1 Einführung und Zielsetzung
Der internationale Standard ISO/IEC 27006:2015 [1] richtet sich an unabhängige Stellen (Dritte, third parties), die Audits und Zertifizierungen von Informationssicherheits-Managementsystemen (ISMS) durchführen, und soll in erster Linie deren Akkreditierung als Anbieter von ISMS-Zertifizierungen unterstützen.
ISO/IEC 27006 ist als Ergänzung zur ISO/IEC 17021-1:2015 [2] für den Bereich ISMS zu verstehen. Sie verweist in weiten Teilen auf die Inhalte der ISO/IEC 17021-1 und fügt an einigen Stellen ISMS-spezifische Zusätze ein. Daher wird dem Leser empfohlen, zunächst die Kurzhinweise zur ISO/IEC 17021-1 (s. Kap. 02585) zu lesen. Im weiteren Verlauf des vorliegenden Beitrags wird im Wesentlichen auf die Unterschiede und Ergänzungen zur ISO/IEC 17021-1 eingegangen.
Die Kapitelstruktur und die Dezimalnotation der beiden Kurzübersichten und der beiden Standards sind identisch, sodass bei Bedarf ein schneller Querverweis möglich ist.