Exigences pour les organismes procédant à l'audit et à la certification des systèmes de management de la sécurité de l'information.

Propose les conditions de certification du SMSI (ISO/IEC 27001) pour les auditeurs externes accrédités (Third-party body) en reprenant en grande partie les recommandations EA7/03 et en précisant les conditions requises pour l'audit d'un certain nombre de clauses ou contrôles de l'ISO/IEC 27001 comme par exemple :

• La pertinence du périmètre retenu.
• Pour l’évaluation du risque : l'obligation d'obtenir des résultats reproductibles avec la méthode ou les outils employés.
• La pertinence des menaces, actifs et vulnérabilités prises en compte dans l'analyse de risque.
• La grille du temps qui devra être consacré à l’audit en fonction de la taille de l'entreprise et de la complexité du SI.
• Etc.