ISO/IEC 27006, guía de certificación SGSI

¿Cuál es el propósito de ISO/IEC 27006?

El principal objetivo de ISO 27006 es facilitar a terceros la certificación de sistemas de gestión de seguridad de la información.

Para garantizar que las certificaciones ISMS sean válidas, cualquier tercero certificado que audite y verifique el cumplimiento de la norma ISO 27001 debe cumplir con los criterios de esta norma.

ISO 27006 establece criterios para demostrar la experiencia de los auditores de SGSI. Cuando un organismo de certificación audita un SGSI, debe asegurarse de que cada auditor del equipo de auditoría esté familiarizado con:

• Seguimiento, evaluación, interpretación y revisión del SGSI
• Seguridad de la información
• Procesos de gestión
• Normas de auditoría
• Conocimiento técnico de la sistemas auditados

Todos los auditores del equipo deben estar familiarizados con los conceptos, estándares y técnicas de gestión de sistemas de información. Deben estar familiarizados con todos ISO 27001 así como todos los controles ISO 27002. Los auditores también deben estar familiarizados con estándares de gestión empresarial así como criterios legales y regulatorios en un campo específico de los sistemas de información.

revisión de personal Las auditorías y la realización de evaluaciones de cualificaciones también deben demostrar competencia.. Deben tener la experiencia adecuada para validar la precisión del alcance de la certificación. También deben ser familiarizado con los sistemas de control, procesos de auditoría, estándares y técnicas.

ISO27006 especifica además el nivel apropiado de educación, profesional Se necesita capacitación y experiencia relevante para las auditorías del SGSI..

Cómo demostrar el cumplimiento de la norma ISO 27006

Cualquier organización que busque la certificación ISO 27001 debe contratar los servicios de una autoridad de certificación aprobada para realizar una auditoría de certificación SGSI.

La organización debe realizar la debida diligencia para garantizar que la empresa auditora contratada cumpla con la norma ISO27006:2015. A lo largo de la auditoría, la organización debe garantizar que toda la documentación necesaria para finalizar la auditoría esté disponible, así como proporcionar al equipo de auditoría los registros del SGSI, que incluyen, entre otros, información sobre el diseño y la eficacia del control del SGSI.

ISO 27006 se puede utilizar como estándar de referencia para acreditación, revisión por pares y otros procedimientos de auditoría. Sin embargo, su objetivo principal es ayudar en la acreditación de organismos de certificación que brindan certificación SGSI.

¿Por qué la relación entre ISO 27006, ISO 27001, ISO 27021 e ISO 19011?

Cualquier entidad debidamente autorizada que emita certificaciones de cumplimiento ISO 27001 debe cumplir con los estándares ISO 27006, ISO 17021 e ISO 19011 sobre su competencia, idoneidad y confiabilidad para ejecutar su tarea de manera efectiva.

Esto es importante para garantizar que se emita Cumplimiento de la norma ISO 27001 Las certificaciones son significativas y reflejan con precisión que la empresa ha cumplido con todos los requisitos de la norma ISO 27001.

Si alguien pudiera emitir certificados sin adherirse a los procesos de certificación cubiertos en este estándar, las organizaciones que no cumplan podrían, en teoría, comprar sus certificados SGSI o simplemente certificarse a sí mismas en lugar de demostrar el cumplimiento. Esto puede efectivamente desacreditar todo el sistema de certificación.

Cómo ISMS.online puede facilitar la implementación de ISO 27006

En ISMS.online, le facilitamos documentar su Gobernanza de Seguridad de la Información para que esté en línea con el estándar ISO 27006. Le proporcionamos una interfaz de gestión de información lógica, utilizable y basada en la nube que ayudará a su organización a verificar sus procesos de gobernanza de seguridad de la información y su progreso con respecto al estándar ISO 27006.

Nuestro plataforma basada en la nube le permite acceder a todos sus recursos ISMS en un solo lugar. Contamos con un equipo interno de expertos en seguridad de la información que pueden brindarle orientación y responder preguntas para ayudarlo en su camino hacia la implementación de ISO 27006 para que pueda demostrar su dedicación a las mejores prácticas de gobernanza de la seguridad de la información. Llame a ISMS.online al 44 0 1273 para obtener más información sobre cómo podemos ayudarle a obtener la certificación ISO 27001.