ISO/IEC 27006:2007

SLOVENSKI STANDARD
oSIST ISO/IEC 27006:2010
01-december-2010
Informacijska tehnologija - Varnostne tehnike - Zahteve za organe, ki izvajajo
presoje in certificiranje sistemov upravljanja informacijske varnosti
Information technology - Security techniques - Requirements for bodies providing audit
and certification of information security management systems
Technologies de l'information - Techniques de sécurité - Exigences pour les organismes
procédant à l'audit et à la certification des systèmes de management de la sécurité de
l'information
Ta slovenski standard je istoveten z: ISO/IEC 27006:2007
ICS:
03.120.20 Certificiranje proizvodov in Product and company
podjetij. Ugotavljanje certification. Conformity
skladnosti assessment
35.040 Nabori znakov in kodiranje Character sets and
informacij information coding
oSIST ISO/IEC 27006:2010 en
2003-01.Slovenski inštitut za standardizacijo. Razmnoževanje celote ali delov tega standarda ni dovoljeno.

oSIST ISO/IEC 27006:2010
oSIST ISO/IEC 27006:2010
INTERNATIONAL ISO/IEC
STANDARD 27006
First edition
2007-03-01
Information technology — Security
techniques — Requirements for bodies
providing audit and certification of
information security management
systems
Technologies de l'information — Techniques de sécurité — Exigences
pour les organismes procédant à l'audit et à la certification des
systèmes de management de la sécurité de l'information

Reference number
©
ISO/IEC 2007
oSIST ISO/IEC 27006:2010
PDF disclaimer
This PDF file may contain embedded typefaces. In accordance with Adobe's licensing policy, this file may be printed or viewed but
shall not be edited unless the typefaces which are embedded are licensed to and installed on the computer performing the editing. In
downloading this file, parties accept therein the responsibility of not infringing Adobe's licensing policy. The ISO Central Secretariat
accepts no liability in this area.
Adobe is a trademark of Adobe Systems Incorporated.
Details of the software products used to create this PDF file can be found in the General Info relative to the file; the PDF-creation
parameters were optimized for printing. Every care has been taken to ensure that the file is suitable for use by ISO member bodies. In
the unlikely event that a problem relating to it is found, please inform the Central Secretariat at the address given below.

©  ISO/IEC 2007
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO/IEC 2007 – All rights reserved

oSIST ISO/IEC 27006:2010
Contents
Foreword. iv
Introduction . v
1 Scope .1
2 Normative references .1
3 Terms and definitions .1
4 Principles.2
5 General requirements.2
5.1 Legal and contractual matter.2
5.2 Management of impartiality .2
5.3 Liability and financing.3
6 Structural requirements .3
6.1 Organizational structure and top management.3
6.2 Committee for safeguarding impartiality .3
7 Resource requirements.3
7.1 Competence of management and personnel.3
7.2 Personnel involved in the certification activities .4
7.3 Use of individual external auditors and external technical experts.6
7.4 Personnel records .6
7.5 Outsourcing.6
8 Information requirements .6
8.1 Publicly accessible information.6
8.2 Certification documents.6
8.3 Directory of certified clients .7
8.4 Reference to certification and use of marks.7
8.5 Confidentiality.7
8.6 Information exchange between a certification body and its clients.7
9 Process requirements .7
9.1 General requirements.7
9.2 Initial audit and certification.11
9.3 Surveillance activities .15
9.4 Recertification.16
9.5 Special audits.16
9.6 Suspending, withdrawing or reducing scope of certification.16
9.7 Appeals .17
9.8 Complaints .17
9.9 Records of applicants and clients .17
10 Management system requirements for certification bodies .17
10.1 Options .17
10.2 Option 1 – Management system requirements in accordance with ISO 9001.17
10.3 Option 2 – General management system requirements .17
Annex A (informative) Analysis of a client organization’s complexity and sector-specific aspects .18
Annex B (informative) Example areas of auditor competence .21
Annex C (informative) Audit time.23
Annex D (informative) Guidance for review of implemented ISO/IEC 27001:2005, Annex A controls .29

© ISO/IEC 2007 – All rights reserved iii

oSIST ISO/IEC 27006:2010
Foreword
ISO (the International Organization for Standardization) and IEC (International Electrotechnical Commission)
form the specialized system for worldwide standardization. National bodies that are members of ISO and IEC
participate in the development of International Standards through technical committees established by the
respective organization to deal with particular fields of technical activity. ISO and IEC technical committees
collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental,
in liaison with ISO and IEC, also take part in the work. In the field of information technology, ISO and IEC have
established a joint technical committee, ISO/IEC JTC 1.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of the joint technical committee is to prepare International Standards. Draft International
Standards adopted by the technical committees are circulated to the member bodies for voting. Publication as
an International Standard requires approval by at least 75 % of the member bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO shall not be held responsible for identifying any or all such patent rights.
ISO/IEC 27006 was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee SC 27, IT Security techniques.

iv © ISO/IEC 2007 – All rights reserved

oSIST ISO/IEC 27006:2010
Introduction
ISO/IEC 17021 is an International Standard which sets out criteria for bodies operating audit and certification
of organizations' management systems. If such bodies are to be accredited as complying with ISO/IEC 17021
with the objective of auditing and certifying Information Security Management Systems (ISMS) in accordance
with ISO/IEC 27001:2005, some additional requirements and guidance to ISO/IEC 17021 are necessary.
These are provided by this International Standard.
The text in this International Standard follows the structure of ISO/IEC 17021, and the additional ISMS-specific
requirements and guidance on the application of ISO/IEC 17021 for ISMS certification are identified by the
letters “IS”.
The term “shall” is used throughout this International Standard to indicate those provisions which, reflecting
the requirements of ISO/IEC 17021 and ISO/IEC 27001, are mandatory. The term “should” is used to indicate
those provisions which, although they constitute guidance for the application of the requirements, are
expected to be adopted by a certification body.
One aim of this International Standard is to enable accreditation bodies to more effectively harmonise their
application of the standards against which they are bound to assess certification bodies. In this context, any
variation from the guidance by a certification body is an exception. Such variations will only be permitted on a
case-by-case basis after the certification body has demonstrated to the accreditation body that the exception
meets in some equivalent way the relevant requirements clause of ISO/IEC 17021, ISO/IEC 27001 and the
intent of this International Standard.
NOTE Throughout this International Standard, the terms “management system” and “system” are used interchangeably.
The definition of a management system can be found in ISO 9000:2005. The management system as used in this
International Standard is not to be confused with other types of system, such as IT systems.
© ISO/IEC 2007 – All rights reserved v

oSIST ISO/IEC 27006:2010
oSIST ISO/IEC 27006:2010
INTERNATIONAL STANDARD ISO/IEC 27006:2007(E)

Information technology — Security techniques — Requirements
for bodies providing audit and certification of information
security management systems
1 Scope
This International Standard specifies requirements and provides guidance for bodies providing audit and
certification of an information security management system (ISMS), in addition to the requirements contained
within ISO/IEC 17021 and ISO/IEC 27001. It is primarily intended to support the accreditation of certification
bodies providing ISMS certification.
The requirements contained in this International Standard need to be demonstrated in terms of competence
and reliability by any body providing ISMS certification, and the guidance contained in this International
Standard provides additional interpretation of these requirements for any body providing ISMS certification.
NOTE This International Standard can be used as a criteria document for accreditation, peer assessment or other audit
processes.
2 Normative references
The following referenced documents are indispensable for the application of this document. For dated
references, only the edition cited applies. For undated references, the latest edition of the referenced
document (including any amendments) applies.
ISO/IEC 17021:2006, Conformity assessment — Requirements for bodies providing audit and certification of
management systems
ISO/IEC 27001:2005, Information technology — Security techniques — Information security management
systems — Requirements
ISO/IEC 19011, Guidelines for quality and/or environmental management systems auditing
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 17021, ISO/IEC 27001 and the
following apply.
3.1
certificate
certificate issued by a certification body in accordance with the conditions of its accreditation and bearing an
accreditation symbol or statement
3.2
certification body
third party that assesses and certifies the ISMS of a client organization with respect to published ISMS
standards, and any supplementary documentation required under the system
3.3
certification document
document indicating that a client organization’s ISMS conforms to specified ISMS standards and any
supplementary documentation required under the system
© ISO/IEC 2007 – All rights reserved 1

oSIST ISO/IEC 27006:2010
3.4
mark
legally registered trade mark or otherwise protected symbol which is issued under the rules of an accreditation
body or of a certification body, indicating that adequate confidence in the systems operated by a body has
been demonstrated or that relevant products or individuals conform to the requirements of a specified
standard
3.5
organization
company, corporation, firm, enterprise, authority or institution, or part or combination thereof, whether
incorporated or not, public or private, that has its own functions and administration and is able to ensure that
information security is exercised
4 Principles
The principles from ISO/IEC 17021:2006, Clause 4 apply.
5 General requirements
5.1 Legal and contractual matter
The requirements from ISO/IEC 17021:2006, Clause 5.1 apply.
5.2 Management of impartiality
The requirements from ISO/IEC 17021:2006, Clause 5.2 apply. In addition, the following ISMS-specific
requirements and guidance apply.
5.2.1 IS 5.2 Conflicts of interest
Certification bodies can carry out the following duties without them being considered as consultancy or having
a potential conflict of interest:
a) certification, including information meetings, planning meetings, examination of documents, auditing (not
internal ISMS auditing or internal security reviews) and follow up of non-conformities;
b) arranging and participating as a lecturer in training courses, provided that, where these courses relate to
information security management, related management systems or auditing, certification bodies should
confine themselves to the provision of generic information and advice which is freely available in the
public domain, i.e. they should not provide company-specific advice which contravenes the requirements
of c) below;
c) making available or publishing on request information describing the certification body’s interpretation of
the requirements of the certification audit standards;
d) activities prior to audit, solely aimed at determining readiness for certification audit; however, such
activities should not result in the provision of recommendations or advice that would contravene this
clause and the certification body should be able to confirm that such activities do not contravene these
requirements and that they are not used to justify a reduction in the eventual certification audit duration;
e) performing second and third party audits according to standards or regulations other than those being
part of the scope of accreditation;
f) adding value during certification audits and surveillance visits, e.g., by identifying opportunities for
improvement, as they become evident during the audit, without recommending specific solutions.
The certification body shall be independent from the body or bodies (including any individuals) which provide
the internal ISMS audit of the client organization’s ISMS subject to certification.
2 © ISO/IEC 2007 – All rights reserved

oSIST ISO/IEC 27006:2010
5.3 Liability and financing
The requirements from ISO/IEC 17021:2006, Clause 5.3 apply.
6 Structural requirements
6.1 Organizational structure and top management
The requirements from ISO/IEC 17021:2006, Clause 6.1 apply.
6.2 Committee for safeguarding impartiality
The requirements from ISO/IEC 17021:2006, Clause 6.2 apply.
7 Resource requirements
7.1 Competence of management and personnel
The requirements from ISO/IEC 17021:2006, Clause 7.1 apply. In addition, the following ISMS-specific
requirements and guidance apply.
7.1.1 IS 7.1 Management competence
The essential elements of competence required to perform ISMS certification are to select, provide and
manage those individuals whose skills and collective competence is appropriate to the activities to be audited
and the related information security issues.
7.1.1.1 Competence analysis and contract review
The certification body shall ensure that it has knowledge of the technological and legal developments relevant
to the ISMS of the client organization, which it assesses.
The certification body shall have an effective system for the analysis of the competencies in information
security management which it needs to have available, with respect to all the technical areas in which it
operates.
For each client, the certification body shall be able to demonstrate that it has performed a competence
analysis (assessment of skills in response to evaluated needs) of the requirements of each relevant sector
prior to undertaking the contract review. The certification body shall then review the contract with the client
organization, based on the results of this competence analysis. In particular, the certification body shall be
able to demonstrate that it has the competence to complete the following activities:
a) understand the areas of activity of the client organization and the associated business risks;
b) define the competencies needed in the certification body to certify in relation to the identified activities,
and information security related threats to assets, vulnerabilities and impacts on the client organization;
c) confirm the availability of the required competencies.
7.1.1.2 Resources
The management of the certification body shall have the necessary processes and resources to enable it to
determine whether or not individual auditors are competent for the tasks they are required to perform within
the scope of certification in which they are operating. The competence of auditors may be established by
verified background experience and specific training or briefing (see also Annex B). The certification body
shall be able to communicate effectively with all those clients it provides services to.
© ISO/IEC 2007 – All rights reserved 3

