HomeNewsWozu brauchen wir Standards?Welche Standards gibt es?Anwendung im UnternehmenIT-Sicherheits- und RisikomanagementAllgemeine Informationssicherheits-Managementsysteme (ISMS)ISO/IEC 27001ISO/IEC 27002ISO/IEC 27003ISO/IEC 27006ISO/IEC 27007ISO/IEC 27013ISO/IEC TR 27008IT-GSSektorspezifische ISMSSicherheitsmaßnahmen und MonitoringRisikomanagementStandards mit IT-SicherheitsanforderungenVorschriftenEvaluierung von IT-SicherheitNormen zu kryptographischen und IT-SicherheitsverfahrenPhysische SicherheitDanksagung

Schnelleinstieg: 

Logo: Inhalte Verbessern

In Zusammenarbeit mit

Logo: DIN

|||

ISO/IEC 27006

ISO/IEC 27006

 

 Titel:  Informationstechnik
 Arbeitsgebiet:  IT-Sicherheitsverfahren
 Name des Standards:  Requirements for bodies providing audit and certification of information security management systems
Anforderungen an Stellen, die Auditierung und Zertifizierung von Informationssicherheitsmanagementsystemen bereitstellen

Inhalt und Anwendungsbereich

Die ISO/IEC 27006 ist aus dem Leitfaden EA-7/03 der European Accreditation Foundation hervorgegangen. Sie basiert auf der DIN EN ISO/IEC 17021 („Konformitätsbewertung - Anforderungen an Stellen, die Managementsysteme auditieren und zertifizieren“) und ergänzt diese um die ISMS-spezifischen Anforderungen. Grundsätzlich ist dieser Standard dort anzuwenden, wo die Anforderungen an Zertifizierungs- und Auditierungsstellen von ISMS gemäß DIN ISO/IEC 27001 definiert werden. Primär dient er somit der Akkreditierung von Zertifizierungsstellen, kann aber auch im Rahmen von „peer assessments“ oder zur Etablierung von Auditprozessen herangezogen werden. Ziel des Dokuments ist es, harmonisierte Anforderungen an alle Zertifizierungsstellen zu formulieren und diesen einen Leitfaden zur Umsetzung bereitzustellen, beispielsweise für Aspekte wie die Dauer von Audits.

Methodik

Der Standard legt Anforderungen und allgemeine Prinzipien für die Kompetenz von Auditoren und deren Überwachung, die Anforderungen an Zertifizierungsstellen (Beispiel: Ressourcen, rechtliche Stellung, Umgang mit Beschwerden) sowie den Auditierungs- und Zertifizierungsprozess fest. Er übernimmt dabei die Anforderungen der DIN EN ISO/IEC 17021 (die daher parallel zu beachten ist) und verfeinert sie für die Auditierung und Zertifizierung von ISMS gemäß ISO/IEC 27001.

Bisherige Ausgaben

ISO/IEC 27006:2007, 2011

 

© 2017, BITKOM - Nutzungsbedingungen für Inhalte der BITKOM-Internetseite