Важна информация във връзка с подхода на ИА БСА за провеждане на  преход към ISO/IEC 27006-1:2024

Важна информация във връзка с подхода на ИА БСА за провеждане на  преход към ISO/IEC 27006-1:2024 Information security, cybersecurity and privacy protection — Requirements for bodies providing audit and certification of information security management systems — Part 1: General, който отменя и заменя ISO/IEC 27006:2015/Amd 1:2020.

1.  Въведение
На страницата на Международната организация по стандартизация (ISO) през месец март 2024 е публикувана новата версия на стандарта ISO/IEC 27006-1:2024 Information security, cybersecurity and privacy protection — Requirements for bodies providing audit and certification of information security management systems — Part 1: General, който отменя и заменя ISO/IEC 27006:2015/Amd 1:2020. Стандарта е публикуван от БИС, като БДС EN ISO/IEC 27006-1:2024. Той отменя и заменя БДС EN ISO/IEC 27006:2021.
Съгласно  IAF MD 29:2024 преходния период на ISO/IEC 27006-1:2024 е 24 месеца от датата на публикуване на стандарта. 
Необходимо е органите за сертификация да въведат промените в системите си за управление и процесите си и да демонстрират съответствието си с изискванията за акредитация в указаните от IAF срокове. 
С настоящата информация ИА БСА представя подход за оценка на промените, който ще използва, за да се даде възможност на всеки орган за сертификация извършващ сертификация на Системи за управление сигурността на информацията (СУСИ), да демонстрира съответствието си с изискванията на промените в БДС EN ISO/IEC 27006-1:2024 в рамките на определеният от IAF срок. 
2. Подход на ИА БСА за оценката на въвеждане на изискванията на БДС EN ISO/IEC 27006-1:2024. 
2.1 Общи положения
График за дейностите за извършване на прехода от ИА БСА и Органите за сертификация извършващи сертификация на СУБХ съгласно предписанията представени в IAF MD 29:2024 са като следва:

Действия Срок 
ИА БСА
ИА БСА се подготвя да извършва оценяване по БДС EN ISO/IEC 27006-1:2024 Краен срок за започване на извършване на оценяване по 
БДС EN ISO/IEC 27006-1:2024 - 01.12.2024г.
ИА БСА ще извършва оценяване по БДС EN ISO/IEC 27006-1:2024 за всички първоначални акредитации, разширяване на обхвата за акредитация за СУСИ не по късно от 31.03.2025г.
ИА БСА ще извърши преход на всички акредитирани ОССУ за СУСИ по БДС EN ISO/IEC 27006-1:2024 Не по късно от 31.03.2026г.
Органи за сертификация (ОС) на СУСИ
ОС на СУСИ трябва да прилагат БДС EN ISO/IEC 27006-1:2024 за всички първоначални и ресертификационни одити след акредитация и съгласно изискванията на БДС EN ISO/IEC 27006-1:2024 Датата трябва да бъде определена за всеки ОС въз основа  датата на акредитация след успешен преход 

