Având în vedere publicarea standardului SR EN ISO/IEC 27006-1:2024 – Securitatea informațiilor, securitatea cibernetică și protecția vieții private. Cerințe pentru organismele care furnizează servicii de auditare și certificare a sistemelor de management al securității informației. Partea 1: Generalități și a documentului obligatoriu IAF MD 29:2024 – Transition Requirements for ISO/IEC 27006-1:2024, vă comunicăm următoarele:
- RENAR va face public pe site-ul www.renar.ro, Mapa de documente informative utilizată pentru acreditare organismelor care efectuează audit și certificare a sistemelor de management al securității informației conform SR EN ISO/CEI 17021-1:2015, SR EN ISO/IEC 27006-1:2024, până la data de 31.12.2024.
- Organismele care desfășoară servicii de audit și certificare a sistemelor de management al securității informației acreditate pot solicita tranziția la SR EN ISO/IEC 27006-1:2024 începând cu data de 31.12.2024.
Solicitarea de tranziție se depune în scris (formular netipizat), fără a plăti tarif de inițiere și va fi însoțită de:
- Analiza GAP întocmită de OEC cu privire la schimbările aduse de SR EN ISO/IEC 27006-1:2024;
- Planul de tranziție/implementare a cerințelor SR EN ISO/IEC 27006-1:2024;
- Documentele sistemului de management revizuite ca urmare a implementării prevederilor SR EN ISO/IEC 27006-1:2024 și IAF MD 29:2024;
- Icirc;nregistrări referitoare la reautorizarea personalului;
- Raport de audit intern cu privire la implementarea acestor prevederi.
- Organismele care desfășoară servicii de audit și certificare a sistemelor de management al securității informației pot solicita acreditarea inițială față de SR EN ISO/IEC 17021-1:2015, SR EN ISO/IEC 27006-1:2024 și SR EN ISO/IEC 27001:2023 începând cu data de 31.12.2024.
- Evaluarea documentelor transmise de OEC se va face la sediul RENAR. În cazul în care rezultatul evaluării documentelor revizuite de OEC pentru efectuarea tranziției nu demonstrează conformarea cu cerințele pentru tranziție, atunci RENAR poate decide efectuarea unei evaluări suplimentare la sediul acestuia.
- Evaluarea implementării de către OEC a prevederilor SR EN ISO/IEC 27006-1:2024 și a IAF MD 29:2024, inclusiv procesul de reevaluare a personalului implicat în procesul de audit și certificare a sistemelor de management al securității informației se va efectua de regulă în cadrul evaluărilor de supraveghere planificate sau în cadrul unei evaluării extraordinare cu durata de minim 1 zi.
- În cazul în care sunt identificate neconformități, se aplică politica P-16 – Politica privind tratarea neconformităților constatate la evaluarea OEC.
- Începând cu 31.03.2025, RENAR va utiliza SR EN ISO/IEC 27006-1:2024 pentru toate evaluările efectuate pentru acreditări inițiale sau extinderi.
- RENAR va lua decizia privind tranziția la SR EN ISO/IEC 27006-1:2024 numai după evaluarea implementării de către OEC a prevederilor SR EN ISO/IEC 27006-1:2024 și a IAF MD 29:2024, inclusiv a procesului de reevaluare a personalului implicat în procesul de audit și certificare a sistemelor de management al securității informației.
- Termenul de finalizare a tranziției la SR EN ISO/IEC 27006-1:2024 pentru OEC acreditate este 31.03.2026
- Pentru organismele care desfășoară servicii de audit și certificare a sistemelor de management al securității informației care au efectuat cu succes tranziția la noile cerințe, RENAR actualizează certificatele de acreditare.
- Anexele certificatelor de acreditare emise de RENAR în conformitate cu SR EN ISO/IEC 27006:2020 rămân valabile până la termenul de finalizare a tranziției stabilit pentru OEC, respectiv 31.03.2026.
- Termenul de la care un organism de certificare acreditat trebuie să efectueze servicii de audit și certificare inițială sau recertificare a sistemelor de management al securității informației numai în conformitate cu SR EN ISO/IEC 27006-1:2024 este 31.03.2026.