ISO/IEC 27006:2015轉版及相關訓練活動
「ISO/IEC 27006:2015資訊技術-安全技術-提供資訊安全管理系統稽核與驗證機構之要求」,ISO國際標準組織已於2015年10月1日正式修訂公布。本次ISO/IEC 27006:2015修訂,主要是因應ISO/IEC 17021-1:2015改版,並同時修改部分屬於資訊安全相關條款。
針對此次ISO/IEC 27006:2015之修訂,國際認證論壇(IAF)已於2015年10月之年會中決議資訊安全管理系統(ISMS)驗證機構之轉換期限為兩年,即2017年10月1日前ISMS驗證機構必須符合ISO/IEC 27006:2015要求
本會已依據IAF之規定,訂定認證作業通報(編號36)規範驗證機構之轉換作業。依據此項作業通報,所有向本會申請認證中與已獲得本會認可之ISMS驗證機構,均應於2017年10月1日前符合ISO/IEC 27006:2015要求與取得認證證書。
為協助ISMS驗證機構及本會ISMS認證評審員能儘速對新版ISO/IEC 27006有所認知,並了解新舊版之差異,本會已將2016年4月IAF期中會議之會議資料「ISO/IEC 27006:2015與ISO/IEC 27006:2011之差異比對」,翻譯提供ISMS驗證機構參考(如附)。此外亦於2016年5月21日上午假臺大醫院國際會議中心舉辦ISO/IEC 27006:2015研討會;當日下午另辦理本會ISMS認證評審員討論會,並以評鑑實務及評鑑案例進行研討。
105年4月IAF舉行期中會議資料:
ISO/IEC 27006:2015與ISO/IE 27006:2011之差異比對
ISO/IEC 27006:2015 | ISO/IE 27006:2011 | Note |
---|---|---|
1範圍 | 1範圍 | |
2引用標準 | 2引用標準 |
|
3名詞及定義 | 3名詞及定義 | 刪除驗證、驗證機構、標誌與組織。 |
4原理 | 4原理 | |
5一般要求 | 5一般要求 | |
5.1法律及合約事務 | 5.1法律及合約事務 | |
5.2公正性之管理 | 5.2公正性之管理 | |
5.2.1 IS 5.2利益衝突 | 5.2.1 IS 5.2利益衝突 | 增加如下用句「驗證機構不應根據驗證提供客戶ISMS內部資訊安全審查。」 |
5.3責任及財務 | 5.3責任及財務 | |
6架構要求 | 6架構要求 | |
7資源要求 | 7資源要求 | |
7.1人員之能力 | ||
7.1.1一般考量 | 7.1.1.1一般能力要求(第一段) | |
7.1.2 IS 7.1.2能力規範的確認 |
|
依據ISO 17021-1:2015附件A,增加稽核員、申請案審查與驗證決定負責人員等詳細能力要求。 |
7.2參與驗證活動人員 | 7.2參與驗證活動人員 | |
7.2.1 IS 7.2稽核員知識和經驗之展現 |
|
條文7.2.1.1 a),由「具有中等學歷」修改為「具備專業教育或與大學教育同等之訓練」。 |
7.3外部稽核員與外部技術專家之使用 | 7.3外部稽核員與外部技術專家之使用 | |
7.3.1 IS 7.3使用外部稽核員或外部技術專家作為稽核小組的成員 | 7.3.1.1技術專家的使用 | |
7.4人員紀錄 | 7.4人員紀錄 | |
7.5外包 | 7.5外包 | |
8資訊要求 | 8資訊要求 | |
8.1公開的資訊 | 8.1可公開取得的資訊 | 刪除8.1.1 IS 8.1驗證之授與、維持、增列、減列、暫時終止及終止的程序。 |
8.2驗證文件 | 8.2驗證文件 | |
