ISO/IEC 27006
ISO / IEC 27006 es un estándar de seguridad de la información publicado por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC). Parte de la serie ISO / IEC 27000 de los estándars ISO / IEC de Sistema de Gestión de Seguridad de la Información (SGSI), titulado Tecnología de la información - Técnicas de seguridad - Requisitos para los organismos que proporcionan auditoría y certificación de sistemas de gestión de seguridad de la información.
ISO / IEC 27006 establece requisitos formales para organizaciones acreditadas que certifican otras organizaciones que cumplen con ISO / IEC 27001.
Sustituye efectivamente a EA 7/03 (Directrices para la acreditación de organismos que operan la certificación / registro de. Sistemas de gestión de seguridad de la información).
El estándar ayuda a garantizar que los certificados ISO / IEC 27001 emitidos por organizaciones acreditadas sean significativos y confiables, en otras palabras, es una cuestión de seguridad.
Descripción del estándar
[editar]ISO 27006 describe los requisitos para ser acreditados por terceros que auditan y certifican los sistemas de gestión de seguridad de la información (SGSI), además de los requisitos establecidos por ISO 17021 1 e ISO 27001. Este estándar se publicó por primera vez en 2007, y tuvo que ser revisada dos veces debido a cambios significativos realizados en el estándar ISO 17021. La versión actual es la tercera edición de ISO 27006 publicado en 2015.
ISO 27006: 2015 establece estándares para la demostración de la competencia de los auditores del SGSI. El SGSI de auditoría del organismo de certificación es necesario para verificar que cada auditor del equipo de auditoría tenga conocimiento de:
- Monitoreo, medición, análisis y evaluación del SGSI,
- Seguridad de información,
- Sistemas de gestión,
- Principios de auditoría, y
- Conocimiento técnico de los sistemas a auditar.
Todos los auditores del equipo deben conocer colectivamente la terminología, los principios y las técnicas de gestión de los sistemas de información. Deben conocer todos los requisitos de ISO 27001, todos los controles enumerados en ISO 27002. Además, los auditores deben conocer las prácticas de gestión empresarial, los requisitos legales y reglamentarios en un campo de sistemas de información, geografía y jurisdicciones en particular.
La competencia también debe ser demostrada por el personal que revisa las auditorías y toma decisiones de certificación. Necesitan tener el conocimiento suficiente para verificar la precisión del alcance de la certificación. Además, deben tener un conocimiento general de los sistemas de gestión, procedimientos de auditoría, principios y técnicas.
ISO27006: 2015 también describe la educación adecuada, el desarrollo profesional, la capacitación que cubre las auditorías del SGSI y el nivel de experiencia actual / relevante.
Intención del estándar
[editar]La intención principal de ISO 27006 es apoyar la acreditación para terceros que certifican el sistema de gestión de seguridad de la información. Cualquier auditoría acreditada por terceros y la confirmación del cumplimiento de la norma ISO 27001 debe seguir los requisitos de esta norma para garantizar que las certificaciones del SGSI sean válidas. Los terceros acreditados deben demostrar su competencia y fiabilidad.
Aplicación
[editar]Una organización mediana que busca la certificación ISO 27001 necesita contratar un organismo de certificación acreditado para completar la auditoría de certificación SGSI. La organización debe completar la debida diligencia para garantizar que la firma de auditoría seleccionada cumpla con la norma ISO27006: 2015. Durante la auditoría, la organización debe asegurarse de que toda la documentación necesaria para completar la auditoría esté disponible, proporcionar al equipo de auditoría registros del SGSI, incluida, entre otros, información sobre el diseño del SGSI y la efectividad de los controles.
Véase también
[editar]- ISO / IEC 27000-series
- ISO / IEC JTC 1 / SC 27 - Técnicas de seguridad en tecnologías de la información
Referencias
[editar]- "ISO / IEC 27006: 2015 -Information technology --Security techniques-- Requierements for bodies providing audit and certification of information security management systems" www.iso.org. Retrieved 2018-07-02.
- "ISO/IEC 27006:2015 Information technology -Security techniques - Requirements for bodies providing audit and certification of information security management systems". Joint Technical Committee ISO/IEC JTC 1 - Information Technology and Subcommittee SC 27 - IT security techniques. January 10, 2015 - via Distributed through American National Standards Institute (ANSI).