ОС да прилага БДС EN ISO/IEC 27006-1:2024 за всички клиенти Не по късно от 31.03.2026
2.2 Представяне на План за действия за въвеждане на промените на БДС EN ISO/IEC 27006-1:2024 от органите за сертификация 
От органите за сертификация се изисква да представят Анализ на промените (Gap Analysis) и План за действия за преход най-малко два месеца преди тяхната оценка, съглано планираното в последния доклад от оценка BAS QF 2.9.5.4 (17021-1)_Sek F. Тази информация ще бъде използвана за планиране на оценката на промените.
Планът за действие трябва да демонстрира че органът по сертификация:
- е анализирал и разбрал промените в изискванията на новата и старата версия на стандарта. Типичните процеси, разглеждани за промени, могат да включват продажби/оферти, процес на одит, сертификационен документ, управление на компетентността и комуникация със съществуващи сертифицирани клиенти.
 - е анализирал въздействието на промените върху съответните дейности/процеси и идентифициране на необходимите действия за осигуряване на съответствие (напр. промени в документирана система за управление, ИТ инструменти, процеса на сертификация и др. 
- е определил изискванията относно компетентността на персонала, планирани са и са извършени обучения и др.;
- е определил и предприел действията, за оценка на ефективното прилагане на всички промени, така че да съответства на изискванията на БДС EN ISO/IEC 17021-1:2015 и БДС EN ISO/IEC 27006-1:2024 (провеждане на вътрешни одити, преглед от ръководството и др.).
Планът трябва да съдържа график и срокове за провеждане на действията, съобразени с планираните оценки за надзор, преакредитация, извънредни оценки и отговорни лица. Планът трябва да осигурява, че съответният персонал, засегнат от промените, е компетентен за ревизираната версия на стандарта и процеса на преход. Персоналът може да включва, но не се ограничава до, одитори, извършващи преглед на докладите от одит, лица, вземащи решения за сертифициране, извършващи преглед на заявката и   планиране на одити
Тъй като изискванията за определяне на времето за одит са променени в ревизията на  на ISO/IEC 27006-1 от 2024 г., е възможно договорът между ООС и техните съществуващи сертифицирани клиенти да се наложи да бъде преразгледан
2.3  Процесът на оценка на измененията ще включва следните етапи на оценка:
Оценка на Анализа на промените и План за действия за преход
При планиране и подготовка на офис оценка на ОССУ, Водещият оценител определен да извърши офис оценката ще направи преглед на Анализ на промените и План за действия за преход и съответната документация и документирани доказателства за прилагане на новите изисквания.
Офис оценка;
ИА БСА ще извършва оценка на промените по време на оценка на място при планова оценка (надзор или преакредитация), като се спазва реда на Процедурата за акредитация (BAS QR 2) и Инструкцията за определяне на времетраенето на оценката на място. Влияещи фактори (BAS QI 2), като се предвиди допълнително време за оценка на предприетите действия (1 човекоден).
При желание от страна на орган по сертификация, при наличие на възможност от страна на ИА БСА и при необходимост за спазване на определените времеви рамки за преход, ще се провеждат и извънредни оценки за установяване на съответствие с промените въведени с БДС EN ISO/IEC 27006-1:2024.
Преиздаване на сертификати за акредитация
След установяване, чрез оценка за преход, че акредитираните ОССУ за обхват сертификация на СУСИ съответстват на изискванията за акредитация (БДС EN ISO/IEC 17021-1:2015, БДС EN ISO/IEC 27006-1:2024), ИА БСА ще преиздава сертификатите за акредитация с позоваване на изискванията на БДС EN ISO/IEC 27006-1:2024 със срок на валидност съгласно действащия сертификат за акредитация. 
Сертификатите ще бъдат преиздавани само след привеждане на системата за управление на ОССУ за обхват сертификация на СУСИ в съответствие с изискванията на БДС EN ISO/IEC 17021-1:2015, БДС EN ISO/IEC 27006-1:2024 и при закрити несъответствия, установени по време на оценката за преход, в съответствие с т.4.3.5.2 от Процедурата за акредитация BAS QR 2. 
Ако преди края на преходния период, ОССУ не е демострирал съответствие с изискванията, за обхват сертификация на СУСИ, съгласно изискванията за акредитация по БДС EN ISO/IEC 27006-1:2024, агенцията ще констатира неизпълнение на изискванията и след края на преходния период (31.03.2026г.), ще отнеме предоставената акредитация на ОССУ за обхват сертификация на СУСИ.

Важна информация във връзка с подхода на ИА БСА за провеждане на  преход към ISO/IEC 27006-1:2024 Information security, cybersecurity and privacy protection — Requirements for bodies providing audit and certification of information security management systems — Part 1: General, който отменя и заменя ISO/IEC 27006:2015/Amd 1:2020.


1.  Въведение

На страницата на Международната организация по стандартизация (ISO) през месец март 2024 е публикувана новата версия на стандарта ISO/IEC 27006-1:2024 Information security, cybersecurity and privacy protection — Requirements for bodies providing audit and certification of information security management systems — Part 1: General, който отменя и заменя ISO/IEC 27006:2015/Amd 1:2020. Стандарта е публикуван от БИС, като БДС EN ISO/IEC 27006-1:2024. Той отменя и заменя БДС EN ISO/IEC 27006:2021.

Съгласно  IAF MD 29:2024 преходния период на ISO/IEC 27006-1:2024 е 24 месеца от датата на публикуване на стандарта.

Необходимо е органите за сертификация да въведат промените в системите си за управление и процесите си и да демонстрират съответствието си с изискванията за акредитация в указаните от IAF срокове.

С настоящата информация ИА БСА представя подход за оценка на промените, който ще използва, за да се даде възможност на всеки орган за сертификация извършващ сертификация на Системи за управление сигурността на информацията (СУСИ), да демонстрира съответствието си с изискванията на промените в БДС EN ISO/IEC 27006-1:2024 в рамките на определеният от IAF срок.

2. Подход на ИА БСА за оценката на въвеждане на изискванията на БДС EN ISO/IEC 27006-1:2024.

2.1 Общи положения

График за дейностите за извършване на прехода от ИА БСА и Органите за сертификация извършващи сертификация на СУБХ съгласно предписанията представени в IAF MD 29:2024 са като следва:

Действия

Срок

ИА БСА

ИА БСА се подготвя да извършва оценяване по БДС EN ISO/IEC 27006-1:2024

Краен срок за започване на извършване на оценяване по

БДС EN ISO/IEC 27006-1:2024 - 01.12.2024г.

ИА БСА ще извършва оценяване по БДС EN ISO/IEC 27006-1:2024 за всички първоначални акредитации, разширяване на обхвата за акредитация за СУСИ

не по късно от 31.03.2025г.

ИА БСА ще извърши преход на всички акредитирани ОССУ за СУСИ по БДС EN ISO/IEC 27006-1:2024

Не по късно от 31.03.2026г.

