國際認證論壇(IAF) 對ISO/IEC 27006:2011 之轉換期間與相關規定
國際標準組織(ISO) 已於2011 年12 月1 日,正式修正公布ISO/IEC 27006:2011「資訊技術- 安全技術-資訊安全管理系統稽核與驗證機構之要求」,配合本項國際標準之公布,本會已將其轉換為本會資訊安全管理系統驗證機構之認證規範,並已公告於本會網站中。
ISO/IEC 27006:2011 之修正,主要是配合ISO/IEC 17021:2011 版之發行。而將其中引用舊版ISO/IEC 17021:2006 之條文內容,變更為引用ISO/IEC 17021:2011;同時亦微幅修正舊版不適之處,例如刪除舊版中建議稽核人員登錄機構為IRCA 等。整體而言,新舊版之實質要求並無太大差異。
國際認證論壇(IAF) 對ISO/IEC 27006:2011 之發行,將依循ISO/IEC 17021:2011 之模式,對驗證機構訂定轉換之相關規定,目前轉換期規劃為1.5 年。轉換期間之相關工作內容,包含驗證機構對新版國際標準之了解、訂定轉換計畫、人員訓練及評估符合新版國際標準等。
目前國際認證論壇(IAF) 對ISO/IEC 27006:2011 之轉換規定仍在草案階段,預定會在本(2012) 年10月IAF 年會中正式討論通過。建議國內之資訊安全管理系統驗證機構可參考轉換ISO/IEC 17021:2011的經驗,儘早準備ISO/IEC 27006:2011 轉換工作。