8.2.1 IS 8.2 ISMS驗證文件 | 8.2.1 IS 8.2 ISMS驗證文件 | 增加最後一段,「經鑑別適用之特定標準也可以列入驗證文件。」。 |
8.3驗證之引用及標誌的使用 | 8.4驗證之引用及標誌的使用 | 刪除8.4.1 IS 8.4驗證標誌之管控。 |
8.4機密性 | 8.5機密性 | |
8.4.1 IS 4.5組織記錄的使用 | 8.5.1 IS 8.5組織記錄的使用 | |
8.5驗證機構與其客戶間之資訊交換 | 8.6驗證機構與其客戶間之資訊交換 | |
9流程要求 | 9流程要求 | |
9.1驗證前活動 | ||
9.1.1申請 | 8.1.1 IS 8.1驗證之授與、維持、增列、減列、暫時終止及終止的程序 | |
9.1.2申請審查 | 9.2初次稽核 | |
9.1.3稽核計畫 |
|
|
9.1.4確認稽核時間 | 9.1.3 IS 9.1.3稽核時間 | 增加附件B與附件C。 |
9.1.5多場區抽樣 | 9.1.4 IS 9.1.4多場區 | |
9.1.6多重管理系統 |
|
|
9.2規劃稽核 | ||
9.2.1確認稽核目標、範圍和規範 | 9.2.1.1是新條文。 | |
9.2.2稽核小組的遴選和任務 |
|
|
9.2.3稽核計畫 |
|
|
9.3初次驗證 | ||
9.3.1 IS 9.3.1初次驗證稽核 |
|
|
9.4執行稽核 | ||
9.4.1 IS 9.4一般性 | 8.1.1 IS 8.1驗證之授與、維持、增列、減列、暫時終止及終止的程序(第二至四段) | |
9.4.2 IS 9.4 ISMS稽核的特定要素 | 9.2.3.3 IS 9.2.3.3 ISMS稽核的特定元素 | |
9.4.3 IS 9.4稽核報告 | 9.1.6 IS 9.1.6驗證稽核報告 | |
9.5驗證決定 | ||
9.5.1 IS 9.5驗證決定 | 9.2.5 IS 9.2.5驗證決定(第二、三與五段) | |
9.6維持驗證 | ||
9.6.1一般性 | ||
9.6.2追查活動 | 9.3.1 IS 9.3追查稽核 | |
9.6.3重新驗證 | 9.4.1 IS 9.4重新驗證稽核 | |
9.6.4特別稽核 | 9.5.1 IS 9.5特殊案例 | |
9.6.5暫時終止、終止、或減列驗證範圍 | 9.6暫時終止、終止、或減列驗證範圍 | |
9.7申訴 | 9.7申訴 | |
9.8抱怨 | ||
9.8.1 IS 9.8抱怨 | 9.8.1 IS 9.8抱怨 | 維持第一句與刪除其他內容。 |
9.9客戶記錄 | 9.9申請者及客戶之記錄 | |
10驗證機構之管理系統要求 | ||
10.1選項方式 | 10.1選項方式 | |
10.1.1 IS 10.3 ISMS執行 | 10.3.1 IS 10.3 ISMS執行 | |
10.2選項A:一般管理系統要求 | 10.3選項方式2-一般管理系統要求 | |
10.3選項B:依照ISO 9001管理系統要求 | 10.2選項方式1-依照ISO 9001管理系統要求 | |
附件A (參考性) ISMS稽核與驗證的知識與技能 | 附件B (參考性)稽核員能力領域範例 | |
附件B (規範性)稽核時間 | 附件C (參考性)稽核時間 | 變更為規範性附件,在附件中之部分內容有重要變更。 |
附件C (參考性)稽核時間計算方法 | 新增附件 | |
附件D (參考性)實施ISO/IEC 27001:2013附件A控制項的審查指引 | 附件D(參考性)執行ISO/IEC 27001:2005附件A控制項的審查指引 | 依據ISO/IEC 27001:2013附件A控制項而更新表D.1。 |