ICS35040

L80.

中華人民共和國國家標準

GB/T25067—2020/ISO/IEC270062015

代替:

GB/T25067—2016

信息技術(shù)安全技術(shù)信息安全管理體系

審核和認證機構(gòu)要求

Informationtechnology—Securitytechniques—Requirementsforbodiesproviding

auditandcertificationofinformationsecuritymanagementsystems

(ISO/IEC27006:2015,IDT)

2020-04-28發(fā)布2020-11-01實施

國家市場監(jiān)督管理總局發(fā)布

國家標準化管理委員會

GB/T25067—2020/ISO/IEC270062015

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

原則

4………………………1

通用要求

5…………………1

法律與合同事宜

5.1……………………1

公正性的管理

5.2………………………1

責任和財力

5.3…………………………2

結(jié)構(gòu)要求

6…………………2

資源要求

7…………………2

人員能力

7.1……………2

參與認證活動的人員

7.2………………5

外部審核員和外部技術(shù)專家的使用

7.3………………6

人員記錄

7.4……………6

外包

7.5…………………6

信息要求

8…………………6

公開信息

8.1……………6

認證文件

8.2……………6

認證的引用和標志的使用

8.3…………6

保密

8.4…………………7

認證機構(gòu)與其客戶間的信息交換

8.5…………………7

過程要求

9…………………7

認證前的活動

9.1………………………7

策劃審核

9.2……………9

初次認證

9.3……………10

實施審核

9.4……………11

認證決定

9.5……………12

保持認證

9.6……………12

申訴

9.7…………………13

投訴

9.8…………………13

客戶的記錄

9.9…………………………13

認證機構(gòu)的管理體系要求

10……………14

可選方式

10.1…………………………14

Ⅰ

GB/T25067—2020/ISO/IEC270062015

:

方式通用的管理體系要求

10.2A:……………………14

方式與一致的管理體系要求

10.3B:GB/T19001…………………14

附錄資料性附錄審核與認證的知識與技能

A()ISMS………………15

附錄規(guī)范性附錄審核時間

B()…………17

附錄資料性附錄審核時間計算方法

C()………………21

附錄資料性附錄對已實現(xiàn)的附錄的控制的評審指南

D()GB/T22080—2016A…25

附錄資料性附錄與的條款對照關(guān)系

NA()GB/T25067—2020GB/T25067—2016……………32

參考文獻

……………………36

Ⅱ

GB/T25067—2020/ISO/IEC270062015

:

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

本標準代替信息技術(shù)安全技術(shù)信息安全管理體系審核和認證機構(gòu)要求

GB/T25067—2016《》。

與相比主要技術(shù)變化如下

GB/T25067—2016,:

在規(guī)范性引用文件中刪除了新增了見第章

———,ISO19011,ISO/IEC27000(2);

刪除了術(shù)語證書認證機構(gòu)標志和組織見年版的第章

———“”“”“”“”(20163);

基于的附錄細化了參與信息安全管理體系認證的各類人員的能力

———GB/T27021.1—2017A,

要求見

(7.1.2);

遵從的標準結(jié)構(gòu)調(diào)整了第章過程要求的內(nèi)容見第章年版

———GB/T27021.1—2017,9(9,2016

的第章

9);

審核時間計算由資料性附錄調(diào)整為規(guī)范性附錄見附錄并新增了審核時間計算示例見

———(B),(

附錄

C)。

本標準使用翻譯法等同采用信息技術(shù)安全技術(shù)信息安全管理體系審核

ISO/IEC27006:2015《

和認證機構(gòu)要求

》。

與本標準中規(guī)范性引用的國際文件有一致性對應關(guān)系的我國文件如下

:

信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯

———GB/T29246—2017(ISO/IEC27000:

2016,IDT)

本標準做了以下編輯性修改

:

因已經(jīng)廢止所以引言中管理體系的定義調(diào)整為參見

———ISO9000:2005,GB/T19000—2016;

增加了資料性附錄

———NA;

詞匯在針對認證機構(gòu)運作管理時翻譯為程序見

———“procedure”,“”[7.1.2.4.1b)、9.1.3.2、9.1.5.1.2

等在針對客戶信息安全控制管理時翻譯為規(guī)程見

],“”[7.1.2.1.4a)、9.2.2.2a)、9.3.1.2.1a)

等兩者意思并無差異

],;

由于附錄只在中被引用根據(jù)國家標準起草規(guī)定將的注調(diào)整為標準條文

———A7.1.1,,7.1.1;

對表中控制網(wǎng)絡中的隔離的審核的評審指南更正了網(wǎng)段和網(wǎng)絡隔離的

———D.1“A.13.1.3”“”,

示例

。

本標準由全國信息安全標準化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標準起草單位中國合格評定國家認可中心中國電子技術(shù)標準化研究院中國網(wǎng)絡安全審查技

:、、

術(shù)與認證中心廣州賽寶認證中心服務有限公司華夏認證中心有限公司國家認證認可監(jiān)督管理委員

、、、

會山東省標準化研究院

、。

本標準主要起草人付志高張強黃俊梅魏軍田剛夏芳張志國尤其方潔王曙光劉鑫

:、、、、、、、、、、。

本標準所代替標準的歷次版本發(fā)布情況為

:

———GB/T25067—2010、GB/T25067—2016。

Ⅲ

GB/T25067—2020/ISO/IEC270062015

:

引言

為機構(gòu)對組織的管理體系實施審核和認證建立了準則如果這類機構(gòu)按照

GB/T27021.1—2017。

開展以信息安全管理體系以下簡稱審核和認證為目的活動并準備依據(jù)

GB/T22080—2016(“ISMS”),

獲得認可對補充一些要求和指南是必要的本標準提供

GB/T27021.1—2017,GB/T27021.1—2017。

了這樣的內(nèi)容

。

本標準正文遵循的結(jié)構(gòu)針對審核和認證所增加的特定要求和指南

GB/T27021.1—2017,ISMS,

用字母加以標識

“IS”。

本標準的主要目的是使得認可機構(gòu)在應用其評審認證機構(gòu)所依據(jù)的標準時能更有效地協(xié)調(diào)一致

。

本標準中術(shù)語管理體系和體系可以互換使用管理體系的定義見請不

“”“”。GB/T19000—2016。

要將本標準中使用的管理體系與其他類型的系統(tǒng)混淆例如信息技術(shù)以下簡稱系統(tǒng)

,,(“IT”)。

Ⅳ

GB/T25067—2020/ISO/IEC270062015

:

信息技術(shù)安全技術(shù)信息安全管理體系

審核和認證機構(gòu)要求

1范圍

本標準在和的基礎上對實施審核和認證的機構(gòu)

GB/T27021.1—2017GB/T22080—2016,ISMS

規(guī)定了要求并提供了指南本標準的主要目的是為認證機構(gòu)的認可提供支持

。ISMS。

任何提供認證的機構(gòu)需要在能力和可靠性方面證實其滿足本標準中的要求本標準中的

ISMS,。

指南提供了對這些要求的進一步解釋

。

注本標準可以作為認可同行評審或其他審核過程的準則性文件

:、。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技