GB/T 25067-2010信息技術(shù)安全技術(shù)信息安全管理體系審核認(rèn)證機構(gòu)的要求

ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T25067—2010/ISO/IEC270062007

:

信息技術(shù)安全技術(shù)

信息安全管理體系審核認(rèn)證機構(gòu)的要求

Informationtechnology—Securitytechniques—

Requirementsforbodiesprovidingauditandcertificationof

informationsecuritymanagementsystems

(ISO/IEC27006:2007,IDT)

2010-09-02發(fā)布2011-02-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會

GB/T25067—2010/ISO/IEC270062007

:

目次

前言…………………………

Ⅲ

引言…………………………

Ⅳ

范圍………………………

11

規(guī)范性引用文件…………………………

21

術(shù)語和定義………………

31

原則………………………

42

通用要求…………………

52

法律與合同事宜………………………

5.12

公正性的管理…………………………

5.22

責(zé)任和財力……………

5.32

結(jié)構(gòu)要求…………………

62

組織結(jié)構(gòu)和最高管理層………………

6.12

維護公正性的委員會…………………

6.22

資源要求…………………

72

管理層和人員的能力…………………

7.12

參與認(rèn)證活動的人員…………………

7.23

外部審核員和外部技術(shù)專家的使用…………………

7.34

人員記錄………………

7.44

外包……………………

7.54

信息要求…………………

84

可公開獲取的信息……………………

8.14

認(rèn)證文件………………

8.25

獲證客戶組織名錄……………………

8.35

認(rèn)證的引用和標(biāo)志的使用……………

8.45

保密性…………………

8.55

認(rèn)證機構(gòu)與其客戶組織間的信息交換………………

8.65

過程要求…………………

95

通用要求………………

9.15

初次審核與認(rèn)證………………………

9.28

監(jiān)督活動………………

9.310

再認(rèn)證…………………

9.411

特殊審核………………

9.511

暫停撤銷或縮小認(rèn)證范圍…………

9.6、11

申訴……………………

9.711

投訴……………………

9.811

申請組織和客戶組織的記錄…………

9.912

認(rèn)證機構(gòu)的管理體系要求……………

1012

可選方式……………

10.112

Ⅰ

GB/T25067—2010/ISO/IEC270062007

:

方式一按照的管理體系要求………………

10.2:GB/T19001—200812

方式二通用的管理體系要求………………………

10.3:12

附錄資料性附錄客戶組織復(fù)雜性和行業(yè)特定方面的分析………

A()13

附錄資料性附錄審核員能力的示例………………

B()15

附錄資料性附錄審核時間…………

C()17

附錄資料性附錄對已實施的附錄的控制措施的評審指南……………

D()GB/T22080—2008A21

Ⅱ

GB/T25067—2010/ISO/IEC270062007

:

前言

本標(biāo)準(zhǔn)等同采用信息技術(shù)安全技術(shù)信息安全管理體系審核認(rèn)證機構(gòu)的

ISO/IEC27006:2007《

要求

》。

本標(biāo)準(zhǔn)是信息安全管理體系標(biāo)準(zhǔn)族的標(biāo)準(zhǔn)之一

。

為了便于理解并與和協(xié)調(diào)本標(biāo)準(zhǔn)針對

,GB/T27021—2007GB/T22080—2008,ISO/IEC27006:

做以下編輯性處理

2007:

針對認(rèn)證機構(gòu)的管理時用詞匯程序表示針對客戶組織的管理時用詞匯規(guī)

———,“”“procedure”;,“

程表示

”“procedure”;

針對認(rèn)證機構(gòu)的管理時用詞匯政策表示針對客戶組織的管理時用詞匯策略

———,“”“policies”;,“”

表示

“policies”;

用詞匯客戶組織表示或

———“”“client”“clientorganization”;

用詞匯審核時間表示或

———“”“audittime”“autitortime”。

本標(biāo)準(zhǔn)的附錄附錄附錄和附錄是資料性附錄

A、B、CD。

本標(biāo)準(zhǔn)由全國認(rèn)證認(rèn)可標(biāo)準(zhǔn)化技術(shù)委員會和全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會

(SAC/TC261)

提出

(SAC/TC260)。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位中國合格評定國家認(rèn)可中心中國電子技術(shù)標(biāo)準(zhǔn)化研究所北京知識安全工程中

