ISO 27006:2015
| ISO 27006
Exigences pour les organismes |
Date de publication | Novembre 2015 |
| Nombre de pages (corps du document) | 30 | |
| Nombre de pages (annexes) | 10 | |
| Traduction en français | Non |
ISO 27006 : Exigences pour les organismes réalisant l’audit et la certification de SMSI
Cette norme d’exigence (la seule de la série ISO 2700x avec ISO 27001) fournit des précisions pour les audits de certification ISO 27001:
- Classement des mesures de sécurité : organisationelles / techniques
- Vérifications à faire ou pas pour les mesures de sécurité techniques
- Calcul du nombre de jours d’audit(en annexe)
Estimation de la charge d’audit
En annexe, il existe des abaques fournissant des indications de la durée d’audit nécessaire par un organisme accrédité pour audité une entreprise souhaitantêtre certifié ISO 27001. Cette annexe précise bien que c’est indicatif et qu’il faut utiliser des critères tels que :
- le nombre d’utilisateurs, le nombre d’utilisateurs ayant des droits d’administration
- le nombre
- la législation applicable
- …
Elle fournit des exemples de calcul :
D’abord en se basant sur le nombre d’employés de l’entreprise, pour déterminer la charge initiale d’audit. Puis en rajoutant 
des charges :
- de revue documentaire du SMSI (de 1 à 3 journées selon complexité)
- d’audit des mesures de sécurité (2 jours)
- de visite des sites (0,5 jour par site à auditer)
- de rédaction du rapport (de 1 à 3 journées selon complexité)
- …
Bref pour une entreprise de taille moyenne (500 personnes), avec deux sites et un système d’information avec enjeux modérés, un rapide calcul donnerait 18 jours d’audit.
La réalité du terrain est souvent loin de ce calcul avec des chiffrages de charge d’audit beaucoup plus faible. Evidemment la qualité de l’audit de certification s’en ressent à un tel point que dans la profession, certains parlent de certification « pochette surprise »