oSIST ISO/IEC 27006:2010
7.2 Personnel involved in the certification activities
The requirements from ISO/IEC 17021:2006, Clause 7.2 apply. In addition, the following ISMS-specific
requirements and guidance apply.
7.2.1 IS 7.2 Competence of certification body personnel
Certification bodies shall have personnel competent to
a) select and verify the competence of ISMS auditors for audit teams appropriate for the audit;
b) brief ISMS auditors and arrange any necessary training;
c) decide on the granting, maintaining, withdrawing, suspending, extending, or reducing of certifications;
d) set up and operate an appeals and complaints process.
7.2.1.1 Training of audit teams
The certification body shall have criteria for the training of audit teams that ensures
a) knowledge of the ISMS standard and other relevant normative documents;
b) understanding of information security;
c) understanding of risk assessment and risk management from the business perspective;
d) technical knowledge of the activity to be audited;
e) general knowledge of regulatory requirements relevant to ISMSs;
f) knowledge of management systems;
g) understanding of the principles of auditing based on ISO 19011;
h) knowledge of ISMS effectiveness review and measurement of control effectiveness.
These training requirements apply to all members of the audit team, with the exception of d), which can be
shared among members of the audit team.
7.2.1.1.1 When selecting the audit team to be appointed for a specific certification audit the certification
body shall ensure that the skills brought to each assignment are appropriate. The team shall
a) have appropriate technical knowledge of the specific activities within the scope of the ISMS for which
certification is sought and, where relevant, with associated procedures and their potential information
security risks (technical experts who are not auditors may fulfil this function);
b) have a sufficient degree of understanding of the client organization to conduct a reliable certification audit
of its ISMS in managing the information security aspects of its activities, products and services;
c) have appropriate understanding of the regulatory requirements applicable to the client organization’s
ISMS.
4 © ISO/IEC 2007 – All rights reserved

oSIST ISO/IEC 27006:2010
7.2.1.1.2 When required, the audit team may be complemented by technical experts who can demonstrate
specific competence in a field of technology appropriate to the audit. Note should be taken that technical
experts cannot be used in place of ISMS auditors but could advise auditors on matters of technical adequacy
in the context of the management system being subjected to audit. The certification body shall have a
procedure for
a) selecting auditors and technical experts on the basis of their competence, training, qualifications and
experience;
b) initially assessing the conduct of auditors and technical experts during certification audits and
subsequently monitoring the performance of auditors and technical experts.
7.2.1.2 Management of the decision taking process
The management function shall have the technical competence and ability in place to manage the process of
decision-making regarding the granting, maintaining, extending, reducing, suspending and withdrawing of
ISMS certification to the requirements of ISO/IEC 27001.
7.2.1.3 Pre-requisite levels of education, work experience, auditor training and audit experience for
auditors conducting ISMS audits
7.2.1.3.1 The following criteria shall be applied for each auditor in the ISMS audit team. The auditor shall
a) have an education at secondary level;
b) have at least four years full time practical workplace experience in information technology, of which at
least two years are in a role or function relating to information security;
c) have successfully completed five days of training, the scope of which covers ISMS audits and audit
management shall be considered appropriate;
d) have gained experience in the entire process of assessing information security prior to assuming
responsibility for performing as an auditor. This experience should have been gained by participation in a
minimum of four certification audits for a total of at least 20 days, including review of documentation and
risk analysis, implementation assessment and audit reporting;
e) have experience which is reasonably current;
f) be able to put complex operations in a broad perspective and to understand the role of individual units in
larger client organizations;
g) keep their knowledge and skills in information security and auditing up to date through continual
professional development.
Technical experts shall comply with criteria a), b), e) and f).
7.2.1.3.2 In addition to the requirements in 7.2.1.3.1, audit team leaders shall fulfil the following
requirements, which shall be demonstrated in audits under guidance and supervision:
a) have knowledge and attributes to manage the certification audit process;
b) have been an auditor in at least three complete ISMS audits;
c) have demonstrated the capability to communicate effectively, both orally and in writing.
© ISO/IEC 2007 – All rights reserved 5

oSIST ISO/IEC 27006:2010
7.3 Use of individual external auditors and external technical experts
The requirements from ISO/IEC 17021:2006, Clause 7.3 apply. In addition, the following ISMS-specific
requirements and guidance applies.
7.3.1 IS 7.3 Using external auditors or external technical experts as part of the audit team
When using individual external auditors or external technical experts as part of the audit team, the certification
body shall ensure that they are competent and comply with the applicable provisions of this publication and
are not involved, either directly or through its employer with the design, implementation or maintenance of an
ISMS or related management system(s) in such a way that impartiality could be compromised.
7.3.1.1 Use of technical experts
Technical experts with specific knowledge regarding the process and information security issues and
legislation affecting the client organization, but who do not satisfy all of the criteria in 7.2, may be part of the
audit team. Technical experts shall work under the supervision of an auditor.
7.4 Personnel records
The requirements from ISO/IEC 17021:2006, Clause 7.4 apply.
7.5 Outsourcing
The requirements from ISO/IEC 17021:2006, Clause 7.5 apply.
8 Information requirements
8.1 Publicly accessible information
The requirements from ISO/IEC 17021:2006, Clause 8.1 apply. In addition, the following ISMS-specific
requirements and guidance apply.
8.1.1 IS 8.1 Procedures for granting, maintaining, extending, reducing, suspending and withdrawing
certification
The certification body shall require the client organization to have a documented and implemented ISMS
which conforms to ISO/IEC 27001 and other documents required for certification.
The certification body shall have documented procedures for
a) the initial certification audit of a client organization's ISMS, in accordance with the provisions of
ISO 19011, ISO/IEC 17021 and other relevant documents;
b) surveillance and recertification audits of a client organization's ISMS in accordance with ISO 19011 and
ISO/IEC 17021 on a periodic basis for continuing conformity with relevant requirements and for verifying
and recording that a client organization takes corrective action on a timely basis to correct all
nonconformities.
8.2 Certification documents
The requirements from ISO/IEC 17021:2006, Clause 8.2 apply. In addition, the following ISMS-specific
requirements and guidance apply.
6 © ISO/IEC 2007 – All rights reserved

oSIST ISO/IEC 27006:2010
8.2.1 IS 8.2 ISMS Certification documents
The certification body shall provide to each of its client organizations whose ISMS is certified, certification
documents such as a letter or a certificate signed by an officer who has been assigned such responsibility. For
the client organization and each of its information systems covered by the certification, these documents shall
identify the scope of the certification granted and the ISMS standard ISO/IEC 27001 to which the ISMS is
certified. In addition, the certificate should include a reference to the specific version of the Statement of
Applicability.
8.3 Directory of certified clients
The requirements from ISO/IEC 17021:2006, Clause 8.3 apply.
8.4 Reference to certification and use of marks
The requirements from ISO/IEC 17021:2006, Clause 8.4 apply. In addition, the following ISMS-specific
requirements and guidance applies.
8.4.1 IS 8.4 Control of certification marks
The certification body shall exercise proper control over ownership, use and display of its ISMS certification
marks. If the certification body confers the right to use a mark to indicate certification of an ISMS, the
certification body should ensure that the client organization uses the specified mark only as authorised in
writing by the certification body. The certification body shall not entitle the client organization to use this mark
on a product, or in a way that may be interpreted as denoting product conformity.
8.5 Confidentiality
The requirements from ISO/IEC 17021:2006, Clause 8.5 apply. In addition, the following ISMS-specific
requirements and guidance applies.
8.5.1 IS 8.5 Access to organizational records
Before the certification audit, the certification body shall ask the client organization to report if any ISMS
records cannot be made available for review by the audit team because they contain confidential or sensitive
information. The certification body shall determine whether the ISMS can be adequately audited in the
absence of these records. If the certification body concludes that it is not possible to adequately audit the
ISMS without reviewing the identified confidential or sensitive records, it shall advise the client organization
that the certification audit cannot take place until appropriate access arrangements are granted.
8.6 Information exchange between a certification body and its clients
The requirements from ISO/IEC 17021:2006, Clause 8.6 apply.
9 Process requirements
9.1 General requirements
The requirements from ISO/IEC 17021:2006, Clause 9.1 apply. In addition, the following ISMS-specific
requirements and guidance apply.
9.1.1 IS 9.1.1 General ISMS audit requirements
9.1.1.1 Certification audit criteria
The criteria against which the ISMS of a client are audited shall be those outlined in the ISMS standard
ISO/IEC 27001 and other documents required for certification relevant to the function performed. If an
© ISO/IEC 2007 – All rights reserved 7

oSIST ISO/IEC 27006:2010
explanation is required as to the application of these documents to a specific certification programme, then
such an explanation shall be given by a relevant and impartial committee or persons possessing the
necessary technical competence and published by the certification body.
9.1.1.2 Policies and procedures
The documentation of the certification body shall include the policy and procedures for implementing the
certification process, including checks of the use and application of documents used in certification of ISMSs
and the procedures for auditing and certifying the client organization’s ISMS.
9.1.1.3 Audit team
The audit team shall be formally appointed and provided with the appropriate working documents. The plan for
and the date of the audit shall be agreed to with the client organization. The mandate given to the audit team
shall be clearly defined and made known to the client organization, and shall require the audit team to
examine the structure, policies and procedures of the client organization, and confirm that these meet all the
requirements relevant to the scope of certification and that the procedures are implemented and are such as
to give confidence in the ISMS of the client organization.
9.1.2 IS 9.1.2 Scope of certification
The audit team shall audit the ISMS of the client organization covered by the defined scope against all
applicable certification requirements. The certification body shall ensure that the scope and boundaries of the
ISMS of the client organization are clearly defined in terms of the characteristics of the business, the
organization, its location, assets and technology. The certification body shall confirm, in the scope of their
ISMS, that client organizations address the requirements stated in Clause 1.2 of ISO/IEC 27001:2005.
Certification bodies shall ensure that the client organization’s information security risk assessment and risk
treatment properly reflects its activities and extends to the boundaries of its activities as defined in the ISMS
standard ISO/IEC 27001. Certification bodies shall confirm that this is reflected in the client organization’s
scope of their ISMS and Statement of Applicability.
Certification bodies shall ensure that interfaces with services or activities that are not completely within the
scope of the ISMS are addressed within the ISMS subject to certification and are included in the client
organization's information security risk assessment. An example of such a situation is the sharing of facilities
(e.g. IT systems, databases and telecommunication systems) with other organizations.
9.1.3 IS 9.1.3 Audit time
Certification bodies shall allow auditors sufficient time to undertake all activities relating to an initial audit,
surveillance audit or recertification audit. The time allocated should be based on factors such as
a) the size of the ISMS scope (e.g. number of information systems used, number of employees);
b) complexity of the ISMS (e.g. criticality of information systems, risk situation of the ISMS), see also
Annex A;
c) the type(s) of business performed within scope of the ISMS;
d) extent and diversity of technology utilized in the implementation of the various components of the ISMS
(such as the implemented controls, documentation and/or process control, corrective/preventive action,
etc);
e) number of sites;
f) previously demonstrated performance of the ISMS;
g) extent of outsourcing and third party arrangements used within the scope of the ISMS;
h) the standards and regulations which apply to the certification.
8 © ISO/IEC 2007 – All rights reserved

