В ноябре 2011 года вышла новая версия стандарта ISO/IEC 27006:2011 - Информационные технологии. Методы обеспечения безопасности. Требования к органам, проводящим аудит и сертификацию систем менеджмента информационной безопасности.

Данная информация будет полезна, прежде всего, для органов по сертификации, консультационных компаний и независимых консультантов.

Стандарт ISO/IEC 27006:2011 вышел взамен стандарту ISO/IEC 27006:2007.

ISO/IEC 27006 является изданным стандартом ISO/IEC, который служит для сертификационных органов для формализации процесса аудита систем менеджмента информационной безопасности. Его основное предназначение – создание требований для адекватности, прослеживаемости и независимости аудита систем менеджмента информационной безопасности, построенных в соответствии с требованиями международного стандарта ISO/IEC 27001.

ISO/IEC 27006 определяет требования к органам по сертификации в дополнение к требованиям, содержавшихся в стандартах ISO/IEC 17021, ISO 19011 и ISO/IEC 27001.

Выполнение требований стандарта ISO/IEC 27006 является обязательным для получения аккредитации органом по сертификации. Стандарт ISO/IEC 27006 включает в себя и заменяет более старое руководство EA7/03 для процессов аккредитации.

Данный стандарт, только от части, может быть полезен компаниям, проводящим работы по внедрению и поддержке систем менеджмента информационной безопасности. Изучая данный стандарт, компании могут получить понимание процесса сертификации со стороны органа по сертификации. Также, стандарт ISO/IEC 27006 может помочь в выборе адекватного органа по сертификации и знания процесса сертификации. Применять же требования данного стандарта для сертифицирующихся компаний не имеет смысла, т.к. в нем заложены жесткие требования именно для органов по сертификации.