Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
ISO/IEC 27006-1:2024 — ISMS 审核和认证机构要求
提供信息安全管理体系审核和认证的机构的要求
ISO/IEC 27006-1:2024 规定了依据 ISO/IEC 27001 提供信息安全管理体系(ISMS)审核和认证的机构的要求。与 27000 系列中的指南标准(27003、27004、27005、27007)不同,这是一个规范性要求标准——认证机构必须遵守该标准才能获得 ISO/IEC 27001 认证的认可。它取代了 ISO/IEC 27006:2015,并引入了反映 ISO/IEC 27001:2022 变更的重要更新,包括重构的附录 A 控制项、增强的审核员能力要求,以及正式化的远程审核规定。对于寻求认证的组织而言,理解该标准至关重要,因为它决定了认证机构的运作方式以及审核的策划、实施和报告方式。
ISO/IEC 27006-1 不是可选指南。它是寻求或维持 ISO/IEC 27001 认证认可的认证机构的强制性标准。不符合要求可能导致认可资格被撤销,这将使认证机构无法颁发或维持有效的 ISO/IEC 27001 证书。
1. 认证机构的核心要求
该标准围绕 ISO/IEC 17021-1(合格评定)框架构建,并增加了针对信息安全管理体系审核特殊要求的 ISMS 特定补充。关键要求领域为认证机构提供了全面的治理框架:
| 要求领域 | 主要规定 | 对审核员的影响 |
|---|---|---|
| 法律和合同事项 | 认证机构必须是法人实体,协议需明确责任、保密和申诉权利 | 确保审核员在权责明确的清晰法律框架内运作 |
| 能力管理 | 审核员能力标准:27001 知识、风险管理、ISMS 原则、行业专业知识 | 审核员必须通过初始评价和持续监视保持证明的能力 |
| 审核时长 | 基于有效员工数、范围复杂性、场所数量和风险因素规定最低审核人天的详细表格 | 更复杂的组织需要更长的审核;规定了兼职和多班制调整 |
| 多场所抽样 | 在单一认证范围内对多个场所进行抽样的统计和基于风险的规则 | 样本量基于场所总数、同质性和风险评估结果进行限制 |
| 认证决定 | 决定必须由与实施审核的人员不同的人员作出(职责分离) | 确保独立性;审核团队推荐但不授予认证 |
| 监督与再认证 | 最低监督活动要求、年度访问频率和再认证间隔 | 每年至少一次现场监督访问;每 3 年一次全面再认证审核 |
2. ISO/IEC 27006-1:2024 的主要变化
2024 版引入了几个反映自 2015 版以来经验教训并与不断演变的信息安全环境保持一致的重要更新:
- 与 ISO/IEC 27001:2022 对齐:控制结构现引用 27001:2022 附录 A 的 93 个控制项,按 4 个主题(组织、人员、物理、技术)组织,取代了之前的 14 个域 114 个控制项。审核检查表、时长表和能力要求已根据这一结构变化进行了调整。
- 增强的新兴技术能力要求:审核员现在必须展示对云计算、人工智能、物联网/运营技术安全及其相关风险的理解。这反映了传统基于边界的安全模型已不再足够的现代威胁态势。
- 正式化的远程审核规定:2024 版提供了关于实施远程审核活动的结构化指南,包括确定哪些活动可以远程执行的准则、远程评估工具的信息安全要求以及跨境远程审计的数据保护考虑因素。
- 修订的审核时长表:基于积累的行业数据和反馈更新了最低人天计算,对任何与标准时长的偏差进行更严格的审查。系统性减少审核天数作为竞争手段的做法被明确反对。
2024 版的一个关键变化是对审核时长审查的加强。认证机构现在必须正式证明与标准表中规定的最低审核时长的任何偏差的合理性。系统性地将审核天数降低到建议最低标准以下的做法——有时被认证机构用作竞争差异化手段——被明确反对,因为资源不足的审核可能无法发现重大不符合项。