oSIST ISO/IEC 27006:2010
Annex C provides guidance on Audit Time. The certification body shall be prepared to substantiate or justify
the amount of time used in any initial audit, surveillance audits and recertification audit.
9.1.4 IS 9.1.4 Multiple sites
9.1.4.1 Multiple site sampling decisions in the area of ISMS certification are more complex than the same
decisions are for quality management systems. Where a client organization has a number of sites meeting the
criteria from a) to c) below, certification bodies may consider using a sample-based approach to multiple-site
certification audit:
a) all sites are operating under the same ISMS, which is centrally administered and audited and subject to
central management review;
b) all sites are included within the client organization’s internal ISMS audit programme;
c) all sites are included within the client organisation’s ISMS management review programme.
9.1.4.2 The certification body wishing to use a sample-based approach shall have procedures in place to
ensure the following.
a) The initial contract review identifies, to the greatest extent possible, the difference between sites such that
an adequate level of sampling is determined.
b) A representative number of sites have been sampled by the certification body, taking into account
1) the results of internal audits of head office and the sites,
2) the results of management review,
3) variations in the size of the sites,
4) variations in the business purpose of the sites,
5) complexity of the ISMS,
6) complexity of the information systems at the different sites,
7) variations in working practices,
8) variations in activities undertaken,
9) potential interaction with critical information systems or information systems processing sensitive
information,
10) any differing legal requirements.
c) A representative sample is selected from all sites within the scope of the client organization’s ISMS; this
selection should be based upon judgmental choice to reflect the factors presented in item b) above as
well as a random element.
d) Every site included in the ISMS which is subject to significant risks is audited by the certification body
prior to certification.
e) The surveillance programme has been designed in the light of the above requirements and covers all
sites of the client organization or within the scope of the ISMS certification within a reasonable time.
f) In the case of a nonconformity being observed, either at the head office or at a single site, the corrective
action procedure applies to the head office and all sites covered by the certificate.
© ISO/IEC 2007 – All rights reserved 9

oSIST ISO/IEC 27006:2010
The audit described in IS 9.1.5 below shall address the client organization's head office activities to ensure
that a single ISMS applies to all sites and delivers central management at the operational level. The audit shall
address all the issues outlined above.
9.1.5 IS 9.1.5 Audit Methodology
The certification body shall have procedures, which require the client organization to be able to demonstrate
that the internal ISMS audits are scheduled, and the programme and procedures are operational and can be
shown to be operational.
The certification body’s procedures should not presuppose a particular manner of implementation of an ISMS
or a particular format for documentation and records. Certification procedures shall focus on establishing that
a client organization’s ISMS meets the requirements of the ISO/IEC 27001 standard and the policies and
objectives of the client organization.
The audit plan should identify the network-assisted auditing techniques that will be utilized during the audit, as
appropriate.
NOTE Network assisted auditing techniques may include, for example, teleconferencing, web meeting, interactive web-
based communications and remote electronic access to the ISMS documentation and/or ISMS processes. The focus of
such techniques should be to enhance audit effectiveness and efficiency, and should support the integrity of the audit
process.
9.1.6 IS 9.1.6 Certification Audit Report
9.1.6.1 The certification body may adopt reporting procedures that suit its needs but as a minimum these
procedures shall ensure that
a) a meeting takes place between the audit team and the client organization's management prior to leaving
the client organization's premises at which the audit team provides
1) a written or oral indication regarding the conformity of the client organization's ISMS with the
particular certification requirements,
2) an opportunity for the client organization to ask questions about the findings and their basis;
b) the audit team provides the certification body with an audit report of its findings as to the conformity of the
client organization's ISMS with all of the certification requirements.
9.1.6.2 The audit report should provide the following information:
a) an account of the audit including a summary of the document review;
b) an account of the certification audit of the client organization's information security risk analysis;
c) total audit time used and detailed specification of time spent on document review, assessment of risk
analysis, on-site audit, and audit reporting;
d) audit enquiries which have been followed, rationale for their selection, and the methodology employed.
9.1.6.3 The audit report of findings provided to the certification body shall be of sufficient detail to facilitate
and support a certification decision and shall contain
a) areas covered by the audit (e.g. the certification requirements and the sites that were audited), including
significant audit trails followed and audit methodologies utilized (see IS 9.1.5);
b) observations made, both positive (e.g. noteworthy features) and negative (e.g. potential nonconformities);
10 © ISO/IEC 2007 – All rights reserved

oSIST ISO/IEC 27006:2010
c) details of any nonconformities identified, supported by objective evidence and a reference of these
nonconformities to the requirements of the ISMS standard ISO/IEC 27001 or other documents required
for certification;
d) comments on the conformity of the client organization's ISMS with the certification requirements with a
clear statement of nonconformity, a reference to the version of the Statement of Applicability, and, where
applicable, any useful comparison with the results of previous certification audits of the client organization.
Completed questionnaires, checklists, observations, logs, or auditor notes might form an integral part of the
audit report. If these methods are used, these documents shall be submitted to the certification body as
evidence to support the certification decision. Information about the samples evaluated during the audit should
be included in the audit report, or in other certification documentation.
The report shall consider the adequacy of the internal organization and procedures adopted by the client
organization to give confidence in the ISMS.
In addition to the requirements for reporting in ISO/IEC 17021:2006, Clause 9.1.10, the report should cover
⎯ the degree of reliance that can be placed on the internal ISMS audits and management reviews;
⎯ a summary of the most important observations, positive as well as negative, regarding the implementation
and effectiveness of the ISMS;
⎯ the audit team’s recommendation as to whether the client organization’s ISMS should be certified or not,
with information to substantiate this recommendation.
9.2 Initial audit and certification
The requirements from ISO/IEC 17021:2006, Clause 9.2 apply. In addition, the following ISMS-specific
requirements and guidance apply.
9.2.1 IS 9.2.1 Audit team competence
The following requirements apply to certification assessment, in addition to the requirements that are listed in
Clause 7.2. For surveillance
...

SLOVENSKI STANDARD
01-marec-2011
Informacijska tehnologija - Varnostne tehnike - Zahteve za organe, ki izvajajo
presoje in certificiranje sistemov upravljanja informacijske varnosti
Information technology - Security techniques - Requirements for bodies providing audit
and certification of information security management systems
Technologies de l'information - Techniques de sécurité - Exigences pour les organismes
procédant à l'audit et à la certification des systèmes de management de la sécurité de
l'information
Ta slovenski standard je istoveten z: ISO/IEC 27006:2007
ICS:
03.120.20 Certificiranje proizvodov in Product and company
podjetij. Ugotavljanje certification. Conformity
skladnosti assessment
35.040 Nabori znakov in kodiranje Character sets and
informacij information coding
2003-01.Slovenski inštitut za standardizacijo. Razmnoževanje celote ali delov tega standarda ni dovoljeno.

INTERNATIONAL ISO/IEC
STANDARD 27006
First edition
2007-03-01
Information technology — Security
techniques — Requirements for bodies
providing audit and certification of
information security management
systems
Technologies de l'information — Techniques de sécurité — Exigences
pour les organismes procédant à l'audit et à la certification des
systèmes de management de la sécurité de l'information

Reference number
©
ISO/IEC 2007
PDF disclaimer
This PDF file may contain embedded typefaces. In accordance with Adobe's licensing policy, this file may be printed or viewed but
shall not be edited unless the typefaces which are embedded are licensed to and installed on the computer performing the editing. In
downloading this file, parties accept therein the responsibility of not infringing Adobe's licensing policy. The ISO Central Secretariat
accepts no liability in this area.
Adobe is a trademark of Adobe Systems Incorporated.
Details of the software products used to create this PDF file can be found in the General Info relative to the file; the PDF-creation
parameters were optimized for printing. Every care has been taken to ensure that the file is suitable for use by ISO member bodies. In
the unlikely event that a problem relating to it is found, please inform the Central Secretariat at the address given below.

©  ISO/IEC 2007
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO/IEC 2007 – All rights reserved

Contents
Foreword. iv
Introduction . v
1 Scope .1
2 Normative references .1
3 Terms and definitions .1
4 Principles.2
5 General requirements.2
5.1 Legal and contractual matter.2
5.2 Management of impartiality .2
5.3 Liability and financing.3
6 Structural requirements .3
6.1 Organizational structure and top management.3
6.2 Committee for safeguarding impartiality .3
7 Resource requirements.3
7.1 Competence of management and personnel.3
7.2 Personnel involved in the certification activities .4
7.3 Use of individual external auditors and external technical experts.6
7.4 Personnel records .6
7.5 Outsourcing.6
8 Information requirements .6
8.1 Publicly accessible information.6
8.2 Certification documents.6
8.3 Directory of certified clients .7
8.4 Reference to certification and use of marks.7
8.5 Confidentiality.7
8.6 Information exchange between a certification body and its clients.7
9 Process requirements .7
9.1 General requirements.7
9.2 Initial audit and certification.11
9.3 Surveillance activities .15
9.4 Recertification.16
9.5 Special audits.16
9.6 Suspending, withdrawing or reducing scope of certification.16
9.7 Appeals .17
9.8 Complaints .17
9.9 Records of applicants and clients .17
10 Management system requirements for certification bodies .17
10.1 Options .17
10.2 Option 1 – Management system requirements in accordance with ISO 9001.17
10.3 Option 2 – General management system requirements .17
Annex A (informative) Analysis of a client organization’s complexity and sector-specific aspects .18
Annex B (informative) Example areas of auditor competence .21
Annex C (informative) Audit time.23
Annex D (informative) Guidance for review of implemented ISO/IEC 27001:2005, Annex A controls .29

© ISO/IEC 2007 – All rights reserved iii

Foreword
ISO (the International Organization for Standardization) and IEC (International Electrotechnical Commission)
form the specialized system for worldwide standardization. National bodies that are members of ISO and IEC
participate in the development of International Standards through technical committees established by the
respective organization to deal with particular fields of technical activity. ISO and IEC technical committees
collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental,
in liaison with ISO and IEC, also take part in the work. In the field of information technology, ISO and IEC have
established a joint technical committee, ISO/IEC JTC 1.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of the joint technical committee is to prepare International Standards. Draft International
Standards adopted by the technical committees are circulated to the member bodies for voting. Publication as
an International Standard requires approval by at least 75 % of the member bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO shall not be held responsible for identifying any or all such patent rights.
ISO/IEC 27006 was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee SC 27, IT Security techniques.

iv © ISO/IEC 2007 – All rights reserved

Introduction
ISO/IEC 17021 is an International Standard which sets out criteria for bodies operating audit and certification
of organizations' management systems. If such bodies are to be accredited as complying with ISO/IEC 17021
with the objective of auditing and certifying Information Security Management Systems (ISMS) in accordance
with ISO/IEC 27001:2005, some additional requirements and guidance to ISO/IEC 17021 are necessary.
These are provided by this International Standard.
The text in this International Standard follows the structure of ISO/IEC 17021, and the additional ISMS-specific
requirements and guidance on the application of ISO/IEC 17021 for ISMS certification are identified by the
letters “IS”.
The term “shall” is used throughout this International Standard to indicate those provisions which, reflecting
the requirements of ISO/IEC 17021 and ISO/IEC 27001, are mandatory. The term “should” is used to indicate
those provisions which, although they constitute guidance for the application of the requirements, are
expected to be adopted by a certification body.
One aim of this International Standard is to enable accreditation bodies to more effectively harmonise their
application of the standards against which they are bound to assess certification bodies. In this context, any
variation from the guidance by a certification body is an exception. Such variations will only be permitted on a
case-by-case basis after the certification body has demonstrated to the accreditation body that the exception
meets in some equivalent way the relevant requirements clause of ISO/IEC 17021, ISO/IEC 27001 and the
intent of this International Standard.
NOTE Throughout this International Standard, the terms “management system” and “system” are used interchangeably.
The definition of a management system can be found in ISO 9000:2005. The management system as used in this
International Standard is not to be confused with other types of system, such as IT systems.
© ISO/IEC 2007 – All rights reserved v

INTERNATIONAL STANDARD ISO/IEC 27006:2007(E)

