GB/T 25067-2020信息技術(shù)安全技術(shù)信息安全管理體系審核和認(rèn)證機(jī)構(gòu)要求

ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T25067—2020/ISO/IEC270062015

代替:

GB/T25067—2016

信息技術(shù)安全技術(shù)信息安全管理體系

審核和認(rèn)證機(jī)構(gòu)要求

Informationtechnology—Securitytechniques—Requirementsforbodiesproviding

auditandcertificationofinformationsecuritymanagementsystems

(ISO/IEC27006:2015,IDT)

2020-04-28發(fā)布2020-11-01實(shí)施

國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布

國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T25067—2020/ISO/IEC270062015

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

原則

4………………………1

通用要求

5…………………1

法律與合同事宜

5.1……………………1

公正性的管理

5.2………………………1

責(zé)任和財(cái)力

5.3…………………………2

結(jié)構(gòu)要求

6…………………2

資源要求

7…………………2

人員能力

7.1……………2

參與認(rèn)證活動(dòng)的人員

7.2………………5

外部審核員和外部技術(shù)專(zhuān)家的使用

7.3………………6

人員記錄

7.4……………6

外包

7.5…………………6

信息要求

8…………………6

公開(kāi)信息

8.1……………6

認(rèn)證文件

8.2……………6

認(rèn)證的引用和標(biāo)志的使用

8.3…………6

保密

8.4…………………7

認(rèn)證機(jī)構(gòu)與其客戶(hù)間的信息交換

8.5…………………7

過(guò)程要求

9…………………7

認(rèn)證前的活動(dòng)

9.1………………………7

策劃審核

9.2……………9

初次認(rèn)證

9.3……………10

實(shí)施審核

9.4……………11

認(rèn)證決定

9.5……………12

保持認(rèn)證

9.6……………12

申訴

9.7…………………13

投訴

9.8…………………13

客戶(hù)的記錄

9.9…………………………13

認(rèn)證機(jī)構(gòu)的管理體系要求

10……………14

可選方式

10.1…………………………14

Ⅰ

GB/T25067—2020/ISO/IEC270062015

:

方式通用的管理體系要求

10.2A:……………………14

方式與一致的管理體系要求

10.3B:GB/T19001…………………14

附錄資料性附錄審核與認(rèn)證的知識(shí)與技能

A()ISMS………………15

附錄規(guī)范性附錄審核時(shí)間

B()…………17

附錄資料性附錄審核時(shí)間計(jì)算方法

C()………………21

附錄資料性附錄對(duì)已實(shí)現(xiàn)的附錄的控制的評(píng)審指南

D()GB/T22080—2016A…25

附錄資料性附錄與的條款對(duì)照關(guān)系

NA()GB/T25067—2020GB/T25067—2016……………32

參考文獻(xiàn)

……………………36

Ⅱ

GB/T25067—2020/ISO/IEC270062015

:

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)代替信息技術(shù)安全技術(shù)信息安全管理體系審核和認(rèn)證機(jī)構(gòu)要求

GB/T25067—2016《》。

與相比主要技術(shù)變化如下

GB/T25067—2016,:

在規(guī)范性引用文件中刪除了新增了見(jiàn)第章

———,ISO19011,ISO/IEC27000(2);

刪除了術(shù)語(yǔ)證書(shū)認(rèn)證機(jī)構(gòu)標(biāo)志和組織見(jiàn)年版的第章

———“”“”“”“”(20163);

基于的附錄細(xì)化了參與信息安全管理體系認(rèn)證的各類(lèi)人員的能力

———GB/T27021.1—2017A,

要求見(jiàn)

(7.1.2);

遵從的標(biāo)準(zhǔn)結(jié)構(gòu)調(diào)整了第章過(guò)程要求的內(nèi)容見(jiàn)第章年版

———GB/T27021.1—2017,9(9,2016

的第章

9);

審核時(shí)間計(jì)算由資料性附錄調(diào)整為規(guī)范性附錄見(jiàn)附錄并新增了審核時(shí)間計(jì)算示例見(jiàn)

———(B),(

附錄

C)。

本標(biāo)準(zhǔn)使用翻譯法等同采用信息技術(shù)安全技術(shù)信息安全管理體系審核

ISO/IEC27006:2015《

和認(rèn)證機(jī)構(gòu)要求

》。

與本標(biāo)準(zhǔn)中規(guī)范性引用的國(guó)際文件有一致性對(duì)應(yīng)關(guān)系的我國(guó)文件如下

:

信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯

———GB/T29246—2017(ISO/IEC27000:

2016,IDT)

本標(biāo)準(zhǔn)做了以下編輯性修改

:

因已經(jīng)廢止所以引言中管理體系的定義調(diào)整為參見(jiàn)