3. 对寻求认证的组织的实际影响
虽然 ISO/IEC 27006-1 是针对认证机构的,但准备进行 ISO/IEC 27001 认证的组织应了解其内容,因为它直接决定了认证审核的策划和实施方式:
- 审核时长规划:了解适用于您组织规模和复杂性的最低审核天数。第一阶段(就绪评审)通常根据范围需要 1-2 天。第二阶段(全面评估)时长取决于有效员工数、范围复杂性、场所数量以及组织是否实行多班制或拥有兼职员工。
- 审核员能力期望:分配给您的审核员应具备相关的行业知识。如果您的组织在医疗、金融、制造或其他专业行业运营,认证机构应指派在该领域具有证明能力的审核员。
- 不符合项分类与解决:严重不符合项(影响 ISMS 实现预期结果的重大失败)必须在授予认证前解决。轻微不符合项(孤立的失误)要求在定义的时间范围内(通常审核后 60-90 天)提供纠正措施计划。
- 认证周期管理:初始认证有效期为 3 年,第 1 年和第 2 年进行强制性监督审核,第 3 年进行全面的再认证审核。监督审核必须至少每年包括现场访问。
主动提示:在选定认证机构之前查阅 ISO/IEC 27006-1 中的审核时长表。如果认证机构提出的审核天数明显少于标准建议的天数,请将此视为危险信号——资源不足的审核可能无法充分覆盖您的 ISMS,可能导致遗漏不符合项,更糟的是,认证可能经不起监管或客户审查。
4. 常见问题解答
问:ISO/IEC 27006-1 和 ISO/IEC 27007 有什么区别?
答:ISO/IEC 27006-1 规定了认证机构(颁发 ISO/IEC 27001 证书的组织)的强制性要求,并规范其运作方式。ISO/IEC 27007 为进行 ISMS 审核的个人提供指南——它是为执行审核工作的审核员编写的,而非为管理认证过程的机构编写的。
答:ISO/IEC 27006-1 规定了认证机构(颁发 ISO/IEC 27001 证书的组织)的强制性要求,并规范其运作方式。ISO/IEC 27007 为进行 ISMS 审核的个人提供指南——它是为执行审核工作的审核员编写的,而非为管理认证过程的机构编写的。
问:ISO/IEC 27006-1:2024 仅适用于 ISMS 认证吗?
答:第 1 部分专门涵盖针对 ISO/IEC 27001 的 ISMS 认证。27006 系列的其他部分(如针对隐私信息管理的 27006-2、针对网络安全的 27006-3)将这些要求扩展到 27000 系列的其他标准。
答:第 1 部分专门涵盖针对 ISO/IEC 27001 的 ISMS 认证。27006 系列的其他部分(如针对隐私信息管理的 27006-2、针对网络安全的 27006-3)将这些要求扩展到 27000 系列的其他标准。
问:小型组织能否根据 ISO/IEC 27006-1 规则获得认证,还是仅适用于大型企业?
答:小型组织完全可以获得认证。审核时长表包括小型组织(1-5 名员工,有限范围)的特定类别。对于非常小的组织,第一阶段和第二阶段审核可以合并为一次访问,在保持全面性的同时减少整体审核负担。
答:小型组织完全可以获得认证。审核时长表包括小型组织(1-5 名员工,有限范围)的特定类别。对于非常小的组织,第一阶段和第二阶段审核可以合并为一次访问,在保持全面性的同时减少整体审核负担。
问:如何验证认证机构是否符合 ISO/IEC 27006-1?
答:检查认证机构是否获得公认的国家认可机构(如英国的 UKAS、美国的 ANAB、德国的 DAkkS、中国的 CNAS)针对您所需的 ISO/IEC 27001 认证特定范围的认可。认可机构在认可过程中验证认证机构是否符合 ISO/IEC 27006-1。
答:检查认证机构是否获得公认的国家认可机构(如英国的 UKAS、美国的 ANAB、德国的 DAkkS、中国的 CNAS)针对您所需的 ISO/IEC 27001 认证特定范围的认可。认可机构在认可过程中验证认证机构是否符合 ISO/IEC 27006-1。
