第55期

ISO/IEC 27006-1資訊安全管理系統認證規範係針對資訊安全管理系統(ISMS)驗證機構明定要求並提供指引，其主要目的旨在除ISO/IEC 17021-1規範內容外，額外對ISMS驗證機構之認證要求。資訊安全管理系統為具有高度技術且風險高之認證技術領域，因應國家法規要求及現今資訊安全管理系統之重要性，經本會認證之驗證機構於執行資訊安全管理系統之驗證時，必須基於相關技術專業為國內資訊安全把關，此為本會建立認證信賴之基礎，且每一個環節都攸關國內資通安全環境之健全及保障，亦突顯本項標準之重要性。

ISO/IEC 27006於2015年改版後，2020年微幅修訂部份條款內容，於2024年3月發布ISO/IEC 27006-1:2024版本，詳細內容可參照本會發布之「資訊安全管理系統驗證機構認證規範(ISO/IEC 27006-1:2024)」規範文件。主要修訂重點如下：

• 增加遠端稽核之要求。
• 更新稽核時間計算要求。
• 刪除ISMS稽核員資格之量化要求。
• 更新ISO/IEC 27001:2022附錄A控制項的審查指引。
• 新增定義如何確定ISMS初始人數的要求與執行某些相同活動人員之概念。

國際認證論壇(International Accreditation Forum)於2024年5月21日發布「IAF MD 29:2024 - TRANSITION REQUIREMENTS FOR ISO/IEC 27006-1:2024」強制文件，規範認證機構及驗證機構之轉換期程，驗證機構應於標準公告後2年(2026年3月31日)，符合ISO/IEC 27006-1:2024標準之要求。

本篇將介紹ISO/IEC 27006:2015 與 ISO/IEC 27006-1:2024之間的摘要變更，並說明依據IAF決議之轉版重要時程，包含對認證機構、驗證機構及組織於2026年3月31日轉版屆期前之各項時程及配合之行動要求。

本會因應IAF訂定之轉換期程，於2024年4月8日發布認證作業通報70，針對驗證機構轉換訂定相關做法和規定﹕

1. 本會已認證及申請中之資訊安全管理系統(ISMS)驗證機構，應於ISO/IEC 27006-1:2024標準公告後2年(2026年3月31日)，符合ISO/IEC 27006-1:2024標準之要求。
2. 自2025年1月1日起，已獲本會認證之資訊安全管理系統驗證機構應以異動方式於本會資訊系統向本會提出轉版申請，並一併提供轉版計畫與附件:轉版差異自評表，本會依提出之轉版計畫規劃安排辦理相關評鑑作業。
3. 轉版評鑑作業以總部評鑑為原則，採額外至少2人天評鑑方式辦理。
4. 完成前述總部評鑑及所列查核事項，並確認驗證機構之不符合報告改善完成，經審議通過者，即換發以ISO/IEC 27006-1:2024為認證依據之認證證書。

有關認證規範改版內容及IAF轉版之要求及期限，本會已於驗證機構座談會向本會申請中及已認可之驗證機構說明，且適時向驗證機構調查各項標準轉版之進度，以期認證機構、驗證機構及組織都能於轉版期程內完成相關轉版，符合市場需求，創造更高的認證價值。