Referenz aus der Norm | Text aus ISO/IEC 27006:2015-10 | Änderung in ISO/IEC 27006:2015/ AMD 1:2020 | Änderung in DIN EN ISO/IEC 27006:2021-05 Deutsche Übersetzung |
7.2.1.1 d) | ...has gained experience in the entire process of assessing information security prior to assuming responsibility for performing as an auditor. This experience should have been gained by participation in a minimum of four ISMS certification audits, including re-certification and surveillance audits, for a total of at least 20 days of which at most 5 days may come from surveillance audits. The participation shall include review of documentation and risk assessment, implementation assessment and audit reporting. | ... has gained experience of auditing ISMS prior to acting as an auditor performing ISMS audits. This experience shall be gained by performing as an auditor-in-training monitored by an ISMS evaluator (see ISO/IEC 17021-1:2015, 9.2.2.1.4) in at least one ISMS initial certification audit (stage 1 and stage 2) or re-certification and at least one surveillance audit. This experience shall be gained in at least 10 ISMS on-site audit days and performed in the last 5 years. The participation shall include review of documentation and risk assessment, implementation assessment and audit reporting. | Erfahrung zum Auditieren eines ISMS vor der Tätigkeit als Auditor zur Durchführung von ISMS-Audits gesammelt hat. Diese Erfahrung muss als Auditor-in-Ausbildung unter Überwachung durch einen ISMS-Evaluator (siehe ISO/IEC 17021-1:2015, 9.2.2.1.4) im Rahmen der Teilnahme an mindestens einem ISMS-Erstzertifizierungs- (Stufe 1 und Stufe 2) oder Re-Zertifizierungsaudit und mindestens einem Überwachungsaudit gesammelt worden sein. Diese Erfahrung muss in mindestens 10 ISMS-Vorort-Audittagen und innerhalb der letzten 5 Jahre erlangt worden sein. Die Teilnahme muss Prüfungen der Dokumentation und Risikobeurteilungen, Umsetzungsbewertungen und Auditberichterstattung umfassen; |
7.2.1.1 | | Add a new bullet point g) as follows: g) has competence in auditing an ISMS in accordance with ISO/IEC 27001. | g) über Kompetenz im Auditieren eines ISMS nach ISO/IEC 27001 verfügt. |
08.02.01 | Identification of the sector-specific standard(s) used may also be included on the certification documents. | The certification documents may reference national and international standards as source(s) of control set for controls that are determined as necessary in the organization's Statement of Applicability in accordance with ISO/IEC 27001:2013, 6.1.3 d). The reference on the certification documents shall be clearly stated as being only a control set source for controls applied in the Statement of Applicability and not a certification thereof. | Die Zertifizierungsdokumente dürfen nationale und internationale Normen als Quelle(n) für Sätze an Maßnahme für Maßnahmen referenzieren, die in der Erklärung zur Anwendbarkeit der Organisation nach ISO/IEC 27001:2013, 6.1.3 d), als notwendig ermittelt werden. Die Referenz auf den Zertifizierungsdokumenten muss klar darstellen, dass diese nur als Quelle für Maßnahmensätze für Maßnahmen dienen, die in der Erklärung zur Anwendbarkeit referenziert werden, und nicht als Zertifizierung nach diesen Referenzen. |
9.3.1.1 third paragraph | The results of stage 1 shall be documented in a written report. The certification body shall review the stage 1 audit report before deciding on proceeding with stage 2 and for selecting the stage 2 audit team members with the necassary competence. | The results of stage 1 shall be documented in a written report. The certification body shall review the stage 1 audit report before deciding on proceeding with stage 2 and shall confirm if the stage 2 audit team members have the necessary competence; this may be done by the auditor leading the team that conducted the stage 1 audit if deemed competent and appropriate. NOTE Independent review (i.e. by a person from the certification body not involved in the audit) is one measure to mitigate the risks involved when deciding if and with whom to proceed to stage 2. However, other risk mitigation measures can already be in place achieving the same goal. | Die Ergebnisse von Stufe 1 müssen in einem schriftlichen Bericht aufgezeichnet werden. Die Zertifizierungsstelle muss den Auditbericht der Stufe 1 vor der Entscheidung, mit Stufe 2 fortzufahren, prüfen und