ISO / IEC 27006

ISO / IEC 27006は、国際標準化機構（ISO）および国際電気標準会議（IEC）によって公開された情報セキュリティ標準です。 ISO / IEC 27000シリーズのISO / IEC情報セキュリティ管理システム（ISMS）標準の一部であり、「 情報技術-セキュリティ技術-情報セキュリティ管理システムの監査と認証を提供する機関の要件 」と題されています 。

ISO / IEC 27006は、ISO / IEC 27001に準拠する他の組織を認証する認定組織の正式な要件を定めています。

EA 7/03（情報セキュリティ管理システムの認証/登録を運営する機関の認定に関するガイドライン）を効果的に置き換えます。

この規格は、認定組織によって発行されたISO / IEC 27001証明書が意味のある信頼できるものであることを保証するのに役立ちます。言い換えれば、それは保証の問題です。

標準の説明

ISO 27006は、ISO 17021 1およびISO 27001で設定された要件に加えて、情報セキュリティ管理システム（ISMS）を監査および認証する第三者に認定される要件の概要を示しています。 ISO 17021標準に大幅な変更が加えられたために2回。現在のバージョンは、2015年に公開されたISO 27006の第3版です。

ISO 27006：2015は、ISMS監査員の能力を実証するための基準を設定しています。審査チームの各審査員が次の知識を持っていることを確認するには、ISMSを審査する認証機関が必要です。

• ISMSの監視、測定、分析、および評価、
• 情報セキュリティー、
• 管理システム、
• 監査原則
• 監査するシステムの技術的な知識。

チームのすべての監査人は、情報システム管理の用語、原則、および手法に精通している必要があります。また、ISO 27001に記載されているすべての要件、ISO 27002にリストされているすべてのコントロールを知っている必要があります。

また、監査をレビューし、認定決定を下す担当者が能力を実証する必要があります。認証範囲の正確性を検証するために十分な知識が必要です。また、管理システム、監査手順、原則、および手法に関する一般的な知識も必要です。

ISO27006：2015では、適切な教育、専門能力開発、ISMS監査を対象としたトレーニング、および現在/関連する経験レベルについても概説しています。

標準の意図

ISO 27006の主な目的は、情報セキュリティ管理システムを認証する第三者の認定をサポートすることです。認定された第三者による監査とISO 27001への準拠の確認は、ISMS認証が有効であることを保証するために、この規格の要件に従う必要があります。認定された第三者は、その能力と信頼性を実証する必要があります。

応用

ISO 27001認証を求める中規模の組織は、ISMS認証監査を完了するために認定認証機関を雇う必要があります。組織はデューデリジェンスを完了して、選択した監査会社がISO27006：2015標準に準拠するようにします。監査中、組織は、監査を完了するために必要なすべての文書が利用可能であることを確認し、ISMSの設計と制御の有効性に関する情報を含むがこれに限定されないISMSレコードを監査チームに提供する必要があります。