ISO/IEC 27006, guide de certification SMSI

Quel est l’objectif de la norme ISO/IEC 27006 ?

L'objectif principal de la norme ISO 27006 est de permettre aux tiers de certifier plus facilement les systèmes de gestion de la sécurité de l'information.

Pour garantir la validité des certifications ISMS, tout audit tiers certifié et vérifiant la conformité à la norme ISO 27001 doit répondre aux critères de cette norme.

La norme ISO 27006 établit des critères pour démontrer l’expertise des auditeurs SMSI. Lorsqu'un organisme de certification audite un SMSI, il doit s'assurer que chaque auditeur de l'équipe d'audit connaît :

• Suivi, évaluation, interprétation et révision du SMSI
• Sécurité des renseignements
• Processus de gestion
• Normes d'audit
• Connaissance technique du systèmes audités

Les auditeurs de l'équipe doivent tous être familiers avec les concepts, les normes et les techniques de gestion des systèmes d'information. Ils doivent être familiers avec tout ISO 27001 normes, ainsi que tous les contrôles ISO 27002. Les auditeurs doivent également être familiers avec normes de gestion d'entreprise ainsi que des critères légaux et réglementaires dans un domaine spécifique des systèmes d'information.

Examen du personnel les audits et les évaluations de qualification doivent également démontrer la compétence. Ils doivent avoir une expérience adéquate pour valider l’exactitude de la portée de la certification. Ils doivent également être familier avec les systèmes de contrôle et les processus d'audit, normes et techniques.

ISO27006 spécifie en outre le niveau approprié d'éducation, professionnel formation et expérience pertinente nécessaires pour les audits SMSI.

Comment démontrer la conformité à la norme ISO 27006

Toute organisation souhaitant obtenir la certification ISO 27001 doit retenir les services d'une autorité de certification agréée pour mener un audit de certification SMSI.

L'organisation doit faire preuve de diligence raisonnable pour s'assurer que la société d'audit embauchée est conforme à la norme ISO27006:2015. Tout au long de l'audit, l'organisation doit garantir que tous les documents nécessaires pour terminer l'audit sont disponibles, et fournir à l'équipe d'audit les enregistrements du SMSI, y compris, mais sans s'y limiter, des informations concernant la conception du SMSI et l'efficacité du contrôle.

La norme ISO 27006 peut être utilisée comme norme de référence pour l'accréditation, l'examen par les pairs et d'autres procédures d'audit. Son objectif principal est cependant d’aider à l’accréditation des organismes de certification qui fournissent la certification ISMS.

Pourquoi la relation entre ISO 27006, ISO 27001, ISO 27021 et ISO 19011 ?

Toute entité dûment autorisée qui délivre des certifications de conformité ISO 27001 doit respecter les normes ISO 27006, ISO 17021 et ISO 19011 en termes de compétence, d'adéquation et de fiabilité pour exécuter sa tâche efficacement.

Ceci est important pour garantir que les Conformité ISO 27001 les certifications sont significatives et reflètent avec précision que l'entreprise s'est conformée à toutes les exigences de la norme ISO 27001.

Si quelqu'un pouvait délivrer des certificats sans adhérer aux processus de certification couverts par cette norme, les organisations non conformes pourraient théoriquement acheter leurs certificats ISMS ou simplement se certifier elles-mêmes plutôt que de démontrer leur conformité. Cet événement peut effectivement discréditer l’ensemble du système de certification.

Comment ISMS.online peut faciliter la mise en œuvre de la norme ISO 27006

Chez ISMS.online, nous vous facilitons la tâche pour documenter facilement votre gouvernance de la sécurité de l'information afin qu'elle soit conforme à la norme ISO 27006. Nous vous fournissons une interface de gestion de l'information logique et utilisable basée sur le cloud qui aidera votre organisation à vérifier ses processus de gouvernance de la sécurité de l'information et à progresser par rapport à la norme ISO 27006.

Notre plate-forme en nuage vous permet d'accéder à toutes vos ressources ISMS en un seul endroit. Nous disposons d'une équipe interne d'experts en sécurité de l'information qui peuvent vous fournir des conseils et répondre à vos questions pour vous aider sur la voie de la mise en œuvre de la norme ISO 27006 afin que vous puissiez démontrer votre engagement envers les meilleures pratiques de gouvernance de la sécurité de l'information. Appelez ISMS.online au +44 (0)1273 041140 pour en savoir plus sur la façon dont nous pouvons vous aider à obtenir la certification ISO 27001.