この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) と IEC (国際電気標準会議) は、世界標準化のための専門システムを形成しています。 ISO または IEC のメンバーである国家機関は、技術活動の特定の分野を扱うために、それぞれの組織によって設立された技術委員会を通じて、国際規格の開発に参加しています。 ISO と IEC の技術委員会は、相互に関心のある分野で協力しています。 ISO および IEC と連携して、政府および非政府の他の国際機関もこの作業に参加しています。
この文書の作成に使用された手順と、今後の維持を意図した手順は、ISO/IEC 指令で説明されています。 1. 特に、さまざまなタイプの文書に必要なさまざまな承認基準に注意する必要があります。この文書は、ISO/IEC 指令の編集規則に従って作成されました。 2 ( www.iso.org/directives を参照)
このドキュメントの要素の一部が特許権の対象となる可能性があることに注意してください。 ISO および IEC は、そのような特許権の一部またはすべてを特定する責任を負わないものとします。文書の作成中に特定された特許権の詳細は、序論および/または受信した特許宣言の ISO リスト ( www.iso.org/patents を参照) または受信した特許宣言の IEC リスト ( patents. iec.ch )。
このドキュメントで使用されている商号は、ユーザーの便宜のために提供された情報であり、保証を構成するものではありません。
規格の自発的な性質の説明、適合性評価に関連する ISO 固有の用語と表現の意味、および技術的貿易障壁 (TBT) における世界貿易機関 (WTO) の原則への ISO の準拠に関する情報については、以下を参照してください。 www.iso.org/iso/foreword.html .
この文書は、合同技術委員会 ISO/JTC 1, 情報技術、小委員会 SC 27, 情報セキュリティ、サイバーセキュリティおよびプライバシー保護によって作成されました。
ISO/IEC 27006 シリーズのすべての部品のリストは、ISO Web サイトで見つけることができます。
序章
ISO/IEC 27006 は、情報セキュリティ管理システムの監査と認証を提供する機関の基準を定めています。そのような機関が、ISO/IEC 27701:2019 に従ってプライバシー情報管理システム (PIMS) を監査および認証することを目的として、ISO/IEC 27006 に準拠していると認定される場合、ISO/IEC 27006 に対するいくつかの追加の要件およびガイダンスは次のとおりです。必要。これらは、このドキュメントによって提供されます。
このドキュメントのテキストは、ISO/IEC 27006 の構造に従っており、PIMS 認証のための ISO/IEC 27006 の適用に関する追加の PIMS 固有の要件とガイダンスは、文字「PS」で識別されます。
この文書の主な目的は、認定機関が認証機関を評価する義務がある基準の適用をより効果的に調整できるようにすることです。
1 スコープ
この文書は、ISO/IEC 27006 および ISO/ IEC 2770主に、PIMS 認証を提供する認証機関の認定をサポートすることを目的としています。
このドキュメントに含まれる要件は、PIMS 認定を提供するすべての人が能力と信頼性の観点から実証する必要があります。このドキュメントに含まれるガイダンスは、PIMS 認定を提供するすべての機関に対して、これらの要件の追加の解釈を提供します。
注記この文書は、認定、相互評価、またはその他の監査プロセスの基準文書として使用できます。
2 参考文献
以下のドキュメントは、その内容の一部またはすべてがこのドキュメントの要件を構成するように、本文で参照されています。日付のある参考文献については、引用された版のみが適用されます。日付のない参照については、参照文書の最新版 (修正を含む) が適用されます。
- ISO/IEC 17021-1, 適合性評価 — マネジメントシステムの監査および認証を提供する機関の要件 — 1: 要件
- ISO/IEC 27000, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 概要と語彙
- ISO/IEC 27001, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件
- ISO/IEC 27006:2015, 情報技術 — セキュリティ技術 — 情報セキュリティ管理システムの監査と認証を提供する機関の要件
- ISO/IEC 27701, セキュリティ技術 — プライバシー情報管理のための ISO/IEC 27001 および ISO/IEC 27002 への拡張 — 要件とガイドライン
- ISO/IEC 29100, 情報技術 - セキュリティ技術 - プライバシー フレームワーク
3 用語と定義
このドキュメントの目的のために、ISO/IEC 17021-1, ISO/IEC 27000, ISO/IEC 27006 に記載されている用語と定義が適用されます。
ISO と IEC は、次のアドレスで標準化に使用する用語データベースを維持しています。
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work.
The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, 1. In particular, the different approval criteria needed for the different types of document should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC Directives, 2 (see www.iso.org/directives ).
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights. Details of any patent rights identified during the development of the document will be in the Introduction and/or on the ISO list of patent declarations received (see www.iso.org/patents ) or the IEC list of patent declarations received (see patents.iec.ch ).
Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions related to conformity assessment, as well as information about ISO's adherence to the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT), see www.iso.org/iso/foreword.html .
This document was prepared by Joint Technical Committee ISO/JTC 1, Information technology, Subcommittee SC 27, Information security, cybersecurity and privacy protection.
A list of all parts in the ISO/IEC 27006 series can be found on the ISO website.
Introduction
ISO/IEC 27006 sets out criteria for bodies providing audit and certification of information security management systems. If such bodies are also to be accredited as complying with ISO/IEC 27006 with the objective of auditing and certifying privacy information management systems (PIMS) in accordance with ISO/IEC 27701:2019, some additional requirements and guidance to ISO/IEC 27006 are necessary. These are provided by this document.
The text in this document follows the structure of ISO/IEC 27006 and the additional PIMS-specific requirements and guidance on the application of ISO/IEC 27006 for PIMS certification are identified by the letters “PS”.
The primary purpose of this document is to enable accreditation bodies to more effectively harmonize their application of the standards against which they are bound to assess certification bodies.
1 Scope
This document specifies requirements and provides guidance for bodies providing audit and certification of a privacy information management system (PIMS) according to ISO/IEC 27701 in combination with ISO/IEC 27001, in addition to the requirements contained within ISO/IEC 27006 and ISO/IEC 27701. It is primarily intended to support the accreditation of certification bodies providing PIMS certification.
The requirements contained in this document need to be demonstrated in terms of competence and reliability by anybody providing PIMS certification, and the guidance contained in this document provides additional interpretation of these requirements for any body providing PIMS certification.
NOTE This document can be used as a criteria document for accreditation, peer assessment or other audit processes.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content constitutes requirements of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
- ISO/IEC 17021-1, Conformity assessment — Requirements for bodies providing audit and certification of management systems — 1: Requirements
- ISO/IEC 27000, Information technology — Security techniques — Information security management systems — Overview and vocabulary
- ISO/IEC 27001, Information technology — Security techniques — Information security management systems — Requirements
- ISO/IEC 27006:2015, Information technology — Security techniques — Requirements for bodies providing audit and certification of information security management systems
- ISO/IEC 27701, Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines
- ISO/IEC 29100, Information technology — Security techniques — Privacy framework
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 17021-1, ISO/IEC 27000, ISO/IEC 27006 apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses: