.iec.ch. ISO a IEC
nelze činit odpovědné za identifikaci jakéhokoliv
nebo všech takových patentových práv.
Jakýkoliv obchodní název použitý v tomto dokumentu se
uvádí jako informace pro usnadnění práce uživatelů a neznamená schválení.
Vysvětlení nezávazného charakteru technických norem, významu
specifických termínů a výrazů ISO, které se vztahují k posuzování
shody, jakož i informace o tom, jak ISO dodržuje principy Světové
obchodní organizace (WTO) týkající se technických překážek obchodu (TBT), viz www.iso.org/iso/foreword.html.
V IEC viz
www.iec.ch/understanding-standards.
Tento dokument vypracovala společná technická komise
ISO/IEC JTC1 Informační technologie, subkomise SC 27 Informační
bezpečnost, kybernetická bezpečnost a ochrana soukromí ve
spolupráci s technickou komisí Evropského
výboru pro normalizaci (CEN) CEN/CLC/JTC 13 Kybernetická bezpečnost
a ochrana dat na základě Dohody o technické spolupráci
mezi ISO a CEN (Vídeňská dohoda).
Toto první vydání ISO/IEC 27006-1 zrušuje a nahrazuje
ISO/IEC 27006:2015, které bylo technicky zrevidováno. Zahrnuje také změnu
ISO/IEC 27006:2015/Amd.1:2020.
Hlavní změny jsou:
– tento dokument
byl převeden na první část souboru;
– celý dokument
byl aktualizován pro vzdálené audity a organizace s malým počtem
relevantních fyzických míst nebo bez nich;
–
v C.3.4 byl zaveden pojem
osob vykonávajících určité shodné činnosti a bylo provedeno několik
aktualizací;
– tento dokument
(zejména příloha E) byl uveden do souladu s ISO/IEC 27001:2022
a ISO/IEC 27002:2022;
– byly odstraněny redundance
s ISO/IEC 17021-1;
– znění bylo upřesněno
a více sladěno s textem ISO/IEC 17021-1.
Seznam všech částí souboru ISO/IEC 27006 lze nalézt na
webových stránkách ISO a IEC.
Jakákoliv zpětná vazba nebo otázky týkající se tohoto
dokumentu mají být adresovány národnímu normalizačnímu orgánu uživatele. Úplný
seznam těchto orgánů lze nalézt na www.iso.org/members.html
a www.iec.ch/national-committees.
ISO/IEC 17021-1
stanovuje požadavky a pokyny pro orgány provádějící audit a certifikaci
systémů managementu. Pokud tyto
orgány hodlají být v souladu s ISO/IEC 17021-1 s cílem
provádění auditů a certifikace systémů mana-
gementu informační bezpečnosti (ISMS)
v souladu s ISO/IEC 27001, jsou zásadní některé další požadavky
a pokyny k ISO/IEC 17021-1. Ty poskytuje tento dokument.
Tento dokument
specifikuje požadavky na orgány provádějící audit a certifikaci ISMS.
Uvádí obecné požadavky na tyto orgány, které jsou označovány jako
certifikační orgány. Dodržování těchto požadavků má zajistit, aby certifikační
orgány prováděly certifikaci ISMS kompetentně, konzistentně a nestranným
způsobem, čímž se usnadní uznávání těchto orgánů a akceptace jejich
certifikací na národní a mezinárodní úrovni.
Text v tomto dokumentu se řídí strukturou
ISO/IEC 17021-1:2015.
V tomto dokumentu jsou použity tyto slovesné formy:
– „musí“ vyjadřuje
požadavek;
– „má“ vyjadřuje
doporučení;
– „smí“ vyjadřuje
dovolení;
– „může“ vyjadřuje
možnost nebo schopnost.
Tento dokument specifikuje požadavky a poskytuje pokyny
pro orgány provádějící audit a certifikaci systému
managementu informační bezpečnosti (ISMS), které doplňují požadavky obsažené
v ISO/IEC 17021-1.
Požadavky obsažené v tomto dokumentu prokazují z hlediska
kompetence a spolehlivosti orgány poskytující certifikaci ISMS. Pokyny
obsažené v tomto dokumentu poskytují další výklad těchto požadavků pro
orgány poskytující certifikaci ISMS.
POZNÁMKA Tento dokument může být použit jako dokument s kritérii
pro akreditaci, vzájemné hodnocení nebo jiné auditní procesy.
Konec náhledu -
text dále pokračuje v placené verzi ČSN.
ČESKÁ TECHNICKÁ NORMA