Information technology — Security techniques — Requirements
for bodies providing audit and certification of information
security management systems
1 Scope
This International Standard specifies requirements and provides guidance for bodies providing audit and
certification of an information security management system (ISMS), in addition to the requirements contained
within ISO/IEC 17021 and ISO/IEC 27001. It is primarily intended to support the accreditation of certification
bodies providing ISMS certification.
The requirements contained in this International Standard need to be demonstrated in terms of competence
and reliability by any body providing ISMS certification, and the guidance contained in this International
Standard provides additional interpretation of these requirements for any body providing ISMS certification.
NOTE This International Standard can be used as a criteria document for accreditation, peer assessment or other audit
processes.
2 Normative references
The following referenced documents are indispensable for the application of this document. For dated
references, only the edition cited applies. For undated references, the latest edition of the referenced
document (including any amendments) applies.
ISO/IEC 17021:2006, Conformity assessment — Requirements for bodies providing audit and certification of
management systems
ISO/IEC 27001:2005, Information technology — Security techniques — Information security management
systems — Requirements
ISO/IEC 19011, Guidelines for quality and/or environmental management systems auditing
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 17021, ISO/IEC 27001 and the
following apply.
3.1
certificate
certificate issued by a certification body in accordance with the conditions of its accreditation and bearing an
accreditation symbol or statement
3.2
certification body
third party that assesses and certifies the ISMS of a client organization with respect to published ISMS
standards, and any supplementary documentation required under the system
3.3
certification document
document indicating that a client organization’s ISMS conforms to specified ISMS standards and any
supplementary documentation required under the system
© ISO/IEC 2007 – All rights reserved 1

3.4
mark
legally registered trade mark or otherwise protected symbol which is issued under the rules of an accreditation
body or of a certification body, indicating that adequate confidence in the systems operated by a body has
been demonstrated or that relevant products or individuals conform to the requirements of a specified
standard
3.5
organization
company, corporation, firm, enterprise, authority or institution, or part or combination thereof, whether
incorporated or not, public or private, that has its own functions and administration and is able to ensure that
information security is exercised
4 Principles
The principles from ISO/IEC 17021:2006, Clause 4 apply.
5 General requirements
5.1 Legal and contractual matter
The requirements from ISO/IEC 17021:2006, Clause 5.1 apply.
5.2 Management of impartiality
The requirements from ISO/IEC 17021:2006, Clause 5.2 apply. In addition, the following ISMS-specific
requirements and guidance apply.
5.2.1 IS 5.2 Conflicts of interest
Certification bodies can carry out the following duties without them being considered as consultancy or having
a potential conflict of interest:
a) certification, including information meetings, planning meetings, examination of documents, auditing (not
internal ISMS auditing or internal security reviews) and follow up of non-conformities;
b) arranging and participating as a lecturer in training courses, provided that, where these courses relate to
information security management, related management systems or auditing, certification bodies should
confine themselves to the provision of generic information and advice which is freely available in the
public domain, i.e. they should not provide company-specific advice which contravenes the requirements
of c) below;
c) making available or publishing on request information describing the certification body’s interpretation of
the requirements of the certification audit standards;
d) activities prior to audit, solely aimed at determining readiness for certification audit; however, such
activities should not result in the provision of recommendations or advice that would contravene this
clause and the certification body should be able to confirm that such activities do not contravene these
requirements and that they are not used to justify a reduction in the eventual certification audit duration;
e) performing second and third party audits according to standards or regulations other than those being
part of the scope of accreditation;
f) adding value during certification audits and surveillance visits, e.g., by identifying opportunities for
improvement, as they become evident during the audit, without recommending specific solutions.
The certification body shall be independent from the body or bodies (including any individuals) which provide
the internal ISMS audit of the client organization’s ISMS subject to certification.
2 © ISO/IEC 2007 – All rights reserved

5.3 Liability and financing
The requirements from ISO/IEC 17021:2006, Clause 5.3 apply.
6 Structural requirements
6.1 Organizational structure and top management
The requirements from ISO/IEC 17021:2006, Clause 6.1 apply.
6.2 Committee for safeguarding impartiality
The requirements from ISO/IEC 17021:2006, Clause 6.2 apply.
7 Resource requirements
7.1 Competence of management and personnel
The requirements from ISO/IEC 17021:2006, Clause 7.1 apply. In addition, the following ISMS-specific
requirements and guidance apply.
7.1.1 IS 7.1 Management competence
The essential elements of competence required to perform ISMS certification are to select, provide and
manage those individuals whose skills and collective competence is appropriate to the activities to be audited
and the related information security issues.
7.1.1.1 Competence analysis and contract review
The certification body shall ensure that it has knowledge of the technological and legal developments relevant
to the ISMS of the client organization, which it assesses.
The certification body shall have an effective system for the analysis of the competencies in information
security management which it needs to have available, with respect to all the technical areas in which it
operates.
For each client, the certification body shall be able to demonstrate that it has performed a competence
analysis (assessment of skills in response to evaluated needs) of the requirements of each relevant sector
prior to undertaking the contract review. The certification body shall then review the contract with the client
organization, based on the results of this competence analysis. In particular, the certification body shall be
able to demonstrate that it has the competence to complete the following activities:
a) understand the areas of activity of the client organization and the associated business risks;
b) define the competencies needed in the certification body to certify in relation to the identified activities,
and information security related threats to assets, vulnerabilities and impacts on the client organization;
c) confirm the availability of the required competencies.
7.1.1.2 Resources
The management of the certification body shall have the necessary processes and resources to enable it to
determine whether or not individual auditors are competent for the tasks they are required to perform within
the scope of certification in which they are operating. The competence of auditors may be established by
verified background experience and specific training or briefing (see also Annex B). The certification body
shall be able to communicate effectively with all those clients it provides services to.
© ISO/IEC 2007 – All rights reserved 3

7.2 Personnel involved in the certification activities
The requirements from ISO/IEC 17021:2006, Clause 7.2 apply. In addition, the following ISMS-specific
requirements and guidance apply.
7.2.1 IS 7.2 Competence of certification body personnel
Certification bodies shall have personnel competent to
a) select and verify the competence of ISMS auditors for audit teams appropriate for the audit;
b) brief ISMS auditors and arrange any necessary training;
c) decide on the granting, maintaining, withdrawing, suspending, extending, or reducing of certifications;
d) set up and operate an appeals and complaints process.
7.2.1.1 Training of audit teams
The certification body shall have criteria for the training of audit teams that ensures
a) knowledge of the ISMS standard and other relevant normative documents;
b) understanding of information security;
c) understanding of risk assessment and risk management from the business perspective;
d) technical knowledge of the activity to be audited;
e) general knowledge of regulatory requirements relevant to ISMSs;
f) knowledge of management systems;
g) understanding of the principles of auditing based on ISO 19011;
h) knowledge of ISMS effectiveness review and measurement of control effectiveness.
These training requirements apply to all members of the audit team, with the exception of d), which can be
shared among members of the audit team.
7.2.1.1.1 When selecting the audit team to be appointed for a specific certification audit the certification
body shall ensure that the skills brought to each assignment are appropriate. The team shall
a) have appropriate technical knowledge of the specific activities within the scope of the ISMS for which
certification is sought and, where relevant, with associated procedures and their potential information
security risks (technical experts who are not auditors may fulfil this function);
b) have a sufficient degree of understanding of the client organization to conduct a reliable certification audit
of its ISMS in managing the information security aspects of its activities, products and services;
c) have appropriate understanding of the regulatory requirements applicable to the client organization’s
ISMS.
4 © ISO/IEC 2007 – All rights reserved

7.2.1.1.2 When required, the audit team may be complemented by technical experts who can demonstrate
specific competence in a field of technology appropriate to the audit. Note should be taken that technical
experts cannot be used in place of ISMS auditors but could advise auditors on matters of technical adequacy
in the context of the management system being subjected to audit. The certification body shall have a
procedure for
a) selecting auditors and technical experts on the basis of their competence, training, qualifications and
experience;
b) initially assessing the conduct of auditors and technical experts during certification audits and
subsequently monitoring the performance of auditors and technical experts.
7.2.1.2 Management of the decision taking process
The management function shall have the technical competence and ability in place to manage the process of
decision-making regarding the granting, maintaining, extending, reducing, suspending and withdrawing of
ISMS certification to the requirements of ISO/IEC 27001.
7.2.1.3 Pre-requisite levels of education, work experience, auditor training and audit experience for
auditors conducting ISMS audits
7.2.1.3.1 The following criteria shall be applied for each auditor in the ISMS audit team. The auditor shall
a) have an education at secondary level;
b) have at least four years full time practical workplace experience in information technology, of which at
least two years are in a role or function relating to information security;
c) have successfully completed five days of training, the scope of which covers ISMS audits and audit
management shall be considered appropriate;
d) have gained experience in the entire process of assessing information security prior to assuming
responsibility for performing as an auditor. This experience should have been gained by participation in a
minimum of four certification audits for a total of at least 20 days, including review of documentation and
risk analysis, implementation assessment and audit reporting;
e) have experience which is reasonably current;
f) be able to put complex operations in a broad perspective and to understand the role of individual units in
larger client organizations;
g) keep their knowledge and skills in information security and auditing up to date through continual
professional development.
Technical experts shall comply with criteria a), b), e) and f).
7.2.1.3.2 In addition to the requirements in 7.2.1.3.1, audit team leaders shall fulfil the following
requirements, which shall be demonstrated in audits under guidance and supervision:
a) have knowledge and attributes to manage the certification audit process;
b) have been an auditor in at least three complete ISMS audits;
c) have demonstrated the capability to communicate effectively, both orally and in writing.
© ISO/IEC 2007 – All rights reserved 5

7.3 Use of individual external auditors and external technical experts
The requirements from ISO/IEC 17021:2006, Clause 7.3 apply. In addition, the following ISMS-specific
requirements and guidance applies.
7.3.1 IS 7.3 Using external auditors or external technical experts as part of the audit team
When using individual external auditors or external technical experts as part of the audit team, the certification
body shall ensure that they are competent and comply with the applicable provisions of this publication and
are not involved, either directly or through its employer with the design, implementation or maintenance of an
ISMS or related management system(s) in such a way that impartiality could be compromised.
7.3.1.1 Use of technical experts
Technical experts with specific knowledge regarding the process and information security issues and
legislation affecting the client organization, but who do not satisfy all of the criteria in 7.2, may be part of the
audit team. Technical experts shall work under the supervision of an auditor.
7.4 Personnel records
The requirements from ISO/IEC 17021:2006, Clause 7.4 apply.
7.5 Outsourcing
The requirements from ISO/IEC 17021:2006, Clause 7.5 apply.
8 Information requirements
8.1 Publicly accessible information
The requirements from ISO/IEC 17021:2006, Clause 8.1 apply. In addition, the following ISMS-specific
requirements and guidance apply.
8.1.1 IS 8.1 Procedures for granting, maintaining, extending, reducing, suspending and withdrawing
certification
The certification body shall require the client organization to have a documented and implemented ISMS
which conforms to ISO/IEC 27001 and other documents required for certification.
The certification body shall have documented procedures for
a) the initial certification audit of a client organization's ISMS, in accordance with the provisions of
ISO 19011, ISO/IEC 17021 and other relevant documents;
b) surveillance and recertification audits of a client organization's ISMS in accordance with ISO 19011 and
ISO/IEC 17021 on a periodic basis for continuing conformity with relevant requirements and for verifying
and recording that a client organization takes corrective action on a timely basis to correct all
nonconformities.
8.2 Certification documents
The requirements from ISO/IEC 17021:2006, Clause 8.2 apply. In addition, the following ISMS-specific
requirements and guidance apply.
6 © ISO/IEC 2007 – All rights reserved