bestätigen, ob die Auditteammitglieder für Stufe 2 über die notwendigen Kompetenzen verfügen; dies darf durch den Auditor, der das Audit der Stufe 1 leitete, erfolgen, falls dieser als kompetent und geeignet betrachtet wird. ANMERKUNG Unabhängige Prüfung (d. h. von einer Person in der Zertifizierungsstelle, die nicht am Audit beteiligt ist) ist eine Maßnahme, um die Risiken bei der Entscheidung ob und mit wem in Stufe 2 fortgesetzt wird, zu reduzieren. Es können allerdings bereits andere Risikominimierungsmaßnahmen vorhanden sein, die das gleiche Ziel erreichen. Die Zertifizierungsstelle muss den Kunden über die weiteren Arten von Informationen und Aufzeichnungen in Kenntnis setzen, die für eine detaillierte Untersuchung in Stufe 2 erforderlich sein können. |
B.2.1 first paragraph | The total number of persons doing work under the organization’s control for all shifts is the starting point for determination of audit time. | The total number of persons doing work under the organization’s control for all shifts within the scope of the certification is the starting point for determination of audit time. | Die Gesamtzahl der Personen, die in allen Schichten von der Organisation im Geltungsbereich der Zertifizierung gesteuert werden, ist der Ausgangspunkt für die Bestimmung des Auditzeitaufwandes. |
B.3.6 first paragraph | It is expected that the time calculated for planning and report writing combined should not typically reduce the total on-site “audit time” to less than 70 % of the time calculated in accordance with B.3.3 and B.3.4. Where additional time is required for planning and/or report writing, this shall not be a justification for reducing on-site audit time. Auditor travel time is not included in this calculation and is additional to the audit time referenced in the chart. | It is expected that the time calculated for planning and report writing combined should not typically reduce the total on-site “audit time” to less than 70 % of the time calculated in accordance with B.3.3 and B.3.4. Where additional time is required for planning and/or report writing, this shall not be a justification for reducing on-site audit time. Auditor travel time is not included in this calculation and is additional to the audit time referenced in the chart. | Es wird erwartet, dass die für die Planung und das Erstellen des Berichts berechnete Zeit üblicherweise nicht den gesamten „Vorortauditzeitaufwand“ auf unter 70 % der nach B.3.3 und B.3.4 berechneten Zeit verringern sollte. Falls zusätzliche Zeit für die Planung und/oder das Erstellen des Berichts erforderlich ist, darf dies nicht als Rechtfertigung zur Reduzierung des Vorortauditzeitaufwands dienen. Die Reisezeit des Auditors ist nicht Teil dieser Berechnung, sondern ist zusätzlich zu dem in der Tabelle referenzierten Auditzeitaufwand. ANMERKUNG 70 % sind ein Faktor, der auf Erfahrung mit ISMS-Audits basiert. |
B.6 | The number of auditor days per site, including the central office, shall be calculated for each site. Reductions may be applied to take into account the parts of the audit that are not relevant ot the central office or the local sites. Reasons for the justification of such reductions shall be recorded by the certification body. | B.6 Replace the first paragraph by the following: The number of total on-site auditor days – as calculated for the scope following the procedure stated in B.3.3 – shall be distributed amongst the different sites based on the relevance of the site for the management system and the risks identified. The justification for the distribution shall be recorded by the certification body. The total time expended on initial audit and surveillance is the total sum of the time spent at each site plus the central office and shall never be less than that which would have been calculated for the size and complexity of the operation if all the work had been undertaken at a single site (i.e. with all the employees of the company in the same site). | B.6 Auditzeitaufwand für mehrere Standorte Die Gesamtzahl der Vorort-Auditortage, wie diese für den Geltungsbereich nach der in B.3.3 angegebenen Vorgehensweise berechnet wurde, muss auf die verschiedenen Standorte nach der Relevanz des Standortes für das Managementsystem und der identifizierten Risiken verteilt werden. Die Gründe für die Verteilung müssen von der Zertifizierungsstelle aufgezeichnet werden. |