———ISO9000:2005,GB/T19000—2016;

增加了資料性附錄

———NA;

詞匯在針對(duì)認(rèn)證機(jī)構(gòu)運(yùn)作管理時(shí)翻譯為程序見(jiàn)

———“procedure”,“”[7.1.2.4.1b)、9.1.3.2、9.1.5.1.2

等在針對(duì)客戶(hù)信息安全控制管理時(shí)翻譯為規(guī)程見(jiàn)

],“”[7.1.2.1.4a)、9.2.2.2a)、9.3.1.2.1a)

等兩者意思并無(wú)差異

],;

由于附錄只在中被引用根據(jù)國(guó)家標(biāo)準(zhǔn)起草規(guī)定將的注調(diào)整為標(biāo)準(zhǔn)條文

———A7.1.1,,7.1.1;

對(duì)表中控制網(wǎng)絡(luò)中的隔離的審核的評(píng)審指南更正了網(wǎng)段和網(wǎng)絡(luò)隔離的

———D.1“A.13.1.3”“”,

示例

。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位中國(guó)合格評(píng)定國(guó)家認(rèn)可中心中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院中國(guó)網(wǎng)絡(luò)安全審查技

:、、

術(shù)與認(rèn)證中心廣州賽寶認(rèn)證中心服務(wù)有限公司華夏認(rèn)證中心有限公司國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員

、、、

會(huì)山東省標(biāo)準(zhǔn)化研究院

、。

本標(biāo)準(zhǔn)主要起草人付志高張強(qiáng)黃俊梅魏軍田剛夏芳張志國(guó)尤其方潔王曙光劉鑫

:、、、、、、、、、、。

本標(biāo)準(zhǔn)所代替標(biāo)準(zhǔn)的歷次版本發(fā)布情況為

:

———GB/T25067—2010、GB/T25067—2016。

Ⅲ

GB/T25067—2020/ISO/IEC270062015

:

引言

為機(jī)構(gòu)對(duì)組織的管理體系實(shí)施審核和認(rèn)證建立了準(zhǔn)則如果這類(lèi)機(jī)構(gòu)按照

GB/T27021.1—2017。

開(kāi)展以信息安全管理體系以下簡(jiǎn)稱(chēng)審核和認(rèn)證為目的活動(dòng)并準(zhǔn)備依據(jù)

GB/T22080—2016(“ISMS”),

獲得認(rèn)可對(duì)補(bǔ)充一些要求和指南是必要的本標(biāo)準(zhǔn)提供

GB/T27021.1—2017,GB/T27021.1—2017。

了這樣的內(nèi)容

。

本標(biāo)準(zhǔn)正文遵循的結(jié)構(gòu)針對(duì)審核和認(rèn)證所增加的特定要求和指南

GB/T27021.1—2017,ISMS,

用字母加以標(biāo)識(shí)

“IS”。

本標(biāo)準(zhǔn)的主要目的是使得認(rèn)可機(jī)構(gòu)在應(yīng)用其評(píng)審認(rèn)證機(jī)構(gòu)所依據(jù)的標(biāo)準(zhǔn)時(shí)能更有效地協(xié)調(diào)一致

。

本標(biāo)準(zhǔn)中術(shù)語(yǔ)管理體系和體系可以互換使用管理體系的定義見(jiàn)請(qǐng)不

“”“”。GB/T19000—2016。

要將本標(biāo)準(zhǔn)中使用的管理體系與其他類(lèi)型的系統(tǒng)混淆例如信息技術(shù)以下簡(jiǎn)稱(chēng)系統(tǒng)

,,(“IT”)。

Ⅳ

GB/T25067—2020/ISO/IEC270062015

:

信息技術(shù)安全技術(shù)信息安全管理體系

審核和認(rèn)證機(jī)構(gòu)要求

1范圍

本標(biāo)準(zhǔn)在和的基礎(chǔ)上對(duì)實(shí)施審核和認(rèn)證的機(jī)構(gòu)

GB/T27021.1—2017GB/T22080—2016,ISMS

規(guī)定了要求并提供了指南本標(biāo)準(zhǔn)的主要目的是為認(rèn)證機(jī)構(gòu)的認(rèn)可提供支持

。ISMS。

任何提供認(rèn)證的機(jī)構(gòu)需要在能力和可靠性方面證實(shí)其滿(mǎn)足本標(biāo)準(zhǔn)中的要求本標(biāo)準(zhǔn)中的

ISMS,。

指南提供了對(duì)這些要求的進(jìn)一步解釋

。

注本標(biāo)準(zhǔn)可以作為認(rèn)可同行評(píng)審或其他審核過(guò)程的準(zhǔn)則性文件

:、。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技