ВАЖНА ИНФОРМАЦИЯ ЗА ОРГАНИ ЗА СЕРТИФИКАЦИЯ НА СИСТЕМИ ЗА УПРАВЛЕНИЕ (ОССУ) ЗА ОБХВАТ СЕРТИФИКАЦИЯ НА СИСТЕМИ ЗА УПРАВЛЕНИЕ НА СИГУРНОСТТА НА ИНФОРМАЦИЯТА (СУСИ) И КАНДИДАТИТЕ ЗА АКРЕДИТАЦИЯ

Информация за подхода на ИА БСА за оценката на въвеждане на изискванията на ISO/IEC 27006:2015/AMD 1:2020

Информация за подхода на ИА БСА за оценката на въвеждане на изискванията на ISO/IEC 27006:2015/AMD 1:2020

 

1. Въведение                                   

На 27.03.2020г. на страницата на ISO e публикуван стандарт ISO/IEC 27006:2015/ AMD 1:2020 Information technology — Security techniques — Requirements for bodies providing audit and certification of information security management systems – Amendment 1.

Стандартът ISO/IEC 27006:2015/AMD 1:2020 изменя някой от изискванията на ISO/IEC 27006:2015.

Генералната Асамблея, действайки по препоръка на Техническия комитет е определила  двугодишен преходен период за прилагане на промените към ISO/IEC 27006:2015, въведени с ISO/IEC 27006:2015/AMD 1:2020 от датата на публикуването му, т.е. до 27.03.2022.

Необходимо е  органите за сертификация да въведат промените в системите си за управление и процесите си и да демонстрират съответствието си с изискванията за акредитация в указаните от IAF срокове.

С настоящата информация ИА БСА представя подход за оценка на промените, който ще използва, за да се даде възможност на всеки орган по сертификация извършващ сертификация на СУСИ, да демонстрира съответствието си с изискванията на промените в ISO/IEC 27006:2015 въведени с ISO/IEC 27006:2015/ AMD 1:2020 в рамките на определеният от IAF срок.

2. Подход на ИА БСА за оценката на въвеждане на изискванията на ISO/IEC 27006:2015/ AMD 1:2020

2.1 Общи положения

След 05.11.2020г. ИА БСА ще приема заявления за акредитация, преакредитация и разширяване на обхвата на акредитация на ОССУ за обхват  сертификация на СУСИ само в съответствие с изискванията на стандарт БДС EN ISO/IEC 17021-1: 2015 и ISO/IEC 27006:2015 и въведените промени с ISO/IEC 27006:2015/AMD 1:2020.

Предоставените им сертификати за акредитация съгласно БДС EN ISO/IEC 17021-1:2015 и ISO/IEC 27006:2015 ще останат в сила до края на преходния период, но не по-късно от 27.03.2022г.

След 05.11.2020г. ИА БСА ще извършва оценки на ОССУ за обхват  сертификация на СУСИ само по изискванията на БДС EN ISO/IEC 17021-1:2015 и ISO/IEC 27006:2015 и въведените промени с ISO/IEC 27006:2015/ AMD 1:2020, като при желание от страна на органите за сертификация и при налични ресурси ще се провеждат и по рано оценки за установяване на съответствие с проментие.

След 27.03.2022г. ще бъдат валидни сертификати за акредитация издадени на ОССУ за обхват  сертификация на СУСИ само по БДС EN ISO/IEC 17021-1:2015 и ISO/IEC 27006:2015 и ISO/IEC 27006:2015 AMD 1:2020.

2.2 Представяне на План за действия за въвеждане на промените на ISO/IEC 27006:2015/ AMD 1:2020 от органите за сертификация

От органите за сертификация се изисква да представят анализ на промените и План за действия за преход най-малко два месеца преди тяхната оценка, съглано планираното в последния доклад от оценка BAS QF 2.9.5.4 (17021-1)_Sek F. Тази информация ще бъде използвана за планиране на оценката на промените.

Планът за действие трябва да демонстрира че органът по сертификация:

- е анализирал  и разбрал допълнителните изискванията на ISO/IEC 27006:2015/ AMD 1:2020 и е установил необходимостта от  промени в документирана система за управление, структурата на органа, процеса на сертификация, схемите за сертификация и др.

- е определил изискванията относно компетентността на персонала, планирани са обучения  и др.;

- е определил  действията, които трябва да планира и предприеме за оценка на ефективното прилагане на всички промени, така че да съответства на изискванията на БДС EN ISO/IEC 17021-1:2015, ISO/IEC 27006:2015 и ISO/IEC 27006:2015/AMD 1:2020 (провеждане на вътрешни одити, преглед от ръководството и др.)

Планът трябва да съдържа график и срокове за провеждане на действията, съобразени с планираните оценки за надзор, преакредитация, извънредни оценки и отговорни лица.

 2.3  Процесът на оценка на измененията ще включва следните етапи на оценка:

Офис оценка;

ИА БСА ще извършва оценка на промените по време на планова оценка (надзор или преакредитация), като се спазва реда на Процедурата за акредитация (BAS QR 2) и Инструкцията за определяне на времетраенето на оценката на място. Влияещи фактори (BAS QI 2), като е предвиди допълнително време за оценка на предприетите действия.

При желание от страна на орган по сертификация и при наличие на възможност от страна на ИА БСА ще се провеждат и извънредни по ранни оценки за установяване на съответствие с промените въведени с ISO/IEC 27006:2015/ AMD 1:2020.

Преиздаване на сертификати за акредитация

След установяване, чрез оценка за преход, че акредитираните на ОССУ за обхват  сертификация на СУСИ съответстват на изискванията за акредитация (БДС EN ISO/IEC 17021-1:2015, ISO/IEC 27006:2015 и ISO/IEC 27006:2015/ AMD 1:2020), ИА БСА ще преиздава сертификатите за акредитация с позоваване на изискванията на  ISO/IEC 27006:2015 и ISO/IEC 27006:2015/ AMD 1:2020 със срок на валидност съгласно действащия сертификат за акредитация.

Сертификатите ще бъдат преиздавани само след привеждане на системата за управление на ОССУ за обхват  сертификация на СУСИ в съответствие с изискванията на БДС EN ISO/IEC 17021-1:2015, ISO/IEC 27006:2015 и ISO/IEC 27006:2015/ AMD 1:2020 и при закрити несъответствия, установени по време на оценката за преход, в съответствие с т.4.3.5.2 от Процедурата за акредитация BAS QR 2.

Ако преди края на преходния период, ИА БСА не може да потвърди съответствието на на ОССУ, за обхват сертификация на СУСИ, съгласно изискванията за акредитация по ISO/IEC 27006:2015 и  ISO/IEC 27006:2015/ AMD 1:2020, агенцията ще констатира неизпълнение на изискванията и след края на двугодишния преходен период, ще отнеме предоставената акредитация на на ОССУ за обхват  сертификация на СУСИ.