GB/T 25067-2016信息技術(shù)安全技術(shù)信息安全管理體系審核和認(rèn)證機(jī)構(gòu)要求

ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T25067—2016/ISO/IEC270062011

代替:

GB/T25067—2010

信息技術(shù)安全技術(shù)信息安全管理體系

審核和認(rèn)證機(jī)構(gòu)要求

Informationtechnology—Securitytechniques—Requirementsforbodiesproviding

auditandcertificationofinformationsecuritymanagementsystems

(ISO/IEC27006:2011,IDT)

2016-10-13發(fā)布2017-05-01實(shí)施

中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會

GB/T25067—2016/ISO/IEC270062011

:

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

原則

4………………………2

通用要求

5…………………2

結(jié)構(gòu)要求

6…………………2

資源要求

7…………………3

信息要求

8…………………5

過程要求

9…………………6

認(rèn)證機(jī)構(gòu)的管理體系要求

10……………13

附錄資料性附錄客戶組織復(fù)雜性和行業(yè)特定方面的分析

A()………14

附錄資料性附錄審核員能力的示例

B()………………17

附錄資料性附錄審核時間

C()…………19

附錄資料性附錄對已實(shí)現(xiàn)的附錄的控制的評審指南

D()GB/T22080—2008A…24

附錄資料性附錄與的主要技術(shù)差異

NA()GB/T25067—2016GB/T25067—2010……………32

參考文獻(xiàn)

……………………34

GB/T25067—2016/ISO/IEC270062011

:

前言

本標(biāo)準(zhǔn)按照和給出的規(guī)則起草

GB/T1.1—2009GB/T20000.2—2009。

本標(biāo)準(zhǔn)代替信息技術(shù)安全技術(shù)信息安全管理體系審核認(rèn)證機(jī)構(gòu)的要

GB/T25067—2010《

求

》。

本標(biāo)準(zhǔn)與相比主要技術(shù)變化如下

GB/T25067—2010,:

新增能力準(zhǔn)則的確定

———IS7.1.2;

監(jiān)督方案明確為三年內(nèi)的周期見

———[9.1.4.2e)];

多處宜的描述在本標(biāo)準(zhǔn)中改為應(yīng)見附錄

———GB/T25067—2010“”“”(NA)。

本標(biāo)準(zhǔn)使用翻譯法等同采用信息技術(shù)安全技術(shù)信息安全管理體系審核

ISO/IEC27006:2011《

和認(rèn)證機(jī)構(gòu)要求

》。

與本標(biāo)準(zhǔn)中規(guī)范性引用的國際文件有一致性對應(yīng)關(guān)系的我國文件如下

:

管理體系審核指南

———GB/T19011—2013(ISO19011:2011,IDT)

本標(biāo)準(zhǔn)做了下列編輯性修改

:

糾正了原文注日期引用文件不一致的問題

———;

增加了資料性附錄

———NA。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位中國電子技術(shù)標(biāo)準(zhǔn)化研究院中國合格評定國家認(rèn)可中心廣州賽寶認(rèn)證中心服

:、、

務(wù)有限公司上海質(zhì)量審核中心中國質(zhì)量認(rèn)證中心中國信息安全認(rèn)證中心中國船級社質(zhì)量認(rèn)證公

、、、、

司華夏認(rèn)證中心有限公司黑龍江電子信息產(chǎn)品監(jiān)督檢驗(yàn)院

、、。

本標(biāo)準(zhǔn)主要起草人黃俊梅韓碩祥劉宇倪文靜蔡北方費(fèi)楊付志高劉健趙國祥田剛王軍

:、、、、、、、、、、、

尹冰劉鋼楊勇劉佳魏軍尤其程瑜琦朱博周召夏芳劉建毅王希忠馬遙黃俊強(qiáng)

、、、、、、、、、、、、、。

本標(biāo)準(zhǔn)所代替標(biāo)準(zhǔn)的歷次版本發(fā)布情況為

:

———GB/T25067—2010。

Ⅰ

GB/T25067—2016/ISO/IEC270062011

:

引言

為機(jī)構(gòu)對組織的管理體系實(shí)施審核和認(rèn)證建立了準(zhǔn)則如果這類機(jī)構(gòu)按照

ISO/IEC17021。

信息技術(shù)安全技術(shù)信息安全管理體系要求開展以信息安全管理體系

GB/T22080—2008《》

審核和認(rèn)證為目的的活動并準(zhǔn)備依據(jù)獲得認(rèn)可對補(bǔ)充一些

(ISMS),ISO/IEC17021,ISO/IEC17021

要求和指南是必要的本標(biāo)準(zhǔn)提供了這樣的內(nèi)容

。。

本標(biāo)準(zhǔn)正文遵循的結(jié)構(gòu)針對認(rèn)證所增加的特定要求和指南以字母進(jìn)

ISO/IEC17021,ISMS,“IS”

行識別

。

貫穿本標(biāo)準(zhǔn)全文使用應(yīng)這一術(shù)語以表示本標(biāo)準(zhǔn)中與和的

,“”,ISO/IEC17021GB/T22080—2008

要求相對應(yīng)的條款是要求性的使用宜這一術(shù)語表示建議

;“”。

本標(biāo)準(zhǔn)的目的之一是使得認(rèn)可機(jī)構(gòu)能更有效地協(xié)調(diào)一致地應(yīng)用本標(biāo)準(zhǔn)依據(jù)此標(biāo)準(zhǔn)評審認(rèn)證

、,

機(jī)構(gòu)

。

注本標(biāo)準(zhǔn)中管理體系和體系可以互換使用管理體系的定義見本標(biāo)準(zhǔn)中使用的管理

:“”“”。GB/T19000—2008。

體系請勿與其他類型的系統(tǒng)混淆例如信息技術(shù)系統(tǒng)系統(tǒng)

,,(IT)。

Ⅱ

GB/T25067—2016/ISO/IEC270062011

:

信息技術(shù)安全技術(shù)信息安全管理體系

審核和認(rèn)證機(jī)構(gòu)要求

1范圍

本標(biāo)準(zhǔn)對信息安全管理體系以下簡稱審核和認(rèn)證的機(jī)構(gòu)規(guī)定了要求并提供了指南以作

(ISMS),

為對和中相關(guān)要求的補(bǔ)充本標(biāo)準(zhǔn)的主要目的是為提供

ISO/IEC17021:2011GB/T22080—2008。

認(rèn)證的認(rèn)證機(jī)構(gòu)的認(rèn)可提供支持

ISMS。

任何提供認(rèn)證的機(jī)構(gòu)需要在能力和可靠性方面證實(shí)其滿足本標(biāo)準(zhǔn)的要求本標(biāo)準(zhǔn)的指南為

ISMS。

這些要求提供了進(jìn)一步的解釋

。

注本標(biāo)準(zhǔn)可以作為認(rèn)可同行評審或其他審核過程的準(zhǔn)則性文件

:、。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術(shù)安全技術(shù)信息安全管理體系要求

GB/T22080—2008(ISO/IEC27001:2005,IDT)

合格評定管理體系審核認(rèn)證機(jī)構(gòu)的要求

ISO/IEC17021:2011(Conformityassessment—Re-

quirementsforbodiesprovidingauditandcertificationofmanagementsystems)

管理體系審核指南

ISO19011(Guidelinesforauditingmanagementsystems)

3術(shù)語和定義

和界定的以及下列術(shù)語和定義適用于本文件

GB/T22080—2008ISO/IEC17021:2011