8.2.1 IS 8.2 ISMS Certification documents
The certification body shall provide to each of its client organizations whose ISMS is certified, certification
documents such as a letter or a certificate signed by an officer who has been assigned such responsibility. For
the client organization and each of its information systems covered by the certification, these documents shall
identify the scope of the certification granted and the ISMS standard ISO/IEC 27001 to which the ISMS is
certified. In addition, the certificate should include a reference to the specific version of the Statement of
Applicability.
8.3 Directory of certified clients
The requirements from ISO/IEC 17021:2006, Clause 8.3 apply.
8.4 Reference to certification and use of marks
The requirements from ISO/IEC 17021:2006, Clause 8.4 apply. In addition, the following ISMS-specific
requirements and guidance applies.
8.4.1 IS 8.4 Control of certification marks
The certification body shall exercise proper control over ownership, use and display of its ISMS certification
marks. If the certification body confers the right to use a mark to indicate certification of an ISMS, the
certification body should ensure that the client organization uses the specified mark only as authorised in
writing by the certification body. The certification body shall not entitle the client organization to use this mark
on a product, or in a way that may be interpreted as denoting product conformity.
8.5 Confidentiality
The requirements from ISO/IEC 17021:2006, Clause 8.5 apply. In addition, the following ISMS-specific
requirements and guidance applies.
8.5.1 IS 8.5 Access to organizational records
Before the certification audit, the certification body shall ask the client organization to report if any ISMS
records cannot be made available for review by the audit team because they contain confidential or sensitive
information. The certification body shall determine whether the ISMS can be adequately audited in the
absence of these records. If the certification body concludes that it is not possible to adequately audit the
ISMS without reviewing the identified confidential or sensitive records, it shall advise the client organization
that the certification audit cannot take place until appropriate access arrangements are granted.
8.6 Information exchange between a certification body and its clients
The requirements from ISO/IEC 17021:2006, Clause 8.6 apply.
9 Process requirements
9.1 General requirements
The requirements from ISO/IEC 17021:2006, Clause 9.1 apply. In addition, the following ISMS-specific
requirements and guidance apply.
9.1.1 IS 9.1.1 General ISMS audit requirements
9.1.1.1 Certification audit criteria
The criteria against which the ISMS of a client are audited shall be those outlined in the ISMS standard
ISO/IEC 27001 and other documents required for certification relevant to the function performed. If an
© ISO/IEC 2007 – All rights reserved 7

explanation is required as to the application of these documents to a specific certification programme, then
such an explanation shall be given by a relevant and impartial committee or persons possessing the
necessary technical competence and published by the certification body.
9.1.1.2 Policies and procedures
The documentation of the certification body shall include the policy and procedures for implementing the
certification process, including checks of the use and application of documents used in certification of ISMSs
and the procedures for auditing and certifying the client organization’s ISMS.
9.1.1.3 Audit team
The audit team shall be formally appointed and provided with the appropriate working documents. The plan for
and the date of the audit shall be agreed to with the client organization. The mandate given to the audit team
shall be clearly defined and made known to the client organization, and shall require the audit team to
examine the structure, policies and procedures of the client organization, and confirm that these meet all the
requirements relevant to the scope of certification and that the procedures are implemented and are such as
to give confidence in the ISMS of the client organization.
9.1.2 IS 9.1.2 Scope of certification
The audit team shall audit the ISMS of the client organization covered by the defined scope against all
applicable certification requirements. The certification body shall ensure that the scope and boundaries of the
ISMS of the client organization are clearly defined in terms of the characteristics of the business, the
organization, its location, assets and technology. The certification body shall confirm, in the scope of their
ISMS, that client organizations address the requirements stated in Clause 1.2 of ISO/IEC 27001:2005.
Certification bodies shall ensure that the client organization’s information security risk assessment and risk
treatment properly reflects its activities and extends to the boundaries of its activities as defined in the ISMS
standard ISO/IEC 27001. Certification bodies shall confirm that this is reflected in the client organization’s
scope of their ISMS and Statement of Applicability.
Certification bodies shall ensure that interfaces with services or activities that are not completely within the
scope of the ISMS are addressed within the ISMS subject to certification and are included in the client
organization's information security risk assessment. An example of such a situation is the sharing of facilities
(e.g. IT systems, databases and telecommunication systems) with other organizations.
9.1.3 IS 9.1.3 Audit time
Certification bodies shall allow auditors sufficient time to undertake all activities relating to an initial audit,
surveillance audit or recertification audit. The time allocated should be based on factors such as
a) the size of the ISMS scope (e.g. number of information systems used, number of employees);
b) complexity of the ISMS (e.g. criticality of information systems, risk situation of the ISMS), see also
Annex A;
c) the type(s) of business performed within scope of the ISMS;
d) extent and diversity of technology utilized in the implementation of the various components of the ISMS
(such as the implemented controls, documentation and/or process control, corrective/preventive action,
etc);
e) number of sites;
f) previously demonstrated performance of the ISMS;
g) extent of outsourcing and third party arrangements used within the scope of the ISMS;
h) the standards and regulations which apply to the certification.
8 © ISO/IEC 2007 – All rights reserved

Annex C provides guidance on Audit Time. The certification body shall be prepared to substantiate or justify
the amount of time used in any initial audit, surveillance audits and recertification audit.
9.1.4 IS 9.1.4 Multiple sites
9.1.4.1 Multiple site sampling decisions in the area of ISMS certification are more complex than the same
decisions are for quality management systems. Where a client organization has a number of sites meeting the
criteria from a) to c) below, certification bodies may consider using a sample-based approach to multiple-site
certification audit:
a) all sites are operating under the same ISMS, which is centrally administered and audited and subject to
central management review;
b) all sites are included within the client organization’s internal ISMS audit programme;
c) all sites are included within the client organisation’s ISMS management review programme.
9.1.4.2 The certification body wishing to use a sample-based approach shall have procedures in place to
ensure the following.
a) The initial contract review identifies, to the greatest extent possible, the difference between sites such that
an adequate level of sampling is determined.
b) A representative number of sites have been sampled by the certification body, taking into account
1) the results of internal audits of head office and the sites,
2) the results of management review,
3) variations in the size of the sites,
4) variations in the business purpose of the sites,
5) complexity of the ISMS,
6) complexity of the information systems at the different sites,
7) variations in working practices,
8) variations in activities undertaken,
9) potential interaction with critical information systems or information systems processing sensitive
information,
10) any differing legal requirements.
c) A representative sample is selected from all sites within the scope of the client organization’s ISMS; this
selection should be based upon judgmental choice to reflect the factors presented in item b) above as
well as a random element.
d) Every site included in the ISMS which is subject to significant risks is audited by the certification body
prior to certification.
e) The surveillance programme has been designed in the light of the above requirements and covers all
sites of the client organization or within the scope of the ISMS certification within a reasonable time.
f) In the case of a nonconformity being observed, either at the head office or at a single site, the corrective
action procedure applies to the head office and all sites covered by the certificate.
© ISO/IEC 2007 – All rights reserved 9

The audit described in IS 9.1.5 below shall address the client organization's head office activities to ensure
that a single ISMS applies to all sites and delivers central management at the operational level. The audit shall
address all the issues outlined above.
9.1.5 IS 9.1.5 Audit Methodology
The certification body shall have procedures, which require the client organization to be able to demonstrate
that the internal ISMS audits are scheduled, and the programme and procedures are operational and can be
shown to be operational.
The certification body’s procedures should not presuppose a particular manner of implementation of an ISMS
or a particular format for documentation and records. Certification procedures shall focus on establishing that
a client organization’s ISMS meets the requirements of the ISO/IEC 27001 standard and the policies and
objectives of the client organization.
The audit plan should identify the network-assisted auditing techniques that will be utilized during the audit, as
appropriate.
NOTE Network assisted auditing techniques may include, for example, teleconferencing, web meeting, interactive web-
based communications and remote electronic access to the ISMS documentation and/or ISMS processes. The focus of
such techniques should be to enhance audit effectiveness and efficiency, and should support the integrity of the audit
process.
9.1.6 IS 9.1.6 Certification Audit Report
9.1.6.1 The certification body may adopt reporting procedures that suit its needs but as a minimum these
procedures shall ensure that
a) a meeting takes place between the audit team and the client organization's management prior to leaving
the client organization's premises at which the audit team provides
1) a written or oral indication regarding the conformity of the client organization's ISMS with the
particular certification requirements,
2) an opportunity for the client organization to ask questions about the findings and their basis;
b) the audit team provides the certification body with an audit report of its findings as to the conformity of the
client organization's ISMS with all of the certification requirements.
9.1.6.2 The audit report should provide the following information:
a) an account of the audit including a summary of the document review;
b) an account of the certification audit of the client organization's information security risk analysis;
c) total audit time used and detailed specification of time spent on document review, assessment of risk
analysis, on-site audit, and audit reporting;
d) audit enquiries which have been followed, rationale for their selection, and the methodology employed.
9.1.6.3 The audit report of findings provided to the certification body shall be of sufficient detail to facilitate
and support a certification decision and shall contain
a) areas covered by the audit (e.g. the certification requirements and the sites that were audited), including
significant audit trails followed and audit methodologies utilized (see IS 9.1.5);
b) observations made, both positive (e.g. noteworthy features) and negative (e.g. potential nonconformities);
10 © ISO/IEC 2007 – All rights reserved

c) details of any nonconformities identified, supported by objective evidence and a reference of these
nonconformities to the requirements of the ISMS standard ISO/IEC 27001 or other documents required
for certification;
d) comments on the conformity of the client organization's ISMS with the certification requirements with a
clear statement of nonconformity, a reference to the version of the Statement of Applicability, and, where
applicable, any useful comparison with the results of previous certification audits of the client organization.
Completed questionnaires, checklists, observations, logs, or auditor notes might form an integral part of the
audit report. If these methods are used, these documents shall be submitted to the certification body as
evidence to support the certification decision. Information about the samples evaluated during the audit should
be included in the audit report, or in other certification documentation.
The report shall consider the adequacy of the internal organization and procedures adopted by the client
organization to give confidence in the ISMS.
In addition to the requirements for reporting in ISO/IEC 17021:2006, Clause 9.1.10, the report should cover
⎯ the degree of reliance that can be placed on the internal ISMS audits and management reviews;
⎯ a summary of the most important observations, positive as well as negative, regarding the implementation
and effectiveness of the ISMS;
⎯ the audit team’s recommendation as to whether the client organization’s ISMS should be certified or not,
with information to substantiate this recommendation.
9.2 Initial audit and certification
The requirements from ISO/IEC 17021:2006, Clause 9.2 apply. In addition, the following ISMS-specific
requirements and guidance apply.
9.2.1 IS 9.2.1 Audit team competence
The following requirements apply to certification assessment, in addition to the requirements that are listed in
Clause 7.2. For
...

МЕЖДУНАРОДНЫЙ ISO/IEC
СТАНДАРТ 27006
Первое издание
2007-03-01
Информационные технологии. Методы
и средства обеспечения безопасности.
Требования для органов,
обеспечивающих аудит и
сертификацию систем менеджмента
информационной безопасности
Information technology — Security techniques — Requirements for
bodies providing audit and certification of information security
management systems
Ответственность за подготовку русской версии несёт GOST R
(Российская Федерация) в соответствии со статьёй 18.1 Устава ISO
Ссылочный номер
©
ISO/IEC 2007
Отказ от ответственности при работе в PDF
Настоящий файл PDF может содержать интегрированные шрифты. В соответствии с условиями лицензирования, принятыми
фирмой Adobe, этот файл можно распечатать или смотреть на экране, но его нельзя изменить, пока не будет получена
лицензия на интегрированные шрифты и они не будут установлены на компьютере, на котором ведется редактирование. В
случае загрузки настоящего файла заинтересованные стороны принимают на себя ответственность за соблюдение
лицензионных условий фирмы Adobe. Центральный секретариат ISO не несет никакой ответственности в этом отношении.
Adobe – торговый знак фирмы Adobe Systems Incorporated.
Подробности, относящиеся к программным продуктам, использованные для создания настоящего файла PDF, можно найти
в рубрике General Info файла; параметры создания PDF были оптимизиро4ваны для печати. Были приняты во внимание все
меры предосторожности с тем, чтобы обеспечить пригодность настоящего файла для использования комитетами-членами
ISO. В редких случаях возникновения проблемы, связанной со сказанным выше, просьба проинформировать Центральный
секретариат по адресу, приведенному ниже.

