ISO/CEI 27006

L'ISO/CEI 27006 est une norme internationale concernant la sécurité de l'information. Elle a été publiée conjointement en 2007, puis révisée en 2011, 2015 et 2024, par l'organisation internationale de normalisation (ISO) et la Commission Électrotechnique Internationale (CEI). Son titre en français est Sécurité de l'information, cybersécurité et protection de la vie privée — Exigences pour les organismes procédant à l'audit et à la certification des systèmes de management de la sécurité de l'information^[1]. Elle fait partie de la série ISO/CEI 27000 et fait l'objet d'une certification.

L'ISO/CEI 27006 fournit les exigences et les recommandations que doivent respecter les organismes de certification lorsqu'ils réalisent des audits de systèmes de management de la sécurité de l'information (SMSI) avec le but de vérifier la conformité à l'ISO/CEI 27001. Un organisme doit respecter ces exigences s'il souhaite obtenir l'accréditation lui permettant de délivrer des certificats ISO/CEI 27001. L'ISO/CEI 27006 permet de s'assurer de la compétences des auditeurs^[2].

En plus des sections introductives et informatives, il y a 7 chapitres principaux dans le document de l'ISO/CEI 27006^[3]:

1. Principes
2. Exigences générales
   1. Domaine juridique et contractuel
   2. Gestion de l'impartialité
   3. Responsabilité et situation financière
3. Exigences structurelles
4. Exigences relatives aux ressources
   1. Compétence du personnel
   2. Personnel intervenant dans les activités de certification
   3. Intervention d'auditeurs et d'experts techniques externes individuels
   4. Enregistrements relatifs au personnel
   5. Externalisation
5. Exigences relatives aux informations
   1. Informations publiques
   2. Documents de certification
   3. Référence à la certification et utilisation des marques
   4. Confidentialité
   5. Échange d'informations entre l'organisme de certification et ses clients
6. Exigences relatives aux processus
   1. Activités préalables à la certification
   2. Planification des audits
   3. Certification initiale
   4. Réalisation des audits
   5. Décision de certification
   6. Maintien de la certification
   7. Appels
   8. Plaintes
   9. Enregistrements relatifs au client
7. Exigences relatives au système de management des organismes de certification
   1. Options
   2. Option A: Exigences générales relatives au système de management
   3. Option B: Exigences relatives au système de management conformément à l'ISO

Il y a ensuite 5 annexes :

• Annexe A : Connaissances et savoir-faire requis pour l'audit et la certification d'un SMSI
• Annexe B : Autres considérations relatives aux compétences
• Annexe C : Temps d'audit
• Annexe D : Méthodes de calcul du temps d'audit
• Annexe E : Recommandations pour la revue des mesures mises en œuvre de l'Annexe A de l'ISO/CEI 27001/2022

• ISO/CEI 27006:2015

v · m Suite ISO/CEI 27000
ISO/CEI 27000:2018 ISO/CEI 27001:2022 ISO/CEI 27002:2022 ISO/CEI 27003:2017 ISO/CEI 27004:2016 ISO/CEI 27005:2022 ISO/CEI 27006:2024 ISO/CEI 27007:2020 ISO/CEI 27008:2019 ISO/CEI 27011:2024 ISO/CEI 27013:2021 ISO/CEI 27017:2015 ISO/CEI 27018:2019 ISO/CEI TR 27019:2024 ISO/CEI 27799:2016

v · m Normes ISO
1 3 4 9 31 216 217 228 233 259 269 639 646 690 843 1000 2022 2108 2709 3103 3166 3166-1 3166-2 3166-3 3297 3533 3901 4217 5218 5426 6166 6358 6438 6709 7010 7185 7810 8601 8613 8859 9001 9002 9003 9004 9075 9126 9241 9362 9594 9646 9660 9945 9984 10006 10007 10118-3 10303 10303-11 10303-238 10383 10589 10646 10664 10957 11179 11238 11239 11240 11544 11615 11616 11783 11801 12207 13211-1 13216 13250 13335 13399 13485 13568 13616 14000 14001 14064 14069 14396 14882 15189 15408 15444 15489 15504 15511 15706 15836 15924 16023 16262 16610 17025 17799 18004 19005 19110 19115 19439 19501 19510 19775-1 20000 20252 21127 21500 22000 23270 25178 26000 26300 27001 27002 27005 27006 27017 27018 29500 32000 50001
Liste de normes ISO Liste des normes de romanisation ISO

• Portail de la sécurité de l’information
• Portail de la sécurité informatique