Nieuwe versie Informatiebeveiligingsmanagementsystemen
ISO/IEC 27006-1:2024
Op 1 maart 2024 is de nieuwe versie van de ISO/IEC 27006, de ISO/IEC 27006-1:2024 ‘’Information security, cybersecurity and privacy protection – Requirements for bodies providing audit and certification of information security management systems – Part 1: General’’ gepubliceerd.
Het International Accreditation Forum (IAF) beschrijft in MD 29 ’’Transition Requirements for ISO/IEC 27006-1:2024’’ de overgangsregeling voor deze nieuwe versie. De transitie naar deze nieuwe versie van de norm is relevant voor geaccrediteerde certificerende instellingen (CI’s) voor de ISO/IEC 27001
Belangrijkste data uit de MD29:
- Voor 31 maart 2026 moeten de CI’s geaccrediteerd zijn. Dat wil zeggen dat CI’s 24 maanden na publicatie hun accreditatie voor certificatie tegen deze nieuwe versie moeten hebben verkregen.
- CI’s moeten uiterlijk 24 maanden na publicatie de transitie van hun klanten naar de ISO/IEC 27006-1:2024 hebben afgerond. De certificaathouders kunnen uiterlijk tot 31 maart 2026 tegen de oude versie van de norm zijn gecertificeerd.
- Zodra de CI’s geaccrediteerd zijn voor de ISO/IEC 27006-1:2024 mogen zij geen initiële of her certificatie-audits uitvoeren, waarbij zij gebruik maken van de ISO/IEC 27006:2015/Amd 1:2020.
Aanvraag tot uitbreiding noodzakelijk
Een accreditatie voor de ISO/IEC 27001 wordt verstrekt volgens ISO/IEC 27006. Op basis van IAF MD 29 is de werkwijze van de RvA voor de CI’s die geaccrediteerd zijn voor de ISO/IEC 27001 en die over willen naar de ISO/IEC 27006-1:2024 als volgt: zij kunnen vanaf nu een uitbreiding van de accreditatie aanvragen voor ISO/IEC 27006-1:2024. De aanvraag kan op de gebruikelijke manier via de contactpersoon bij de RvA worden ingediend. Alleen complete aanvragen zullen geaccepteerd worden.
Bij de uitbreidingsaanvraag verstrekt de CI, naast het ondertekende aanvraag formulier (F105 + F006-2);
- het verslag van de interne audit over deze transitie naar de nieuwe norm;
- een management review over de transitie naar de nieuwe norm;
- een gap analyse van de wijzigingen in ISO/IEC 27006-1:2024 ten opzichte van de vorige versie;
- een plan van aanpak voor de transitie op basis van de gap analyse, waarbij invulling wordt gegeven aan de eisen uit de MD 29;
- de wijze en inhoud van de informatieverstrekking door de CI aan haar klanten over de wijzigingen;
- informatie waaruit blijkt dat auditoren en besluitnemers zijn getraind voor de nieuwe norm en hoe dit in het managementsysteem is geborgd.
Simultaan besluit
De uitbreidingsaanvragen die voor 1 oktober 2024 zijn aangeleverd bij en geaccepteerd door de RvA, zullen in een simultaan traject worden beoordeeld. Er is gekozen voor een simultaan besluit om het speelveld voor de geaccrediteerde certificerende instellingen zo gelijk mogelijk te houden.
- Voor de CI’s waar geen afwijking(en) worden vastgesteld in dit onderzoek, wordt op 4 december 2024 een simultaan besluit genomen.
- De CI’s waar wel afwijkingen worden vastgesteld, krijgen de gelegenheid om corrigerende maatregelen te nemen. Voor deze CI’s zal het simultaan besluit op 2 april 2025 genomen worden.
- Voor CI’s die hun aanvraag voor de uitbreiding met ISO/IEC 27006-1:2024 na 1 oktober 2024 indienen en dus niet meedoen aan het simultaan besluit, zal het besluit pas na 2 april 2025 worden genomen.
De beoordeling zal op basis van documenten plaatsvinden en de omvang hebben van minimaal 8 uur ongeacht of het in het simultaan traject of in aanvulling op de reguliere beoordeling of als losse uitbreiding wordt ingediend.
Aanpassen scopes van accreditatie
Op de scope van accreditatie zal de versie van ISO/IEC 27006:2015/Amd-1:2020 vermeld worden, zodat duidelijk is dat de CI voor deze versie geaccrediteerd is. Na het behalen van accreditatie voor ISO/IEC 27006-1:2024 zal op de scope van accreditatie beide versies van de norm worden vermeld. Daarbij wordt bij de ISO/IEC 27006: 2015/Amd-1:2020 vermeld dat de accreditatie verstrekt volgens deze norm geldig is tot 1 april 2026.
Nog niet geaccrediteerd voor ISO 27001?
Certificerende Instellingen die nu nog niet geaccrediteerd zijn voor ISO/IEC 27001 kunnen op de gebruikelijke wijze uitbreiding aanvragen van hun scope van accreditatie. De beoordeling zal bestaan uit een documenten beoordeling, kantoorbeoordeling en de bijwoning van een fase 1 en fase 2 ISMS audit (zie SAP C010).
De RvA accepteert vanaf 1 april 2025 geen nieuwe aanvragen meer voor accreditatie voor de ISO/IEC 27001, die worden verstrekt volgens de ISO/IEC 27006:2015/Amd-1:2020.