Органи за сертификация (ОС) на СУСИ

ОС на СУСИ трябва да прилагат БДС EN ISO/IEC 27006-1:2024 за всички първоначални и ресертификационни одити след акредитация и съгласно изискванията на БДС EN ISO/IEC 27006-1:2024

Датата трябва да бъде определена за всеки ОС въз основа  датата на акредитация след успешен преход

ОС да прилага БДС EN ISO/IEC 27006-1:2024 за всички клиенти

Не по късно от 31.03.2026

2.2 Представяне на План за действия за въвеждане на промените на БДС EN ISO/IEC 27006-1:2024 от органите за сертификация

От органите за сертификация се изисква да представят Анализ на промените (Gap Analysis) и План за действия за преход най-малко два месеца преди тяхната оценка, съглано планираното в последния доклад от оценка BAS QF 2.9.5.4 (17021-1)_Sek F. Тази информация ще бъде използвана за планиране на оценката на промените.

Планът за действие трябва да демонстрира че органът по сертификация:

- е анализирал и разбрал промените в изискванията на новата и старата версия на стандарта. Типичните процеси, разглеждани за промени, могат да включват продажби/оферти, процес на одит, сертификационен документ, управление на компетентността и комуникация със съществуващи сертифицирани клиенти.

 - е анализирал въздействието на промените върху съответните дейности/процеси и идентифициране на необходимите действия за осигуряване на съответствие (напр. промени в документирана система за управление, ИТ инструменти, процеса на сертификация и др.

- е определил изискванията относно компетентността на персонала, планирани са и са извършени обучения и др.;

- е определил и предприел действията, за оценка на ефективното прилагане на всички промени, така че да съответства на изискванията на БДС EN ISO/IEC 17021-1:2015 и БДС EN ISO/IEC 27006-1:2024 (провеждане на вътрешни одити, преглед от ръководството и др.).

Планът трябва да съдържа график и срокове за провеждане на действията, съобразени с планираните оценки за надзор, преакредитация, извънредни оценки и отговорни лица. Планът трябва да осигурява, че съответният персонал, засегнат от промените, е компетентен за ревизираната версия на стандарта и процеса на преход. Персоналът може да включва, но не се ограничава до, одитори, извършващи преглед на докладите от одит, лица, вземащи решения за сертифициране, извършващи преглед на заявката и   планиране на одити

Тъй като изискванията за определяне на времето за одит са променени в ревизията на  на ISO/IEC 27006-1 от 2024 г., е възможно договорът между ООС и техните съществуващи сертифицирани клиенти да се наложи да бъде преразгледан

2.3  Процесът на оценка на измененията ще включва следните етапи на оценка:

Оценка на Анализа на промените и План за действия за преход

При планиране и подготовка на офис оценка на ОССУ, Водещият оценител определен да извърши офис оценката ще направи преглед на Анализ на промените и План за действия за преход и съответната документация и документирани доказателства за прилагане на новите изисквания.

Офис оценка;

ИА БСА ще извършва оценка на промените по време на оценка на място при планова оценка (надзор или преакредитация), като се спазва реда на Процедурата за акредитация (BAS QR 2) и Инструкцията за определяне на времетраенето на оценката на място. Влияещи фактори (BAS QI 2), като се предвиди допълнително време за оценка на предприетите действия (1 човекоден).

При желание от страна на орган по сертификация, при наличие на възможност от страна на ИА БСА и при необходимост за спазване на определените времеви рамки за преход, ще се провеждат и извънредни оценки за установяване на съответствие с промените въведени с БДС EN ISO/IEC 27006-1:2024.

Преиздаване на сертификати за акредитация

След установяване, чрез оценка за преход, че акредитираните ОССУ за обхват сертификация на СУСИ съответстват на изискванията за акредитация (БДС EN ISO/IEC 17021-1:2015, БДС EN ISO/IEC 27006-1:2024), ИА БСА ще преиздава сертификатите за акредитация с позоваване на изискванията на БДС EN ISO/IEC 27006-1:2024 със срок на валидност съгласно действащия сертификат за акредитация.

Сертификатите ще бъдат преиздавани само след привеждане на системата за управление на ОССУ за обхват сертификация на СУСИ в съответствие с изискванията на БДС EN ISO/IEC 17021-1:2015, БДС EN ISO/IEC 27006-1:2024 и при закрити несъответствия, установени по време на оценката за преход, в съответствие с т.4.3.5.2 от Процедурата за акредитация BAS QR 2.

Ако преди края на преходния период, ОССУ не е демострирал съответствие с изискванията, за обхват сертификация на СУСИ, съгласно изискванията за акредитация по БДС EN ISO/IEC 27006-1:2024, агенцията ще констатира неизпълнение на изискванията и след края на преходния период (31.03.2026г.), ще отнеме предоставената акредитация на ОССУ за обхват сертификация на СУСИ.