ISO/IEC 27006:2011 轉換之認證要求
ISO/IEC 27006:2011標準(資訊技術-安全技術-資訊安全管理系統稽核及驗證機構之規定) 已於2011年12月1日公布,相較於前一版次ISO/IEC 27006:2007而言,主要修改內容係為配合ISO/IEC 17021:2011年2月1日之改版,以及標準內容中許多原以 "須(should)" 列為建議事項者,改為 "應(shall)"列為強制要求。
本標準內容遵循ISO/IEC 17021:2011的結構,且將有關ISMS驗證所採用之ISO/IEC 17021:2011 ISMS專用規定及指引,標示為"IS",屬於對資訊安全管理(Information Security Management System,簡稱ISMS)稽核及驗證機構另指定之要求並提供指引,主要目的在支援對ISMS驗證機構之認證作業。本會於2012年5月將此標準轉訂為資訊安全管理系統驗證機構認證規範(TAF-CBA-ICC-01),做為認證評鑑之依據。
國際認證論壇(IAF)決議ISO/IEC 27006:2011之轉換期為自新標準公告後18個月,亦即轉換至2013年5月31日屆期。本會配合ISO/IEC 17021:2011改版之規劃,原已將ISO/IEC 27006:2011改版納入考量,故針對ISO/IEC 27006:2011之小幅改版,於2013年1月24日發布認證作業通報(編號24),說明ISO/IEC 27006:2011轉換期相關規定,本通報內容概述如下:
| No | 內容規定 | |
|---|---|---|
| 1 | 新申請案 | 初次認證申請案自2013年起,應以ISO/IEC 27006:2011提出申請。 |
| 2 | 符合承諾 | 已認證之ISMS驗證機構應於2013年5月31日前來函承諾符合ISO/IEC 27006:2011,本會依據驗證機構來函換發符合ISO/IEC 27006:2011之認證證書。 |
| 3 | 轉換計畫 | 已認證之ISMS驗證機構應訂定轉換計畫及執行計畫內容,並於2013年5月31日前完成轉換。轉換計畫建議包含轉換期程、相關人員之訓練計畫、驗證文件之轉換修訂、其他配合標準要求之事項等內容。 |
| 4 | 認證證書 | 已認證之ISMS驗證機構應於2013年5月31日前,取得本會以ISO/IEC 27006:2011所核發之認證證書。ISO/IEC 27006:2007之認證證書自2013年6月1日起廢止。 |
| 5 | 評鑑作業 | 本會2013年之例行評鑑活動,以總部評鑑時本會認證證書所記載之內容辦理追查或重評。(若尚未換發新證書時,以ISO/IEC 27006:2007執行,若已換發新證書時,以ISO/IEC 27006:2011執行) |
| 6 | 其他事項 | 若國際組織有相關規定時,將依其內容辦理。 |
本會配合國際認證規範之轉換期要求,訂定相關轉換規定,後續並持續將最新訊息及認證要求,傳達通知本會申請中及已認證之驗證機構,以協助驗證機構符合新版認證規範要求,並確保持續與國際認證規範發展同步。