ДОКУМЕНТ ЗАЩИЩЕН АВТОРСКИМ ПРАВОМ

© ISO/IEC 2007
Все права сохраняются. Если не указано иное, никакую часть настоящей публикации нельзя копировать или использовать в
какой-либо форме или каким-либо электронным или механическим способом, включая фотокопии и микрофильмы, без
предварительного письменного согласия ISO, которое должно быть получено после запроса о разрешении, направленного по
адресу, приведенному ниже, или в комитет-член ISO в стране запрашивающей стороны.
ISO copyright office
Case postale 56 · CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Опубликовано в Швейцарии
ii © ISO/IEC 2007 – Все права сохраняются

Содержание Страница
Предисловие.v
Введение . vi
1 Область распространения.1
2 Нормативные ссылки.1
3 Термины и определения.1
4 Принципы.2
5 Общие требования.2
5.1 Юридические и договорные вопросы.2
5.2 Менеджмент беспристрастности .2
5.3 Обязательства и финансирование.3
6 Требования к структуре .3
6.1 Структура организации и высшее руководство .3
6.2 Комитет по обеспечению защиты беспристрастности.3
7 Требования к ресурсам.3
7.1 Компетентность руководства и персонала.3
7.2 Персонал, участвующий в деятельности по сертификации.4
7.3 Привлечение отдельных внешних аудиторов и внешних технических экспертов .6
7.4 Записи данных о персонале.6
7.5 Аутсорсинг.6
8 Требования к информации.6
8.1 Общедоступная информация.6
8.2 Документы по сертификации.7
8.3 Список сертифицированных клиентов.7
8.4 Ссылка на сертификацию и использование маркировки .7
8.5 Конфиденциальность .7
8.6 Обмен информацией между органом сертификации и его клиентами.8
9 Требования к процессу.8
9.1 Общие требования.8
9.2 Начальный аудит и сертификация. 12
9.3 Деятельность по надзору. 16
9.4 Повторная сертификация. 17
9.5 Специальные аудиты. 17
9.6 Приостановка, отмена или сокращение сферы действия сертификации. 18
9.7 Апелляции . 18
9.8 Жалобы . 18
9.9 Документы заявителей и клиентов . 18
10 Требования системы менеджмента к органам сертификации. 18
10.1 Варианты . 18
10.2 Вариант 1 —Требования системы менеджмента в соответствии с ISO 9001 . 18
10.3 Вариант 2 — Общие требования системы менеджмента . 19
Приложение А (информативное) Анализ сложности организации-клиента и конкретных для
сектора аспектов. 20
Приложение В (информативное) Примерные области компетентности аудитора . 23
Приложение С (информативное) Продолжительность аудита . 25
Приложение D (информативное) Руководство по анализу реализованных мер управления
из Приложения А ISO/IEC 27001:2005 . 31
© ISO/IEC 2007 – Все права сохраняются iii

Предисловие
Международная организация по стандартизации (ISO) и Международная электротехническая комиссия
(IEC) формируют специализированную систему по мировой стандартизации. Национальные
организации, являющиеся членами ISO или IEC, принимают участие в разработке международных
стандартов через технические комитеты, созданные соответствующей организацией для рассмотрения
вопросов конкретных сфер технической деятельности. Технические комитеты ISO и IEC сотрудничают
в сферах, представляющих взаимный интерес. Другие международные организации, государственные
и негосударственные, взаимодействующие с ISO и IEC, тоже принимают участие в работе. В сфере
информационной технологии ISO и IEC создали совместный технический комитет ISO/IEC JTC 1.
Международные стандарты составляются в соответствии с правилами, приведенными в Директивах
ISO/IEC, Часть 2.
Основной задачей Совместного Технического комитета является подготовка международных
стандартов. Проекты международных стандартов, принятые Техническими комитетами,
распространяются среди орга-низаций-членов для голосования. Публикация в качестве
международного стандарта требует одобрения, по крайней мере, 75 % организаций-членов,
принимающих участие в голосовании.
Следует обратить внимание на возможность того, что некоторые элементы данного документа могут
быть объектом патентного права. ISO не должна нести ответственность за установление любого или
всех таких патентных прав.
ISO/IEC 27006 был подготовлен Совместным Техническим комитетом ISO/IEC JTC 1,
Информационные технологии, Подкомитетом SC 27, Методы и средства обеспечения безопасности.
iv © ISO/IEC 2007 – Все права сохраняются

Введение
ISO/IEC 17021 — это международный стандарт, содержащий критерии для органов, осуществляющих
аудит и сертификацию систем менеджмента организаций. Если эти органы должны быть
аккредитованы как соответствующие ISO/IEC 17021 с целью проведения аудита и сертификации
систем менеджмента информационной безопасности (СМИБ) в соответствии с ISO/IEC 27001:2005, то
необходимы дополнительные требования и руководства к ISO/IEC 17021. Они представлены в
настоящем международном стандарте.
Текст настоящего международного стандарта повторяет структуру ISO/IEC 17021, а дополнительные
требования, характерные для СМИБ, и руководство по применению ISO/IEC 17021 для сертификации
СМИБ обозначаются аббревиатурой "ИБ".
Термин "должен" используется в этом международном стандарте для указания тех условий, которые,
отражая требования ISO/IEC 17021 и ISO/IEC 27001, являются обязательными. Термин "должен"
используется для обозначения условий, которые, хотя и являются руководством по применению этих
требований, предполагается, что будут приняты органом сертификации.
Цель настоящего международного стандарта — дать возможность органам аккредитации более
эффективно согласовывать применение ими стандартов, в отношении которых они обязаны оценивать
органы сертификации. В этом контексте любое отклонение органа сертификации от руководства
является исключением. Такие отклонения будут разрешены только на основе рассмотрения каждого
случая по отдельности, после того как орган сертификации докажет органу аккредитации, что это
исключение удовлетворяет каким-то эквивалентным образом пункт соответствующих требований
ISO/IEC 17021, ISO/IEC 27001 и настоящего международного стандарта.
ПРИМЕЧАНИЕ В данном международном стандарте термины "система менеджмента" и "система"
используются, заменяя друг друга. Определение системы менеджмента можно найти в ISO/IEC 9000:2005.
Систему менеджмента, использующуюся в этом международном стандарте, не следует путать с другими типами
системы, такими как системы информационных технологий.
© ISO/IEC 2007 – Все права сохраняются v

МЕЖДУНАРОДНЫЙ СТАНДАРТ ISO/IEC 27006:2007(R)

Информационные технологии. Методы и средства
обеспечения безопасности. Требования к органам,
осуществляющим аудит и сертификацию систем
менеджмента информационной безопасности
1 Область распространения
В настоящем стандарте устанавливаются требования и дополнительно к требованиям, содержащимся
в ISO/IEC 17021 и ISO/IEC 27001, дается руководство для органов, осуществляющих аудит и
сертификацию СМИБ. Главным образом он предназначен для поддержки аккредитации органов
сертификации, осуществляющих сертификацию СМИБ.
Любой орган, осуществляющий сертификацию СМИБ, должен предъявлять требования, содержащиеся
в настоящем стандарте на основе компетентности и надёжности, а в руководстве предоставляется
дополнительное разъяснение этих требований к органу, осуществляющему сертификацию СМИБ.
ПРИМЕЧАНИЕ Настоящий стандарт может использоваться в качестве документа, содержащего критерии для
аккредитации, экспертной оценки или других процессов аудита.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
ISO/IEC 17021:2006, Оценка соответствия. Требования для органов, обеспечивающих аудит и
сертификацию систем менеджмента
ISO/IEC 27001:2005, Информационная технология. Методы и средства обеспечения безопасности.
Системы менеджмента информационной безопасности. Требования
ISO/IEC 19011:2002, Руководящие указания по аудиту систем менеджмента качества и/или систем
экологического менеджмента
3 Термины и определения
В настоящем стандарте применены термины по ISO/IEC 17021, ISO/IEC 27001, а также следующие
термины с соответствующими определениями.
3.1
сертификат
certificate
документ, выданный органом сертификации, в соответствии с условиями его аккредитации и имеющий
подтверждение аккредитации.
3.2
орган сертификации
certification body
третья сторона, оценивающая и сертифицирующая СМИБ организации-клиента на соответствие
действующим стандартам СМИБ и любой дополнительной документации, устанавливаемый в
соответствии с требованиями системы
© ISO/IEC 2007 – Все права сохраняются 1

3.3
документ сертификации
certification document
документ, указывающий, что СМИБ организации-клиента соответствует стандартам СМИБ и
дополнительной документации, требуемой в соответствии с этой системой
3.4
маркировка
mark
юридически зарегистрированный фирменный знак или защищенным образом символ, который
выпускается по правилам органа аккредитации или органа сертификации, указывающий на то, что
орган достаточно уверен в системах или, что соответствующие продукты или субъекты отвечают
требованиям определенного стандарта
3.5
организация
organization
государственная или частная компания, корпорация, фирма, предприятие, управление или учреждение
или их часть, или их комбинация, имеющая собственные функции и администрацию, и способная
обеспечить информационную безопасность.
4 Принципы
Применяются принципы ISO/IEC 17021:2006, Раздел 4.
5 Общие требования
5.1 Юридические и договорные вопросы
Применяются требования ISO/IEC 17021:2006, 5.1.
5.2 Менеджмент беспристрастности
Применяются требования ISO/IEC 17021:2006, 5.2. Кроме того, применяются следующие, конкретные
для СМИБ, требования и положения
5.2.1 ИБ 5.2 Конфликты интересов
Органы сертификации могут выполнять следующие обязанности, не рассматривая их как консультации
или имеющие потенциальный конфликт интересов:
a) сертификацию, включая информационные совещания, совещания по планированию, изучение
документов, проведение аудита (не внутренних аудитов СМИБ или внутренних проверок
безопасности) и последующую деятельность в отношении несоответствий;
b) организацию курсов обучения и участие в них в качестве преподавателя при условии, что если эти
курсы связаны с менеджментом информационной безопасности, взаимосвязанными системами
менеджмента или с проведением аудита, то органам сертификации необходимо ограничиваться
предоставлением общей информации и рекомендациями, являющимися легко доступными для
всеобщего достояния, т.е. они не должны предоставлять консультацию конкретной компании,
которая противоречит требованиям с), ниже;
c) предоставление или публикацию по запросу информации, описывающей интерпретацию органом
сертификации требований стандартов по сертификации аудита;
d) проведение мероприятий, осуществляющихся до проведения аудита, направленные
исключительно на определение готовности к сертификационному аудиту; однако подобные
действия не должны приводить к предоставлению рекомендаций или консультации,
2 © ISO/IEC 2007 – Все права сохраняются

противоречащих этому пункту, и орган сертификации должен суметь подтвердить, что подобные
действия не противоречат этим требованиям, и не используются для оправдания возможной
продолжительности сертификационного аудита;
e) проведение аудитов второй и третьей стороны в соответствии со стандартами или положениями
кроме тех, которые являются частью области действия аккредитации;
f) увеличение значимости во время сертификационных аудитов и посещений в рамках надзора,
например, путём определения возможностей для улучшения, которые становятся очевидными в
процессе аудита без рекомендации конкретных решений.
Орган сертификации должен быть независим от органа или органов (включая любых лиц),
осуществляющих внутренний аудит подлежащей сертификации СМИБ организации-клиента.
5.3 Обязательства и финансирование
Применяются требования ISO/IEC 17021:2006, 5.3.
6 Требования к структуре
6.1 Структура организации и высшее руководство
Применяются требования ISO/IEC 17021:2006, 6.1.
6.2 Комитет по обеспечению защиты беспристрастности
Применяются требования ISO/IEC 17021:2006, 6.2.
7 Требования к ресурсам
7.1 Компетентность руководства и персонала
Применяются требования ISO/IEC 17021:2006, 7.1. Кроме того, применяются следующие, характерные
для СМИБ, требования и руководство.
7.1.1 ИБ 7.1 Компетентность руководства
Основные элементы компетентности, требующиеся для проведения сертификации СМИБ, должны
выбирать, обеспечивать и стоять во главе тех индивидуальных лиц, чьи навыки и общая
компетентность подходят для осуществления аудита и решения вопросов, связанных с
информационной безопасностью.
7.1.1.1 Анализ компетентности и проверка договора
Орган сертификации должен обеспечивать уверенность в том, что он обладает знанием
технологических и правовых вопросов, относящихся к СМИБ организации-клиента, которую он
оценивает.
Орган сертификации должен обладать эффективной системой для анализа компетентности в сфере
менеджмента информационной безопасности, которую ему нужно поддерживать доступной по
отношению ко всем техническим сферам, в которых он действует.
Для каждого клиента орган сертификации должен быть способен продемонстрировать осуществление
анализа и компетентности (оценка навыков в ответ на оцененные потребности) в отношении
требований каждого уместного сектора до осуществления проверки договора. Затем орган
сертификации должен осуществить проверку договора с организацией-клиентом, основываясь на
результатах анализа компетентности. В частности, орган сертификации должен быть способен
© ISO/IEC 2007 – Все права сохраняются 3

