""

Zmiany wynikające z normy PN-EN ISO/IEC 27006:2024

Najważniejsze wiadomości02.02.2024

Informujemy, że ukazało się nowe wydanie normy PN-EN ISO/IEC 27006:2024-8 (ISO/IEC 27006-1:2024): Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności. Wymagania dla jednostek audytujących i certyfikujących systemy zarządzania bezpieczeństwem informacji.

Norma ta określa zasady przeprowadzania audytów i certyfikacji na zgodność z normą PN-EN ISO/IEC 27001:2023.

Dokument IAF MD 29:2024 "Requirements for transition to ISO/IEC 27006-1:2024" z dnia 21 maja 2024 r. ustanawia dwuletni okres przejściowy dla jednostek akredytujących i certyfikujących na uwzględnienie nowych wymagań.

ISOCERT złożył wniosek o aktualizację akredytacji do aktualnych wymagań normy PN-EN ISO/IEC 27006:2024.
Zmiany wynikające z nowego wydania normy PN-EN ISO/IEC 27006-1:2024 nie wymagają dostosowania SZBI w organizacjach naszych klientów. Wymagania zaktualizowanej normy nakładają obowiązki na ISOCERT.


Dotyczą one w szczególności:

1. Audytu zdalnego:

  • Wprowadzono nowe wymagania dotyczące realizacji audytów zdalnych - w szczególności przeprowadzania analizy ryzyka i uzasadnienia stosowania audytów zdalnych w całym cyklu certyfikacji
  • Raport musi wskazywać zakres, w jakim metody audytu zostały wykorzystane i ich skuteczność w osiąganiu celów audytu.
  • Wymóg uzyskania zgody organu akredytującego został usunięty, jeśli zdalne działania audytowe stanowią więcej niż 30% planowanego czasu audytu na miejscu.
  • W przypadku klientów z niewielką liczbą odpowiednich lokalizacji fizycznych lub bez nich, raport z audytu i dokumenty certyfikacyjne muszą wskazywać, że działania klienta są prowadzone zdalnie.

2. Czas audytu:

wprowadzono pojęcie osób wykonujących identyczne czynności oraz zdefiniowano wymóg określenia początkowej liczby personelu;
wprowadzono nowe wymagania dotyczące czasu trwania audytów dla rozszerzeń zakresu ISMS;
wyjaśniono metody obliczania czasu audytu dla wielu lokalizacji.

3. Powoływanie się na inne normy w dokumentach certyfikacyjnych ISMS

Wymagania dotyczące odwoływania się do innych norm w dokumentach certyfikacyjnych SZBI zostały doprecyzowane. W przypadku, gdy Deklaracja Stosowalności zawiera odniesienia do dodatkowych zabezpieczeń określonych w międzynarodowych lub krajowych normach sektorowych, możliwe jest powołanie się na te normy w dokumencie certyfikacyjnym PN-EN ISO/IEC 27001:2023. Odniesienie to musi wyraźnie wskazywać, że są to jedynie dodatkowe zabezpieczenia wynikające z przedmiotowych norm, które zostały określone jako mające zastosowanie w Deklaracji Stosowalności, oraz że nie jest to certyfikacja zgodna z tymi normami.


Nowe wymagania będą stosowane niezwłocznie po udzieleniu akredytacji ISOCERT dla normy PN-EN ISO/IEC 27006:2024. Zmianie uległy wymagania dotyczące określenia czasu auditu, w związku z czym może być konieczna zmiana zawartych z Państwem umów. Każdy przypadek będziemy analizować indywidualnie po przyznaniu przez ISOCERT akredytacji na wersję PN-EN ISO/IEC 27006:2024.

Odkryj nasze aktualności