Aktualizacja normy PN-EN ISO/IEC 27006:2024-8

Szanowni Państwo,

jednostka Certyfikująca Bureau Veritas Polska Sp. z o.o. informuje, że zostało opublikowane nowe wydanie normy PN-EN ISO/IEC 27006:2024-8 (ISO/IEC 27006-1:2024) Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności - Wymagania dla jednostek prowadzących audyt i certyfikację systemów zarządzania bezpieczeństwem informacji. Norma ta określa zasady przeprowadzania audytów i certyfikacji na zgodność ze standardem PN-EN ISO/IEC 27001:2023.

W dokumencie IAF MD 29:2024 „Wymagania dotyczące przejścia na ISO/IEC 27006-1:2024” z dnia 21.05.2024 r., Międzynarodowe Forum Akredytacyjne ustanowiło dwuletni okres przejściowy na uwzględnienie nowych wymagań przez jednostki akredytujące i certyfikujące.

Jednostka Certyfikująca Bureau Veritas Polska Sp. z o.o. złożyła wniosek o uaktualnienie posiadanej akredytacji do aktualnych wymagań normy PN-EN ISO/IEC 27006:2024-8. Zmiana nie ma wpływu na ważność ani datę wygaśnięcia istniejących certyfikatów na zgodność z wymaganiami normy PN-EN ISO/IEC 27001.

Dostosowanie certyfikowanego SZBI

Zmiany wynikające z nowego wydania normy PN-EN ISO/IEC 27006-1:2024-08 nie wymagają dostosowania SZBI w Państwa organizacjach. Wymagania zaktualizowanej normy nakładają jedynie obowiązki na Jednostkę Certyfikującą. Dotyczą one w szczególności przeprowadzania analizy ryzyk i uzasadnienia wykorzystania formy zdalnego audytu w całym cyklu certyfikacji. W takich sytuacjach dokumentacja z audytu będzie uwzględniała zakres i skuteczność zastosowania technik zdalnych. Jednocześnie zaktualizowana norma usuwa wymaganie dotyczące uzyskiwania zgody od Jednostki Akredytującej w przypadku, gdy działania w ramach audytowania zdalnego stanowią więcej niż 30% planowanego czasu audytu na miejscu. W przypadku, jeżeli Klient posiada niewiele fizycznych oddziałów lub ich w ogóle nie posiada, raport z audytu i dokument certyfikacyjny będą stwierdzały, że działania Klienta są prowadzone zdalnie.

Aktualizacja wymagania dotyczącego obliczania czasu audytu

Wprowadzono nowe pojęcia związane np. z osobami wykonującymi pewne identyczne działania jak również zdefiniowano wymagania dotyczące sposobu określania początkowej liczby personelu. Określono także nowe wymagania dotyczące czasu audytu w przypadku rozszerzenia zakresu certyfikacji. Nowe wymagania precyzują podejście do obliczania czasu audytu organizacji wielooddziałowych.

Powoływania się na inne normy w dokumentach certyfikacyjnych SZBI

Doprecyzowano wymagania dotyczące powoływania się na inne normy w dokumentach certyfikacyjnych SZBI. W przypadku gdy Deklaracja Stosowania zawiera odniesienia do dodatkowych zabezpieczeń, które są określone w międzynarodowych lub krajowych normach sektorowych, istnieje możliwość odniesienia się do tych norm w dokumencie certyfikacyjnym PN-EN ISO/IEC 27001. Odniesienie to musi jasno wskazywać, że są to tylko dodatkowe zabezpieczenia wynikające z przedmiotowych norm, które zostały zdefiniowane jako mające zastosowanie w Deklaracji Stosowania, a nie jest to certyfikacja zgodnie z tymi normami.

Podsumowując w przypadku konieczności wprowadzenia ewentualnych zmian w umowach – będziemy na bieżąco Państwa informować. Licząc na dalszą, owocną współpracę pozostajemy do Państwa dyspozycji.