Szanowni Klienci certyfikacji Systemu Zarządzania Bezpieczeństwem Informacji (SZBI)
Jednostka Certyfikująca TÜV NORD Polska Sp. z o.o. informuje, że zostało opublikowane nowe wydanie normy PN-EN ISO/IEC 27006:2024-8 (ISO/IEC 27006-1:2024) Bezpieczeństwo informacji, cyberbezpieczeństwo
i ochrona prywatności - Wymagania dla jednostek prowadzących audyt i certyfikację systemów zarządzania bezpieczeństwem informacji - Część 1: Postanowienia ogólne
Norma ta określa zasady przeprowadzania auditów i certyfikacji na zgodność ze standardem PN-EN ISO/IEC 27001:2023.
W rezolucji IAF MD 29:2024 „Wymagania dotyczące przejścia na ISO/IEC 27006-1:2024” z dnia 21.05.2024 r., Międzynarodowe Forum Akredytacyjne ustanowiło dwuletni okres przejściowy na uwzględnienie nowych wymagań przez jednostki akredytujące i certyfikujące.
Norma Europejska EN ISO/IEC 27006-1:2024 została uznana przez PKN za polską wersję PN-EN ISO/IEC 27006-1:2024-08 i wydana została w sierpniu 2024 roku.
Jednostka Certyfikująca TUV NORD Polska Sp. z o.o. nie będzie rozpowszechniała kopii tego ani innego standardu, ze względu na przepisy dotyczące praw autorskich.
Jednostka Certyfikująca TÜV NORD Polska Sp. z o.o. złożyła wniosek o uaktualnienie posiadanej akredytacji do aktualnych wymagań normy PN-EN ISO/IEC 27006:2024-8.
Informowanie certyfikowanych Klientów o procesie przejścia i dalszych szczegółach, jest jednym z naszych obowiązków.
Ważność certyfikacji.
Zmiana nie ma wpływu na ważność ani datę wygaśnięcia istniejących certyfikatów na zgodność z wymaganiami normy PN-EN ISO/IEC 27001.
Dostosowanie certyfikowanego SZBI.
Zmiany wynikające z nowego wydania normy PN-EN ISO/IEC 27006-1:2024-08 nie wymagają dostosowania SZBI w Państwa organizacjach.
Wymagania związane z przeprowadzaniem auditów zdalnych
Wymagania zaktualizowanej normy nakładają jedynie obowiązki na Jednostkę Certyfikującą. Dotyczą one w szczególności przeprowadzania analizy ryzyk i uzasadnienia wykorzystania formy zdalnego auditu w całym cyklu certyfikacji. W takich sytuacjach raport z audytu będzie uwzględniał zakres i skuteczność zastosowania technik zdalnych.
Jednocześnie zaktualizowana norma usuwa wymaganie dotyczące uzyskiwania zgody od Jednostki Akredytującej w przypadku, gdy działania w ramach auditowania zdalnego stanowią więcej niż 30% planowanego czasu auditu na miejscu.
W przypadku, jeżeli Klient posiada niewiele fizycznych oddziałów lub ich w ogóle nie posiada, raport z audytu i dokument certyfikacyjny będą stwierdzały, że działania Klienta są prowadzone zdalnie.
Aktualizacja wymagania dotyczącego obliczania czasu auditu
Wprowadzono nowe pojęcia związane np. z osobami wykonującymi pewne identyczne działania jak również zdefiniowano wymagania dotyczące sposobu określania początkowej liczby personelu. Określono także nowe wymagania dotyczące czasu auditu w przypadku rozszerzenia zakresu certyfikacji. Nowe wymagania precyzują podejście do obliczania czasu auditu organizacji wielooddziałowych.
Ponieważ w wydaniu normy PN-EN ISO/IEC 27006:2024-8 zmianie uległy wymagania dotyczące ustalania czasu auditu, możliwym jest, że koniecznym będzie wprowadzenie zmian w zawartych z Państwem umowach.
Powoływania się na inne normy w dokumentach certyfikacyjnych SZBI
Doprecyzowano wymagania dotyczące powoływania się na inne normy w dokumentach certyfikacyjnych SZBI. W przypadku gdy Deklaracja Stosowania zawiera odniesienia do dodatkowych zabezpieczeń, które są określone w międzynarodowych lub krajowych normach sektorowych, istnieje możliwość odniesienia się do tych norm w dokumencie certyfikacyjnym PN-EN ISO/IEC 27001. Odniesienie to musi jasno wskazywać, że są to tylko dodatkowe zabezpieczenia wynikające z przedmiotowych norm, które zostały zdefiniowane jako mające zastosowanie w Deklaracji Stosowania, a nie jest to certyfikacja zgodnie z tymi normami.
Podsumowanie:
W przypadku konieczności wprowadzenia ewentualnych zmian w umowach – będziemy na bieżąco Państwa informować.
Licząc na dalszą, owocną współpracę pozostajemy do Państwa dyspozycji.