ISO/IEC 27006 guía para la certificación del SGSI
ISO 27006
ISO 27006 tiene como título oficial «Tecnología de la información -. Técnicas de seguridad Requisitos para los organismos que realizan la auditoría y certificación de sistemas de información de gestión de la seguridad», se compone de 10 capítulos y 4 anexos.
El estándar ISO 27006 responde a una guía para los organismos de certificación en los procesos formales que hay que seguir al auditar SGSI. Los procedimientos descritos en dicha norma dan la garantía de que el certificado emitido de acuerdo a ISO 27001 es válido.
ISO-27006 está pensada para apoyar la acreditación de organismos de certificación que ofrecen la certificación del Sistema de Gestión de Seguridad de la Información. Se encarga de especificar los requisitos y suministrar una guía para la auditoría y la certificación del sistema.
Cualquier organización certificada en ISO27001 debe cumplir también con los requisitos de la norma ISO27006.
El proceso de certificación consiste en auditar el SGSI para el cumplimiento de ISO 27001. Los auditores de certificación solo tienen interés pasajero en los controles reales de seguridad de información que están siendo administrados por el sistema de gestión. Se supone que cualquier empresa con una queja del SGSI es, ha de gestionar sus riesgos de seguridad de información con diligencia.
Esta norma se publicó en 2007 y se revisó en 2011.
La próxima versión es probable que sea diferente debido a los cambios relevantes en las normas en las que se basa.
Los requisitos generales a los que hace referencia son:
- Orientación específica del SGSI en relación con la imparcialidad.
- Listado del trabajo que pudiera estar en conflicto.
- Inclusión de una lista de todas las actividades que se pueden realizar fuera.
La Plataforma Tecnológica ISOTools facilita el seguimiento y el cumplimiento de la auditoría en conjunción con la norma descrita para lograr la certificación del SGSI con ISO 27001 y conducir a la organización hacia el éxito.