A Magyar Szabványügyi Testület 2025. február 1-jén közzétette az MSZ EN ISO/IEC 27006-1:2024 Információbiztonság, kiberbiztonság és a magánélet védelme. Információbiztonság-irányítási rendszerek auditját és tanúsítását végző testületekre vonatkozó követelmények. 1. rész: Általános követelmények (ISO/IEC 27006-1:2024) magyar nyelvű változatát.
A szabvány az információbiztonság-irányítási rendszerek (IBIR) auditját és tanúsítását végző testületek számára ír elő követelményeket és nyújt útmutatást, kiegészítve az MSZ EN ISO/IEC 17021-1-ben megadott követelményeket.
A szabványban megadott követelményeket bármely IBIR-tanúsítást végző testületnek a kompetencia és megbízhatóság szempontjából kell bemutatnia. A dokumentumban megadott útmutatás ezen követelmények kiegészítő értelmezését adja az IBIR-tanúsítást végző testületek számára.
A szabvány alkalmazható akkreditációhoz kritériumdokumentumként, felmérésekre és egyéb auditfolyamatokra.
Az előző kiadáshoz képest a főbb változtatások a következők:
|
|
–
|
|
ez a dokumentum egy többrészes sorozat első részévé vált;
|
|
|
–
|
|
a teljes dokumentumot frissítették a távauditok, valamint a kevés lényeges fizikai telephellyel rendelkező vagy azokkal nem rendelkező szervezetek szempontjából;
|
|
|
–
|
|
a C3.4. szakaszban bevezették a bizonyos azonos tevékenységeket végző személyek fogalmát, és számos frissítésre került sor;
|
|
|
–
|
|
ezt a dokumentumot (különösen az E mellékletet) összehangolták az ISO/IEC 27001:2022-vel (MSZ ISO/IEC 27001:2023) és az ISO/IEC 27002:2022-vel (MSZ EN ISO/IEC 27002:2023);
|
|
|
–
|
|
az ISO/IEC 17021-1-gyel (MSZ EN ISO/IEC 17021-1) kapcsolatos redundanciákat eltávolították;
|
|
|
–
|
|
a szövegezést pontosították és jobban hozzáigazították az ISO/IEC 17021-1-hez.
|
Nagy Gábor
2025. február