ΧΡΟΝΟΔΙΑΓΡΑΜΜΑ ΕΝΕΡΓΕΙΩΝ ΓΙΑ ΤΗ ΜΕΤΑΒΑΣΗ ΤΗΣ ΔΙΑΠΙΣΤΕΥΣΗΣ ΤΩΝ ΦΟΡΕΩΝ ΠΙΣΤΟΠΟΙΗΣΗΣ ΣΥΣΤΗΜΑΤΩΝ ΤΗΣ ΑΣΦΑΛΕΙΑΣ ΠΛΗΡΟΦΟΡΙΩΝ ΣΤΙΣ ΑΠΑΙΤΗΣΕΙΣ ΤΟΥ ISO/ΙEC 27006:2015

To Πρότυπο ISO/IEC 27006:2015 «Information technology –Security techniques — Requirements for bodies providing audit and certification of information

security management systems» δημοσιεύτηκε από τον Διεθνή Οργανισμό Τυποποίησης (ISO) την 1η Οκτωβρίου 2015 σε συνέχεια της αναθεώρησης της προηγούμενης έκδοσής του, ISO/IEC 27006:2011. Σύμφωνα με σχετική απόφαση της Γενικής Συνέλευσης του Διεθνούς Φόρουμ για τη Διαπίστευση (Ιnternational Αccreditation Forum – IAF), προβλέπεται διετής μεταβατική περίοδος για την προσαρμογή στις απαιτήσεις του ISO/ΙΕC 27006:2015 από την ημερομηνία έκδοσής της με καταληκτική ημερομηνία για την ολοκλήρωση της μετάβασης την 1η Οκτωβρίου 2017.

Το Ε.ΣΥ.Δ., ως πλήρες μέλος της ΕΑ και της IAF, είναι υποχρεωμένο να υιοθετήσει την περίοδο μετάβασης των δύο (2) ετών για την πλήρη εφαρμογή της ISO/IEC 27006:2015. Κατόπιν τούτου, καθίσταται σαφές ότι, προκειμένου να διατηρηθεί σε ισχύ η διαπίστευση των φορέων πιστοποίησης συστημάτων διαχείρισης της ασφάλειας πληροφοριών, θα πρέπει να έχει ολοκληρωθεί η διαδικασία αξιολόγησής τους ως προς την προσαρμογή τους στις απαιτήσεις της αναθεωρημένης έκδοσης της ISO/IEC 27006 και να έχει εκδοθεί το επικαιροποιημένο ως προς την αναφορά στην ISO/IEC 27006:2015 ΕΠΕΔ τους, μέχρι την 1η Οκτωβρίου 2017. Σε αντίθετη περίπτωση, η υφιστάμενη διαπίστευση ως φορείς πιστοποίησης συστημάτων διαχείρισης της ασφάλειας πληροφοριών θα ανασταλεί στις 1.10.2017 και έως την επιτυχή ολοκλήρωση της αξιολόγησης μετάβασης.

Προκειμένου να διασφαλιστεί η ομαλή μετάβαση από την παλαιά στη νέα έκδοση της τεχνικής προδιαγραφής, το Ε.ΣΥ.Δ. αποφάσισε τα κάτωθι:

Α.  Οι φορείς πιστοποίησης που είναι ήδη διαπιστευμένοι πρέπει άμεσα να προβούν στις σχετικές αλλαγές/τροποποιήσεις του Συστήματος Διαχείρισης Ποιότητας που εφαρμόζουν στο πλαίσιο της συμμόρφωσης με τις απαιτήσεις της αναθεωρημένης έκδοσης της τεχνικής προδιαγραφής. Η επιβεβαίωση της υλοποίησης και εφαρμογής των αλλαγών θα πραγματοποιείται κατά τις προγραμματισμένες επιτηρήσεις του Ε.ΣΥ.Δ. Έκτακτες αξιολογήσεις με σκοπό την μετάβαση στις απαιτήσεις της ISO/IEC 27006:2015 δεν προβλέπεται να πραγματοποιηθούν, εκτός εάν ζητηθεί εγγράφως από κάποιον ενδιαφερόμενο φορέα πιστοποίησης. Σημειώνεται, επίσης, ότι για την έναρξη της διαδικασίας αξιολόγησης για τη μετάβαση των διαπιστευμένων φορέων πιστοποίησης στις απαιτήσεις της ISO/IEC 27006:2015, δεν απαιτείται η υποβολή σχετικής αίτησης διαπίστευσης στο Ε.ΣΥ.Δ.

Β.   Χρονοδιάγραμμα εφαρμογής:

  1. Το Ε.ΣΥ.Δ. δέχεται πλέον αιτήσεις (αρχικές και επέκτασης) αποκλειστικά σύμφωνα με την αναθεωρημένη έκδοση του ISO/IEC 27006:2015.
  2. Οι ήδη διαπιστευμένοι φορείς πιστοποίησης υποχρεούνται να υποβάλλουν στο Ε.ΣΥ.Δ. γραπτό ενημερωτικό σημείωμα για το πλάνο προσαρμογής τους στις απαιτήσεις του ISO/IEC 27006:2015 καθώς και την κατάλληλα προσαρμοσμένη τεκμηρίωσή τους το αργότερο μέχρι την 30.10.2016.
  3. Πλέον οι προσεχείς αξιολογήσεις των διαπιστευμένων και υπό διαπίστευση φορέων πιστοποίησης συστημάτων διαχείρισης της ασφάλειας πληροφοριών προγραμματίζεται να διενεργηθούν σύμφωνα με τη νέα έκδοση του ISO/IEC 27006:2015, λαμβάνοντας υπόψη το βαθμό ετοιμότητας των υπό αξιολόγηση φορέων. Επισημαίνεται ότι η αξιολόγηση της προσαρμογής των φορέων πιστοποίησης στις απαιτήσεις του ISO/IEC 27006:2015 θα περιλαμβάνει:

α.   την αξιολόγηση της τεκμηρίωσης του συστήματος διαχείρισης ποιότητας και των σχετικών αρχείων εφαρμογής στα κεντρικά γραφεία του αξιολογούμενου φορέα πιστοποίησης, και

β.   τη διενέργεια μίας επιτόπιας αξιολόγησης όπως αυτή θα προσδιορίζεται στο πλάνο επιτόπιων αξιολογήσεων της τρέχουσας αρχικής αξιολόγησης, επιτήρησης ή επαναξιολόγησης, κατά περίπτωση, του υπό αξιολόγηση φορέα πιστοποίησης. Επισημαίνεται ότι οι επιτόπιες αξιολογήσεις θα πρέπει να πραγματοποιηθούν κατόπιν διενέργειας της αξιολόγησης στα κεντρικά γραφεία του φορέα πιστοποίησης.

  1. Ως ημερομηνία παύσης έκδοσης από το Ε.ΣΥ.Δ. Επίσημων Πεδίων Εφαρμογής της Διαπίστευσης (αρχικών διαπιστεύσεων και επεκτάσεων διαπίστευσης) σύμφωνα με την παλαιά έκδοση ISO/IEC 27006:2011 καθορίζεται η 1.10.2016.

Αναζήτηση