Navigacija

Plan prelaska na ISO/IEC 27006-1:2024 – Bezbednost informacija, sajber bezbednost i zaštita privatnosti - Zahtevi za tela koja obavljaju proveru i sertifikaciju sistema menadžmenta bezbednošću informacija – Deo 1: Opšte

01.03.2024. godine objavljeno je novo izdanje standarda ISO/IEC 27006-1:2024; Information security, cybersecurity and privacy protection - Requirements for bodies providing audit and certification of information security management systems - Part 1: General, namenjen za podršku akreditaciji sertifikacionih tela koja obavljaju sertifikaciju ISMS.

Izdanje ISO/IEC 27006-1:2024 zamenjuje ISO/IEC 27006:2015 i ISO/IEC 27006:2015/AMD1:2020, i utvrđuje zahteve i pruža smernice za tela koja obavljaju proveru i sertifikaciju sistema menadžmenta bezbednošću informacija (ISMS), kao dodatak zahtevima sadržanim u ISO/IEC 17021-1:2015. 

Detaljnije informacije o novinama u ISO/IEC 27006-1:2024, kao i detalji o aktivnostima koje treba preduzeti kako bi se pravilno upravljalo prelaskom, dati su u obavezujućem dokumentu IAF MD 29:2024, Transition Requirements for ISO/IEC 27006-1:2024 od 21.05.2024. godine (https://iaf.nu/iaf_system/uploads/documents/IAF_MD_29_27006-1_Transition_21052024.pdf ). 

U poređenju sa prethodnom verzijom (ISO/IEC 27006:2015 i ISO/IEC 27006:2015/AMD1:2020), revidirano izdanje sadrži (između ostalog):

  • jasnije zahteve za provere na daljinu;
  • ažurirane zahteve za izračunavanje vremena provere;
  • ažuriran Prilog D standarda ISO/IEC 27006:2015 kako bi se uskladio sa kontrolama bezbednosti informacija navedenim u Prilogu A standarda ISO/IEC 27001:2022 i prebacivanje kao Priloga E standarda ISO/IEC 27006-1:2024. Tabela D je ponovo označena kao Tabela E;
  • preciznije iskazane zahteve za upućivanje na druge standarde u ISMS sertifikacionim dokumentima;
  • uklanjanje preopširnosti iz ISO/IEC 17021-1:2015, na primer, klauzule 5.2, 7.1.3, 9.3.2.2 i 9.4 (ISO/IEC 27006-1:2024) su ažurirane i
  • uklonjen je kvantitativni zahtev za radno iskustvo i obuku za ISMS proveravača, npr, 4-godišnje praktično radno iskustvo sa punim radnim vremenom.

Uzimajući u obzir IAF MD29 kojim su definisani zahtevi i krajnji rokovi za sprovođenje aktivnosti prelaska i za sertifikaciona tela i za akreditaciona tela, Akreditaciono telo Srbije je utvrdilo vremenske rokove za sledeće aktivnosti, koji su prikazani u nastavku.

Od sertifikacionih tela za sertifikaciju sistema menadžmenta koja žele da budu akreditovani prema SRPS ISO/IEC 17021-1:2015 i ISO/IEC 27006-1:2024 se zahteva da nakon detaljne analize izmena koje je uneo novi normativni dokument, ISO/IEC 27006-1:2024, pripreme plan prelaska i poštujući navedene rokove formalizuju svoj zahtev za prelazak na akreditaciju prema SRPS ISO/IEC 17021-1:2015 i ISO/IEC 27006-1:2024 dostavljanjem prijave za prelazak* koja treba da sadrži opis aktivnosti preduzetih u cilju usaglašavanja, kao i dokaze kojima se potvrđuje da su te aktivnosti sprovedene, a koje se odnose na:

ATS će sprovesti ocenjivanje u svrhu prelaska preispitivanjem dostavljene dokumentacije u trajanju od 1 ocenjivač dan (po 0,5 ocenjivač dana za vođu tima i člana tima – tehničkog ocenjivača). U slučaju potrebe, ATS zadržava pravo da zatraži i dodatnu dokumentaciju. Nalazi sprovedenog ocenjivanja biće prezentovani sertifikacionom telu u usaglašenom terminu za ocenjivanje.
Ukoliko prelazak nije moguće oceniti na osnovu dostavljene dokumentacije, realizovaće se ocenjivanje na lokaciji ili ocenjivanje sa udaljenosti.

Efekti primene promena koje su rezultat usaglašavanja sa ISO/IEC 27006-1:2024 biće ocenjeni tokom redovnih ocenjivanja u ciklusu akreditacije.