Dispositions pour la transition à l’ISO/IEC 27006-1:2024

Date du bulletin:
Numéro du bulletin:
2024-18

Actions requises

Plus tôt cette année, les documents ISO/IEC 27006-1:2024 – Sécurité de l’information, cybersécurité et protection de la vie privée – Exigences pour les organismes procédant à l’audit et à la certification des systèmes de management de la sécurité de l’information et IAF MD29:2024 – Exigences pour la transition à l’ISO/IEC 27006-1:2024 (PDF en anglais) ont été publiés.

 

Tous les organismes de certification de systèmes de management de la sécurité de l’information (SMSI) munis de l’accréditation du Conseil canadien des normes (CCN) doivent effectuer la transition à la version la plus récente de la norme avant la date limite indiquée.

 

Clients concernés

Organismes accrédités et candidats au programme SMSI.

 

Renseignements généraux

L’ISO/IEC 27006-1:2024 a été publiée le 31 mars 2024 et remplace l’ISO/IEC 27006:2015/AMD1:2020.

 

Nouvelles exigences

Parmi les principaux changements, notons les suivants :
 

  • Précision des exigences pour les audits à distance
    • Nouvelles exigences pour le déploiement d’audits à distance (sous-alinéa 9.1.3.3)
    • Indication de la portée et de l’efficacité des audits à distance dans le rapport d’audit (sous-alinéa 9.4.3.2)
    • Suppression des exigences en matière d’obtention de l’approbation de l’organisme d’accréditation si les activités d’audit à distance constituent plus de 30 % de la durée de l’audit sur place prévue
    • Dans le cas de clients ayant peu ou aucun site physique pertinent, indication dans le rapport d’audit (sous‑alinéa 9.4.3.2) et le document de certification (alinéa 8.2.2) que les activités du client sont exécutées à distance.
  • Mise à jour de l’exigence en matière de calcul de la durée de l’audit (annexe C)
    • Introduction du concept de certaines personnes exécutant des activités identiques (alinéa C.2.1) et définition de l’exigence en matière de détermination du nombre initial de personnes à l’alinéa C.3.4
    • Nouvelles exigences en matière de durée de l’audit pour les extensions de portée (paragraphe C.7)
    • Précisions sur les approches de calcul de la durée de l’audit à plusieurs sites (paragraphe C.6) 
  • Mise à jour de l’annexe D de l’ISO/IEC 27006:2015 aux fins d’harmonisation avec les mesures de sécurité énumérées à l’annexe A de l’ISO/IEC 27001:2022, transfert à l’annexe E de l’ISO/IEC 27006-1:2024 et passage du tableau D au tableau E
  • Précision des exigences en matière de référence à d’autres normes dans les documents de certification de SMSI (alinéa 8.2.3)
  • Suppression des redondances avec l’ISO/IEC 17021-1:2015 et mise à jour du paragraphe 5.2, de l’alinéa 7.1.3, du sous-alinéa 9.3.2.2 et du paragraphe 9.4 (ISO/IEC 27006-1:2024)
  • Suppression de l’exigence quantitative liée à l’expérience de travail et la formation du personnel d’audit de SMSI.
     

Compte tenu de la portée des changements présentés dans l’ISO/IEC 27006-1:2024, le CCN prévoit 1,5 jour d’efforts initiaux pour l’examen des changements et l’exécution des activités administratives connexes. Ces efforts dépendent de l’exhaustivité et de la clarté de la documentation soumise par l’organisme d’évaluation de la conformité (OEC).

Une évaluation de l’établissement pourrait être requise dans l’éventualité où le CCN n’est pas en mesure de vérifier la mise en œuvre effective et la conformité des mesures de transition de l’OEC. Le CCN soulèvera les constats obligatoires à aborder de manière habituelle s’il existe des preuves insuffisantes voulant que l’OEC ne respecte pas adéquatement les exigences révisées.


Date limite

  • 31 mars 2024 – Publication de la norme ISO/IEC 27006-1:2024
  • 31 décembre 2024 – Début des évaluations en vertu de la norme ISO/IEC 27006-1:2024 par le CCN
  • 31 mars 2025 – Utilisation de la norme ISO/IEC 27006-1:2024 par le CCN pour toutes les évaluations d’accréditation initiales, y compris les extensions d’évaluations existantes
  • 31 mars 2026 – Date limite de transition de tous les OEC à l’ISO/IEC 27006-1:2024 et utilisation de cette norme pour tous les clients du programme


Remarque : Dans le cas des clients certifiés avant la date limite de transition, l’OEC peut utiliser l’ISO/IEC 27006:2015 ou l’ISO/IEC 27006-1:2024 pour les audits de surveillance après l’accréditation à l’ISO/IEC 27006-1:2024.

 

Tous les organismes de certification de SMSI munis de l’accréditation du CCN doivent effectuer les étapes ci-dessous avant le 30 septembre 2024 : 

  • Soumettre une entente et un plan de transition au CCN et se préparer à mettre en œuvre les nouvelles exigences en fonction des dates limites indiquées ci-dessus.
  • Effectuer une analyse des écarts.
  • Avoir un plan de transition qui :
    • tient compte des changements entre les anciens et les nouveaux processus (p. ex., ventes, devis, processus d’audit, documents de certification, gestion des compétences et communication avec les clients certifiés);
    • analyse l’incidence des changements sur les activités et les processus d’audit pour la certification et indique les mesures d’assurance de la conformité.
  • Veiller à ce que le personnel pertinent dispose des compétences requises pour ce qui est de la version révisée et des processus de transition.

 
Des questions?

Pour tout complément d’information, communiquer avec Abdel Kassou, directeur, Services d’accréditation : abdel.kassou@scc-ccn.ca ou 1 613 238‑3222.