:、、

心廣東賽寶認(rèn)證中心服務(wù)有限公司中國信息安全認(rèn)證中心華夏認(rèn)證中心有限公司北京同方信息安

、、、、

全技術(shù)股份有限公司北京北大青鳥商用信息系統(tǒng)有限公司中訊軟件集團股份有限公司

、、。

本標(biāo)準(zhǔn)主要起草人劉曉紅胡嘯汪修慈王新杰宋紅茹閔京華王梅王連強費楊韓碩祥

:、、、、、、、、、、

趙戰(zhàn)生婁天峰婁丹布寧劉宇

、、、、。

Ⅲ

GB/T25067—2010/ISO/IEC270062007

:

引言

是針對實施組織管理體系審核和認(rèn)證的機構(gòu)提出運作準(zhǔn)則的國家標(biāo)準(zhǔn)它等

GB/T27021—2007,

同采用如果這類機構(gòu)按照開展以信息安全管理體系

ISO/IEC17021:2006。GB/T22080—2008

審核和認(rèn)證為目的的活動并打算依據(jù)獲得認(rèn)可對增

(ISMS),GB/T27021—2007,GB/T27021—2007

加一些要求和指南是必要的本標(biāo)準(zhǔn)提供了這樣的內(nèi)容

。。

本標(biāo)準(zhǔn)正文遵循的結(jié)構(gòu)針對審核和認(rèn)證所增加的特定要求和指南用

GB/T27021—2007,ISMS,

加以標(biāo)識

“IS”。

貫穿本標(biāo)準(zhǔn)全文使用應(yīng)這一術(shù)語以表示本標(biāo)準(zhǔn)中與和

,“”(shall),GB/T27021—2007GB/T22080—

的要求相對應(yīng)的條款是要求性的認(rèn)證機構(gòu)必須遵循使用宜這一術(shù)語以表示盡管本

2008,;“”(should),

標(biāo)準(zhǔn)中與和的要求相對應(yīng)的條款是指南性的構(gòu)成了對這些

GB/T27021—2007GB/T22080—2008,

標(biāo)準(zhǔn)中要求的應(yīng)用指南但仍然期望認(rèn)證機構(gòu)采納

,。

本標(biāo)準(zhǔn)的目的之一是使得那些認(rèn)可機構(gòu)能夠更加協(xié)調(diào)一致地應(yīng)用評審認(rèn)證機構(gòu)所依據(jù)的標(biāo)準(zhǔn)認(rèn)

。

證機構(gòu)在貫徹本標(biāo)準(zhǔn)的指南性條款時所形成的任何不同可視為一個例外針對這種不同只有當(dāng)認(rèn)證

,。,

機構(gòu)向認(rèn)可機構(gòu)證實那些例外以等效的方式滿足和的相關(guān)條

GB/T27021—2007GB/T22080—2008

款要求以及本標(biāo)準(zhǔn)的意圖時并僅在具體問題具體分析的基礎(chǔ)上才被允許

,。

Ⅳ

GB/T25067—2010/ISO/IEC270062007

:

信息技術(shù)安全技術(shù)

信息安全管理體系審核認(rèn)證機構(gòu)的要求

1范圍

本標(biāo)準(zhǔn)對實施信息安全管理體系以下簡稱審核和認(rèn)證的機構(gòu)提出要求并提供指南以作

(“ISMS”),

為對和要求的補充制定本標(biāo)準(zhǔn)的主要意圖是對實施

GB/T27021—2007GB/T22080—2008。ISMS

認(rèn)證的認(rèn)證機構(gòu)的認(rèn)可提供支持

。

任何提供認(rèn)證的機構(gòu)需要在能力和可靠性方面證實其滿足本標(biāo)準(zhǔn)的要求本標(biāo)準(zhǔn)的指南性

ISMS。

條款為這些要求提供了進一步的說明

。

注本標(biāo)準(zhǔn)可以作為認(rèn)可同行評審或其他審核過程的準(zhǔn)則性文件

:、。

2規(guī)范性引用文件

下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款凡是注日期的引用文件其隨后所有

。,

的修改單不包括勘誤的內(nèi)容或修訂版均不適用于本標(biāo)準(zhǔn)然而鼓勵根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究

(),,

是否可使用這些文件的最新版本凡是不注日期的引用文件其最新版本適用于本標(biāo)準(zhǔn)

。,。

質(zhì)量和或環(huán)境管理體系審核指南

GB/T19011()(GB/T19011—2003,ISO/IEC19011:2002,

IDT)

信息技術(shù)安全技術(shù)信息安全管理體系要求

GB/T22080—2008(ISO/IEC27001:2005,

IDT)

合格評定管理體系審核認(rèn)證機構(gòu)的要求

GB/T27021—2007