продемонстрировать, что он обладает компетентностью для выполнения следующих видов
деятельности:
a) понимание сфер деятельности организации-клиента и связанных с ними бизнес-рисков;
b) определение компетентности, необходимой органу сертификации для осуществления
сертификации в отношении определенной деятельности, связанной с информационной
безопасностью, угрозами активов, уязвимостями и влияниями на организацию-клиента;
c) подтверждение наличия требуемой компетентности.
7.1.1.2 Ресурсы
Руководство органа сертификации должно располагать необходимыми процессами и ресурсами для
определения компетентности отдельных аудиторов в отношении решения задач, которые они должны
выполнить в области сертификации, в которой они действуют. Компетентность аудиторов можно
повысить путем повышения квалификации, специальной полготовки и инструктажа (см. также
Приложение В). Орган сертификации должен быть способен эффективно поддерживать связь с
клиентами, которым он предоставляет услуги.
7.2 Персонал, участвующий в деятельности по сертификации
Применяются требования ISO/IEC 17021:2006, 7.2. Кроме того, применяются следующие, характерные
для СМИБ, требования и положения.
7.2.1 ИБ 7.2 Компетентность персонала органа сертификации
Органы сертификации должны иметь персонал, обладающий компетентностью в вопросах:
a) выбора и проверки компетентности аудиторов СМИБ для групп аудита, предназначенных для
проведения аудита;
b) инструктажа аудиторов СМИБ и организации любого необходимого обучения;
c) принятия решения о разрешении, поддержке, отмене, приостановке, продлении или сокращении
сроков действия сертификации;
d) организации работы, связанной с апелляциями и жалобами.
7.2.1.1 Обучение аудиторских групп
У органа сертификации должны быть критерии обучения аудиторских групп, обеспечивающие:
a) знание стандарта, относящегося к СМИБ, и других уместных нормативных документов;
b) понимание обеспечения информационной безопасности;
c) понимание оценки риска и менеджмента риска, исходя из перспективы бизнеса;
d) техническое знание деятельности, подлежащей аудиту;
e) общее знание регулирующих требований, имеющих отношение к СМИБ;
f) знание систем менеджмента;
g) понимание принципов аудита, основанных на ISO 19011;
h) знание проверки эффективности СМИБ и измерения эффективности средств контроля.
4 © ISO/IEC 2007 – Все права сохраняются

Эти требования к обучению применяются ко всем членам аудиторской группы за исключением
требований (d), которые можно распределить между членами аудиторской группы.
7.2.1.1.1 При выборе аудиторской группы, которая будет назначена для конкретного
сертификационного аудита, орган сертификации должен обеспечить, чтобы навыки, представленные
для каждого задания, были соответствующими. Группа должна:
a) обладать соответствующими техническими знаниями по конкретной деятельности в области
действия СМИБ, для которой проводится сертификация и, если необходимо, с взаимосвязанными
процедурами и их потенциальными рисками информационной безопасности (эту функцию могут
выполнять технические эксперты, не являющиеся аудиторами);
b) обладать достаточным уровнем понимания работы организации-клиента для проведения
надежного аудита сертификации ее СМИБ в вопросе менеджмента, связанного с аспектами
информационной безопасности ее деятельности, продуктов и услуг;
c) обладать соответствующим пониманием регулирующих требований, применяемых к СМИБ
организации-клиента.
7.2.1.1.2 При необходимости аудиторская группа может дополняться техническими экспертами,
которые могут продемонстрировать специальные знания в области технологии, подлежащей аудиту.
Необходимо отметить, что технических экспертов нельзя использовать вместо аудиторов СМИБ, но
они могут консультировать аудиторов по вопросам технической адекватности в контексте системы
менеджмента, подвергающейся аудиту. У органа по сертификации должна быть процедура по:
a) выбору аудиторов и технических экспертов на основе их компетентности, обучения, квалификации
и опыта;
b) первоначальной оценке поведения аудиторов и технических экспертов во время проведения
аудитов сертификации и последующего мониторинга деятельности аудиторов и технических
экспертов.
7.2.1.2 Менеджмент процесса принятия решений
Управленческая функция должна подразумевать наличие технической компетентности для управления
процессом принятия решений относительно разрешения, поддержки, продления, сокращения,
приостановки и отмены в сертификации СМИБ по требованиям ISO/IEC 27001.
7.2.1.3 Необходимые уровни образования, профессионального опыта, аудиторского
обучения и аудиторского опыта для аудиторов, проводящих аудиты СМИБ
7.2.1.3.1 Приведенные ниже критерии должны применяться к каждому аудитору из аудиторской
группы, осуществляющей аудит СМИБ. Аудитор должен:
a) иметь среднее образование;
b) иметь, по крайней мере, четырехлетний опыт практической работы в режиме полной занятости в
сфере информационной технологии, из которой, по крайней мере, два года [аудитор] должен
выполнять роль или функцию, связанную с информационной безопасностью;
c) успешно завершить пятидневное обучение, сфера которого охватывает аудиты СМИБ, и
менеджмент аудитов должен считаться соответствующим;
d) приобрести опыт, касающийся всего процесса оценки информационной безопасности, до принятия
на себя ответственности за деятельность в качестве аудитора. Этот опыт должен быть
приобретен посредством участия, как минимум, в четырех сертификационных аудитах общей
продолжительностью, по крайней мере, двадцать дней, включая проверку документации и анализ
риска, оценку реализации и составление отчета о результатах аудита;
© ISO/IEC 2007 – Все права сохраняются 5

e) обладать достаточно современным опытом;
f) быть способным представить сложные операции в широкой перспективе и понимать роль
отдельных подразделений в больших организациях-клиентах;
g) поддерживать свои знания и навыки в сфере информационной безопасности и аудита на
современном уровне путем постоянного повышения профессионального уровня.
Технические эксперты должны соответствовать критериям (a), (b), (e) и (f).
7.2.1.3.2 В дополнении к требованиям из 7.2.1.3.1 начальники групп аудита должны удовлетворять
следующим требованиям, которые должны быть продемонстрированы в аудитах под руководством и
наблюдением:
a) обладать знаниями и характерными чертами для управления процессом аудита сертификации;
b) быть аудитором, по крайней мере, в трёх полных аудитах СМИБ;
c) продемонстрировать способность эффективно общаться и в письменной, и в устной форме.
7.3 Привлечение отдельных внешних аудиторов и внешних технических экспертов
Применяются требования ISO/IEC 17021:2006, 7.3. Кроме того, применяются следующие, конкретные
для СМИБ, требования и положения.
7.3.1 ИБ 7.3 Привлечение внешних аудиторов или внешних технических экспертов в качестве
членов аудиторской группы
При привлечении внешних аудиторов или внешних технических экспертов в качестве членов
аудиторской группы, орган сертификации должен гарантировать, что они компетентны и не
вовлекаются ни напрямую, ни через своего работодателя в проектирование, внедрение или
обслуживание СМИБ или связанной с ней системой (системами) управления таким образом, что это
могло бы скомпрометировать беспристрастность.
7.3.1.1 Привлечение технических экспертов
Технические эксперты со специальными знаниями, касающимися процесса и проблем
информационной безопасности, а также законодательства, затрагивающей организацию-клиента, но
не удовлетворяющие всем критериям 7.2, могут быть членами группы аудита. Технические эксперты
должны работать под наблюдением аудитора.
7.4 Записи данных о персонале
Применяются требования ISO/IEC 17021:2006, 7.4.
7.5 Аутсорсинг
Применяются требования ISO/IEC 17021:2006, 7.5.
8 Требования к информации
8.1 Общедоступная информация
Применяются требования ISO/IEC 17021:2006, 8.1. Кроме того, применяются следующие, конкретные
для СМИБ, требования и положения.
6 © ISO/IEC 2007 – Все права сохраняются

8.1.1 ИБ 8.1 Процедуры разрешения, поддержания, продления, сокращения, приостановления
и отказа в сертификации
Орган сертификации должен потребовать от организации-клиента наличия документально
оформленной и внедренной СМИБ, которая соответствует ISO/IEC 27001 и другим документам,
необходимым для сертификации.
У органа сертификации должны быть документально подтверждённые процедуры для:
a) начального сертификационного аудита СМИБ организации-клиента в соответствии с положениями
ISO 19011, ISO/IEC 17021 и другими необходимыми документами;
b) надзора и повторных сертификационных аудитов СМИБ организации-клиента в соответствии с
ISO 19011 и ISO/IEC 17021 на периодической основе для непрерывного соответствия
релевантным требованиям, а также для подтверждения и записи, что организация-клиент
своевременно предпринимает корректирующие действия по исправлению всех несоответствий.
8.2 Документы по сертификации
Применяются требования ISO/IEC 17021:2006, 8.2. Кроме того, применяются следующие, конкретные
для СМИБ, требования и положения.
8.2.1 ИБ 8.2 Документы по сертификации СМИБ
Орган сертификации должен предоставить каждой из своих организаций-клиентов, чья СМИБ
сертифицируется, документы по сертификации, такие как: письмо или сертификат, подписанный
уполномоченным должностным лицом. Для организации-клиента и каждой из его сертифицирующихся
информационных систем эти документы должны определять область действия сертификации и
ISO/IEC 27001 по СМИБ, по которому эта СМИБ сертифицируется. Кроме того, в сертификате должна
быть ссылка на определённую версию заявления (утверждения) о применимости.
8.3 Список сертифицированных клиентов
Применяются требования ISO/IEC 17021:2006, 8.3.
8.4 Ссылка на сертификацию и использование маркировки
Применяются требования ISO/IEC 17021:2006, 8.4. Кроме того, применяются следующие, конкретные
для СМИБ, требования и положения.
8.4.1 ИБ 8.4 Контроль за маркировками сертификации
Орган сертификации должен установить надлежащий контроль за правом собственности,
использованием и отражением своих сертификационных знаков СМИБ. Если орган сертификации даёт
право использовать знак для обозначения сертификации СМИБ, то он должен быть уверен, что
организация-клиент использует специальный знак только так, как санкционировано в письменном
разрешении органа сертификации. Орган сертификации не дает право организации-клиенту
использовать этот знак на продукте или таким способом, что он может интерпретироваться в качестве
обозначения соответствия продукта требованиям.
8.5 Конфиденциальность
Применяются требования ISO/IEC 17021:2006, 8.5. Кроме того, применяются следующие, конкретные
для СМИБ, требования и положения.
© ISO/IEC 2007 – Все права сохраняются 7

