DigiTrust behaalt bij de RvA accreditatie voor de nieuwe ISO27006.

𝐄𝐯𝐞𝐧 𝐰𝐚𝐭 𝐜𝐨𝐧𝐭𝐞𝐱𝐭
In de ISO17021 norm staan eisen aan de certificerende instellingen (CI’s) die audits en certificeringen uitvoeren m.b.t. managementsystemen. Denk daarbij aan: onpartijdigheid eisen, hoe we de audittijd berekeningen maken, de certificatie audits uitvoeren en competentie eisen voor onze auditoren.
Naast deze norm is er ook de ISO27006. In deze norm staan de aanvullende eisen voor CI’s die auditen en certificeren tegen de ISO27001 norm. Ook is er de NCS7510 en dat is dan weer een aanvullende norm op de ISO27006, voor CI’s die auditen tegen de NEN7510.
De Raad voor Accreditatie beoordeelt de CI’s tegen deze normen en als alles goed is bevonden krijgt de CI de accreditatie voor deze specifieke normen.

In maart 2024 is er een nieuwe versie gepubliceerd van de ISO/IEC 27006-1:2024. De belangrijkste reden van deze herziening is het blijven aansluiten op de nieuwe ISO27001:2023. Om deze nieuwe eisen te mogen toepassen, heeft DigiTrust bij de RvA een scope uitbreiding aangevraagd. Begin december heeft de RvA DigiTrust een positief advies én daarmee het vertrouwen gegeven m.b.t. het mogen toepassen van deze versie van de ISO27006 norm.

Normaal gesproken gaat deze norm over interne DigiTrust procedures, maar er zijn enkele veranderingen waarover ISO27001 gecertificeerde organisaties van op de hoogte moeten zijn.
DigiTrust is transparant en legt uit waarmee je als organisatie rekening mee moet houden;

𝐑𝐞𝐦𝐨𝐭𝐞 𝐚𝐮𝐝𝐢𝐭𝐬
• In het auditplan en het auditrapport zal duidelijk worden vermeld op welke dagen de audit wel of niet remote wordt of is uitgevoerd;
• Het totale percentage van het remote audit gedeelte zal worden vermeld;
• De gebruikte tool (bijvoorbeeld TEAMS) zal worden vermeld in het auditrapport.

𝐅𝐲𝐬𝐢𝐞𝐤𝐞 𝐥𝐨𝐜𝐚𝐭𝐢𝐞𝐬
Indien uw organisatie geen fysieke locaties heeft (iedereen werkt remote), dan zal dit in het auditrapport en op het certificaat worden vermeld.

𝐁𝐢𝐣𝐥𝐚𝐠𝐞 𝐀
Indien u een andere set van beheersmaatregelen heeft toegepast om uw informatiebeveiliging risico’s te mitigeren, dan zal op het certificaat worden vermeld dat de beheersmaatregelen zoals vermeld in de VVT (Verklaring van Toepasselijkheid) alleen worden gebruikt om het opnemen of uitsluiten te vermelden, maar niet voor een conformiteitsbeoordeling.

note; de oranje DigiTrust bloemen ontbreken nog 😀