Kiwa behaalt RvA accreditatie voor nieuwe ISO 27006
In maart 2024 is de nieuwe versie van de ISO/IEC 27006 gepubliceerd: de ISO/IEC 27006-1:2024 Information security, cybersecurity and privacy protection – Requirements for bodies providing audit and certification of information security management systems – Part 1: General. Certificerende Instellingen (CI's) worden naast ISO 17021, waarin eisen voor de beoordeling van managementsystemen staan, aan deze standaard gehouden.
Op 4 december 2024 heeft Kiwa de accreditatie bij de Raad voor Accreditatie behaald voor deze nieuwe ISO 27006. De ISO/IEC 27006-1:2024 is de standaard waarop CI's hun accreditatie verkrijgen om certificeringsaudits uit te voeren in overeenstemming met ISO 27001. De belangrijkste reden voor de herziening is het blijvend aansluiten op de herziening van ISO 27001 die in 2022 heeft plaatsgehad.
Wat zijn de belangrijkste wijzigingen?
- Er zijn veranderingen in de regels voor de calculatie van de benodigde audittijd;
- Er zijn nieuwe instructies voor remote auditing;
- Veranderingen in scope zullen extra audittijd vragen.
De wijzigingen hebben vooral impact op de interne processen van een CI, maar wat zijn de consequenties voor u?
- Alle nieuwe en hercertificaties worden tegen de nieuwe eisen gecalculeerd en uitgevoerd.
- Bestaande certificaten moeten voor 31 maart 2026 gemigreerd zijn.
Nieuwe instructies voor remote auditing:
Het is mogelijk om audits (gedeeltelijk) remote uit te voeren. Hierbij geldt dat Kiwa als CI voorafgaand aan de audit een risicoanalyse moet uitvoeren om vast te stellen in hoeverre de audit in zijn geheel of deels remote uitgevoerd kan worden. Daarbij moet in het auditplan en de auditrapportage duidelijk vermeld worden dat het om een (deels) remote audit gaat. Aangevuld met tooling die gebruikt is (bv. Zoom of Teams) en het aantal uren/percentage van de totale audittijd dat remote is uitgevoerd.
Tevens wordt er ingespeeld op het steeds meer remote werken, waarbij de mogelijkheid wordt gegeven om organisaties die online werken geheel remote te auditen. Ook hierbij gelden de eerder genoemde regels ten aanzien van registratie.