8.5.1 ИБ 8.5 Доступ к документам организации
До проведения сертификационного аудита орган сертификации должен попросить организацию-
клиента сообщить о том, что какие-то документы СМИБ не могут быть доступными для проверки
аудиторской группе, т.к. они содержат конфиденциальную или секретную информацию. Орган
сертификации должен определить, может ли быть адекватно проведён аудит СМИБ при отсутствии
этих документов. Если орган сертификации приходит к выводу, что невозможно адекватно провести
аудит СМИБ без проверки определенных конфиденциальных или секретных документов, он должен
предупредить организацию-клиента, что сертификационный аудит не может иметь место до тех пор,
пока не будет обеспечен доступ к ним.
8.6 Обмен информацией между органом сертификации и его клиентами
Применяются требования ISO/IEC 17021:2006, 8.6.
9 Требования к процессу
9.1 Общие требования
Применяются требования ISO/IEC 17021:2006, 9.1. Кроме того, применяются следующие, конкретные
для СМИБ, требования и положения.
9.1.1 ИБ 9.1.1 Общие требования к аудиту СМИБ
9.1.1.1 Критерии аудита сертификации
Критерии, по которым осуществляется аудит СМИБ организации-клиента, должны быть те, которые
приняты в стандарте ISO/IEC 27001 по СМИБ и других документах, требующихся для сертификации,
относящихся к выполняемой функции. Если требуется объяснение, как применять эти документы к
специальной программе сертификации, то подобное объяснение должно даваться соответствующей
беспристрастной комиссией или лицами, обладающими необходимой технической компетентностью, и
опубликовываться органом по сертификации.
9.1.1.2 Политики и процедуры
Документация органа по сертификации должна включать политику и процедуры осуществления
процесса сертификации, включая проверки использования и применения документов, применяемых
при сертификации систем СМИБ, а также процедуры проведения аудита и сертифицирования СМИБ
организации-клиента.
9.1.1.3 Аудиторская группа
Аудиторская группа должна официально назначаться и обеспечиваться соответствующими рабочими
документами. План и время аудита должны согласовываться с организацией-клиентом. Мандат,
данный аудиторской группе, должен быть четко определен и понятен организации-клиенту и должен
требовать от аудиторской группы проверки структуры, политики и процедур организации-клиента, а
также подтверждения того, что они [структуры, политики и процедуры] отвечают всем требованиям,
относящимся к области действия сертификации и, что указанные процедуры выполняются и можно
быть уверенным в СМИБ организации-клиента.
9.1.2 ИБ 9.1.2 Область действия сертификации
Аудиторская группа должна проверить СМИБ организации-клиента, охватывая определенную область
действия по отношению ко всем применяемым требованиям сертификации. Орган сертификации
должен гарантировать, что область действия и границы СМИБ организации-клиента чётко определены
на основе характеристик бизнеса, организации, ее расположения, активов и технологии. Орган
сертификации должен подтвердить, что в области действия СМИБ организации-клиенты выполняют
требования, изложенные в ISO/IEC 27001:2005, 1.2.
8 © ISO/IEC 2007 – Все права сохраняются

Органы сертификации должны гарантировать, что оценка риска информационной безопасности и
обработка риска организации-клиенты надлежащим образом отражают свою деятельность и
распространяют границы ее деятельности, как определено в стандарте ISO/IEC 27001 по СМИБ.
Органы сертификации должны подтвердить, что это отражается в области действия их СМИБ и
заявлении о применимости организации-клиента.
Органы сертификации должны гарантировать, что взаимодействие с услугами или видами
деятельности, которые не полностью включены в сферу действия СМИБ, было рассмотрено в
подвергающейся сертификации СМИБ и включено в оценку риска информационной безопасности
организации-клиента. Пример подобной ситуации — совместное использование средств (например,
системы ИТ, базы данных и системы телекоммуникации) с другими организациями.
9.1.3 ИБ 9.1.3 Время аудита
Органы сертификации должны предоставлять аудиторам достаточное время для осуществления всех
действий, связанных с первоначальным аудитом, надзором или повторным сертификационным
аудитом. Время должно базироваться на таких факторах как:
a) размер СМИБ (например, количество используемых информационных систем, количество
сотрудников);
b) сложность СМИБ (например, критичность информационных систем, ситуация риска СМИБ), см.
также Приложение А;
c) вид(ы) деловой деятельности, осуществляемой в области действия СМИБ;
d) уровень и разнообразие технологии, использованной при внедрении различных компонентов
СМИБ (таких как, внедрённые средства контроля, документация и/или контроль процесса,
корректирующие/превентивные действия и т.д.);
e) количество узлов сети;
f) ранее продемонстрированное функционирование СМИБ;
g) объём аутсорсинга и мероприятия третьей стороны, использованные в масштабе СМИБ;
h) стандарты и положения, применяющиеся к сертификации.
В Приложении С представлено руководство по продолжительности аудита. Орган сертификации
должен быть готов обосновать или объяснить продолжительность времени, затраченное на
первоначальный аудит, надзорные аудиты или повторный сертификационный аудит.
9.1.4 ИБ 9.1.4 Множественные объекты (площадки)
9.1.4.1 Решения по выборке объектов (площадок) в области сертификации СМИБ, являются более
сложными, чем те же самые решения в системах управления качеством. Там, где организация-клиент
имеет количество объектов сертификации, удовлетворяющее критериям от а) до с), органы
сертификации могут использовать основанный на выборке подход к сертификационному аудиту
многочисленных объектов:
a) все объекты работают в рамках одной и той же СМИБ, которая централизованно
администрируется, проверяется аудитом и подлежит проверке центрального управления;
b) все объекты включаются в программу внутреннего аудита СМИБ организации-клиента;
c) все объекты включаются в программу проверки менеджмента СМИБ организации-клиента.
9.1.4.2 У органа сертификации, желающего использовать подход, основанный на выборке, должны
быть процедуры для гарантии следующего:
© ISO/IEC 2007 – Все права сохраняются 9

a) начальная проверка договора доопределяет в максимально возможной степени разницу между
объектами так, чтобы определялся адекватный уровень выборки;
b) орган сертификации выбирает показательное число объектов, принимая во внимание:
1) результаты внутренних аудитов главного офиса и объектов;
2) результаты проверки менеджмента;
3) разброс в размерах объектов;
4) вариации бизнес-целей объектов;
5) сложность СМИБ;
6) сложность информационных систем в различных объектах сети;
7) разницу в рабочих навыках;
8) разницу в предпринятых действиях;
9) потенциальное взаимодействие с критическими информационными системами или
информационными системами обработки секретной информации;
10) любые отличающиеся юридические требования;
c) показательная выборка осуществляется из всех объекты в масштабе СМИБ организации клиента;
этот выбор должен основываться на поверхностном выборе, чтобы отразить факторы,
представленные в (b), а также элемент случайности;
d) каждый включённый в СМИБ объект, который подвергается значительным рискам, проверяется
органом сертификации до проведения сертификации;
e) программа надзора, созданная в свете вышеизложенных требований, охватывает все объекты
организации-клиента или объекты, входящие в область действия сертификации СМИБ;
f) в случае наблюдения несоответствия в главном офисе или в одном из объектов, применяется
корректирующее действие по отношению к главному офису и всем объектам сети, охваченным
сертификатом.
Аудит, описанный в ИБ 9.1.5 должен учитывать действия главного офиса организации-клиента, чтобы
гарантировать, что единая СМИБ обеспечивает центральное управление на оперативном уровне.
Аудит должен учитывать все вышеописанные спорные вопросы.
9.1.5 ИБ 9.1.5 Методология аудита
У органа сертификации должны быть процедуры, требующие от организации-клиента способности
продемонстрировать, что внутренние аудиты СМИБ распланированы, и что программа и процедуры
являются действующими и это может быть показано.
Процедуры органа сертификации не должны предполагать особого способа освоения СМИБ или
особого формата для документации и записей. Процедуры сертификации должны концентрироваться
на установлении того, что СМИБ организации-клиента удовлетворяет требованиям стандарта
ISO/IEC 27001, политикам и целям организации-клиента.
План аудита должен определять методы аудита с помощью сетей, которые используют при
необходимости во время аудита.
10 © ISO/IEC 2007 – Все права сохраняются

ПРИМЕЧАНИЕ Сетевые методы аудита могут включать, например, телеконференции, Интернет-совещания,
интерактивную связь на базе Интернет-технологий и удаленный электронный доступ к документации СМИБ и/или
процессам СМИБ. Необходимо, чтобы эти методы уделяли главное внимание повышению эффективности и
продуктивности аудита, а также поддерживали целостность процесса аудита.
9.1.6 ИБ 9.1.6 Отчет по сертификационному аудиту
9.1.6.1 Орган сертификации может проводить процедуры, связанные с составлением отчетов,
которые соответствуют его потребностям, но эти процедуры должны гарантировать что:
a) имеет место встреча аудиторских групп и руководства организации-клиента до предоставления
исходных условий организацией-клиентом, при которых аудиторская группа обеспечивает:
1) письменное или устное указание по соответствию СМИБ организации-клиента отдельным
требованиям сертификации;
2) возможность для организации-клиента задавать вопросы о полученных данных и их
основании;
b) аудиторская группа предоставляет органу сертификации отчёт о результатах аудита в отношении
соответствия СМИБ организации-клиента всем требованиям сертификации.
9.1.6.2 В отчете о результатах аудита должна быть представлена следующая информация:
a) причина аудита, включая краткое изложение анализа документов;
b) причина аудита сертификации анализа степени риска информационной безопасности
организации-клиента;
c) общее время, затраченное на аудит и подробное описание времени, затраченное на анализ
документов, оценку анализа рисков, аудит на местах и составление отчетов о результатах аудита;
d) вопросы аудита, основная причина их выбора и примененная методология.
9.1.6.3 Отчет о результатах аудита, представленный органу сертификации, должен быть
достаточно подробным для облегчения и обоснования решения о сертификации и должен содержать:
a) области, охваченные аудитом (например, требования сертификации и проверенные объекты),
включая значительные контрольные и использованные методологии аудита (см. ИБ 9.1.5);
b) сделанные наблюдения как положительного (например, особенности, заслуживающие внимания),
так и отрицательного (например, потенциальные несоответствия) характера;
c) детали выявленных несоответствий, подтверждённые объективными данными, и отношение этих
несоответствий к требованиям стандарта ISO/IEC 27001 по СМИБ или другим документам,
требуемым для сертификации;
d) комментарии о соответствии СМИБ организации-клиента требованиям сертификации с четким
утверждением о несоответствии, ссылку на версию утверждения о применимости, и в случаях
когда применяется, любое полезное сравнение с результатами предыдущих аудитов
сертификации организации-клиента.
Заполненные опросные листы, контрольные вопросы, наблюдения, журналы регистрации или
замечания аудитора могут сформировать составляющую часть отчета о результатах аудита. Эти
документы должны подаваться в орган сертификации в качестве доказательства для поддержки
решения о сертификации. Информация о выборках, оцененных во время аудита, должна быть
включена в отчет о результатах аудита или в другую документацию по сертификации.
© ISO/IEC 2007 – Все права сохраняются 11

В отчете должна рассматриваться адекватность внутренней структуры и процедур, принятых
организацией-клиентом для придания уверенности в СМИБ.
В дополнении к требованиям, предъявляемым по составлению отчетов ISO/IEC 17021:2006, 9.1.10,
отчет должен содержать:
¾ степень доверия внутренним аудитам СМИБ и проверкам со стороны руководства;
¾ краткое изложение самых важных наблюдений, как положительного, так и отрицательного,
характера касающихся внедрения и результативности СМИБ;
¾ рекомендацию аудиторской группы в отношении того, следует ли сертифицировать СМИБ
организации-клиента или нет, с информацией для обоснования этой рекомендации.
9.2 Начальный аудит и сертификация
Применяются требования ISO/IEC 17021:2006, 9.2. Кроме того, применяются следующие, конкретные
для СМИБ, требования и положения.
9.2.1 ИБ 9.2.1 Компетентность аудиторской группы
Приведенные ниже требования применяются к сертификационной оценке в дополнение к требованиям,
перечисленным в 7.2. Для действий по надзору применяются только те требования, которые имеют
отношение к запланированной деятельности по надзору.
Ко всей аудиторской группе применяются следующие требования:
a) в каждой из рассмотренных областей, по крайне мере, один член аудиторской группы должен
удовлетворять критериям органа сертификации, чтобы взять на себя ответственность в группе:
1) опыт руководства группой;
2) знание системы менеджмента и процессов, применяемых в СМИБ;
3) знание законодательных и нормативных требований в отдельной области информационной
безопасности;
4) идентификация угроз информационной безопасности и тенденций инцидентов;
5) идентификация уязвимостей организации-клиента и понимание вероятности их
использования, их влияния, ум
...