IAF MD 29 – Transition der ISO/IEC 27006:2024
Beim IAF MD 29 handelt es sich um die aktuellste Veröffentlichung des IAF mit Auswirkungen auf Zertifizierungsleistungen im Bereich der Informationssicherheit nach der ISO/IEC 27001.
Hintergrund ISO 27006
Bei der ISO/IEC 27006:2024 handelt es sich um den zentralen Standard, welcher Anforderungen an Stellen definiert, die Informationssicherheitsmanagementsysteme auditieren und zertifizieren. Akkreditierungen – wie unsere – werden ausschließlich in Verbindung mit den Anforderungen aus der DIN EN ISO/IEC 27006 erteilt.
Die DIN EN ISO/IEC 27006 definiert dabei insb.
- Allgemeine Anforderungen (bspw. Rechts- und Vertragsfragen),
- Anforderungen an Ressourcen (bspw. die Kompetenzen von Auditoren)
- Anforderungen an Informationen (bspw. Vertraulichkeit)
- Anforderungen an Prozesse (bspw. Planung von Audits, Zertifizierungsentscheidungen)
- Managementsystemanforderungen für Zertifizierungsstellen
Darüber hinaus werden bspw. ebenfalls hinsichtlich der Berechnung des Auditzeitauf-wandes entsprechende Vorgaben definiert, nach denen man sich richten muss.
IAF MD 29 und DIN EN ISO/IEC 27006
IAF MD 29 definiert nun für akkreditierte Zertifizierungsstellen sowie ebenfalls für die Akkreditierungsstellen (wie die DAkkS) entsprechend Vorgaben für die Umstellung der DIN EN ISO/IEC 27006:2021 auf die ISO/IEC 27006:2024. Die ISO/IEC 27006:2024 wurde im Frühjahr 2024 veröffentlicht. Das IAF MD 29 definiert nun eine Transitionszeit von zwei Jahren, in der alle akkreditierten Zertifizierungsstellen durch die jeweilige Akkreditierungsbehörde auf die ISO/IEC 27006:2024 umgestellt werden muss.
Bedeutung der Umstellung
Die Umstellung auf die ISO/IEC 27006:2024 hat für zertifizierte Unternehmen erst einmal keine direkten Auswirkungen, da der Standard Anforderungen an Zertifizierungs- und Akkreditierungsstellen definiert. Zertifizierungsstellen müssen die Änderungen aus der ISO/IEC 27006:2024 entsprechend analysieren und bei sich implementieren bzw. umsetzen. Die konforme Umsetzung dieser Änderungen wird, in unserem Fall, durch die DAkkS auditiert und im Erfolgsfalls bestätigt. Ohne eine Umstellung auf die ISO/IEC 27006:2024 würden wir nach Ende der Transitionszeit unseren Akkreditierungsstatus verlieren.
Prozess der Umstellung
Der Prozess einer solchen Normumstellung ist der folgende:
- Einreichung eines Änderungsantrages bei der DAKkS für Änderung auf die ISO/IEC 27006:2024 Analyse der Änderungen (GAP-Analyse) zwischen ISO/IEC 27006:2024 und vorangegangener Normversion.
- Umstellungsplan mit konkreten Fristen.
- Nachweis der Änderungen an Dokumenten, die durch die Umstellung notwendig wurden.
- Fachbegutachtung durch einen Auditor der DAkkS, in der Regel durch eine Dokumentenprüfung.
- Ggf. Vor-Ort-Begutachtung durch Auditoren der DAkkS in der Geschäftsstelle, sofern die eingereichte Dokumentation nicht ausreicht, um die Umstellung erfolgreich nachzuweisen.
- Bei erfolgreicher Prüfung durch die DAkkS, werden die Ergebnisse in den Akkreditierungsausschuss getragen, wo über die Akkreditierung entschieden wird.
- Bei positiver Entscheidung, wird die Akkreditierungsurkunde geändert. Ab diesem Zeitpunkt dürfen Audits nach der ISO/IEC 27001 in Verbindung mit der ISO/IEC 27006:2024 durchgeführt werden.
Dieser Eintrag trägt keinen Anspruch auf Vollständigkeit aller einzelnen Anforderungen des IAF MD 29. Vielmehr versteht er sich als Zusammenfassung der zentralen Anforderungen – insbesondere aus Kundensicht.