Op 1 maart 2024 is de herziene versie van ISO/IEC 27006 gepubliceerd: ISO/IEC 27006-1:2024. Deze norm bevat de eisen waaraan certificeringsinstanties en auditors moeten voldoen bij het auditen en certificeren van informatiebeveiligingsmanagementsystemen (ISMS). Maar wat betekent deze verandering concreet voor uw organisatie en auditors?
De belangrijkste wijzigingen in het kort:
Remote audits kunnen tot 100% plaatsvinden en moeten expliciet worden vermeld in certificaten en rapportages.
- De berekening van audittijd is aangepast en kan invloed hebben op de certificeringskosten en planning.
- ISO/IEC 27006-1:2024 en de impact op certificering en audits
- Remote audits en digitalisering Scope-uitbreidingen en multisite-audits vereisen een nieuwe aanpak voor tijdsberekening en documentatie, hier over nemen wij contact met u op.
- Certificeringsprocedures mogen geen specifieke implementatie van een ISMS afdwingen, en de vereisten voor het verwijzingen naar andere normen zijn verduidelijkt.
- Kwalificatie-eisen voor auditors zijn gewijzigd; o.a. de eis van vier jaar werkervaring is vervallen.
ISO/IEC 27006-1:2024 en de impact op certificering en audits
Remote audits en digitalisering
Wanneer een organisatie geen fysieke locatie heeft, wordt dit expliciet vermeld op het certificaat. Audits kunnen volledig op afstand worden uitgevoerd, mits goed gedocumenteerd in auditrapporten. Hierin moet worden vastgelegd welke remote auditmethoden zijn gebruikt, hoe effectief deze waren en welke tools, zoals Microsoft Teams of Google Meet, zijn ingezet. Voor auditors betekent dit een verdere digitalisering van het auditproces, waarbij nieuwe methoden voor het verzamelen en beoordelen van bewijslast toegepast worden. Auditors moeten deze veranderingen meenemen in hun auditplanning en zorgen voor een correcte toepassing van de nieuwe methode.
Nieuwe methode voor audittijdberekening
De berekening van de audittijd is aangepast met een nieuwe methode om het ‘effectieve aantal mensen’ te bepalen. Bij organisaties waar medewerkers identieke taken uitvoeren, kan het aantal berekende medewerkers worden gereduceerd. Voor multisite-organisaties wordt de totale audittijd nu gebaseerd op het totale personeelsbestand, met enkele uitzonderingen.
Scope-uitbreidingen
Bij een scope-uitbreiding wordt de audittijd nu bepaald op basis van factoren zoals het aantal locaties, informatiebeveiligingsrisico’s en betrokken medewerkers. Auditors spelen hierin een cruciale rol bij het opstellen van auditplannen en het correct vastleggen van de toegepaste methodes.
Multisite-audits
Reducties in de audittijd voor multisite-audits zijn toegestaan, mits goed onderbouwd en gedocumenteerd. Auditors moeten zorgvuldig bepalen hoe de audittijd over verschillende locaties wordt verdeeld en dit goed vastleggen in de auditrapporten.
Wijzigingen in certificeringsprocedures
Certificeringsprocedures mogen geen specifieke ISMS-implementaties of vaste formats voor documentatie vereisen. Een organisatie kan gecertificeerd worden voor ISO/IEC 27001 zonder dat de controles uit Annex A van ISO/IEC 27001:2022 noodzakelijk zijn. Daarnaast zijn de verwijzingen naar andere normen in certificeringsdocumenten verduidelijkt. Auditors moeten zich hiervan bewust zijn en hun beoordelingen hierop aanpassen.
Aangepaste kwalificatie-eisen voor auditors
De eis van vier jaar werkervaring voor ISMS-auditors is geschrapt. Dit betekent dat auditors zich continu moeten door ontwikkelen en op de hoogte moeten blijven van de nieuwste auditmethodieken en eisen.
Wat betekent dit voor uw organisatie en audits?
De wijzigingen in ISO/IEC 27006-1:2024 kunnen de uitvoering en planning van audits beïnvloeden. Remote audits kunnen nu volledig worden toegepast, wat flexibiliteit biedt, maar ook nieuwe eisen stelt aan rapportages. De berekening van audittijd verandert, wat mogelijk invloed heeft op de certificeringskosten en contracten met NCI Certificering . Auditors moeten hun methodes en rapportageprocedures herzien en zich aanpassen aan de gewijzigde normen.
Overgangsperiode en planning
Certificeringsinstanties (CI’s) moeten uiterlijk op 31 maart 2026 hun accreditatie voor certificering volgens de nieuwe versie hebben verkregen. Dit betekent dat zij vanaf dat moment niet langer certificeren tegen ISO/IEC 27006:2015/Amd 1:2020.
Daarnaast moeten CI’s uiterlijk 24 maanden na publicatie de transitie van hun klanten naar ISO/IEC 27006-1:2024 hebben afgerond. Certificaathouders kunnen tot 31 maart 2026 gecertificeerd blijven tegen de oude versie van de norm, maar na deze datum is certificering uitsluitend mogelijk volgens de nieuwe norm.
Meer weten?
Bent u benieuwd hoe deze veranderingen uw organisatie of audits beïnvloeden of wilt u meer weten over informatiebeveiliging, ISO 27001 en de mogelijkheden die NCI Certificering kan bieden? Neem dan contact met ons op via info@nci-certificering.nl of bel direct naar 0181-301130.