GB/T 25067-2020信息技術(shù)安全技術(shù)信息安全管理體系審核和認(rèn)證機(jī)構(gòu)要求

ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T25067—2020/ISO/IEC270062015

代替:

GB/T25067—2016

信息技術(shù)安全技術(shù)信息安全管理體系

審核和認(rèn)證機(jī)構(gòu)要求

Informationtechnology—Securitytechniques—Requirementsforbodiesproviding

auditandcertificationofinformationsecuritymanagementsystems

(ISO/IEC27006:2015,IDT)

2020-04-28發(fā)布2020-11-01實(shí)施

國家市場監(jiān)督管理總局發(fā)布

國家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T25067—2020/ISO/IEC270062015

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

原則

4………………………1

通用要求

5…………………1

法律與合同事宜

5.1……………………1

公正性的管理

5.2………………………1

責(zé)任和財(cái)力

5.3…………………………2

結(jié)構(gòu)要求

6…………………2

資源要求

7…………………2

人員能力

7.1……………2

參與認(rèn)證活動(dòng)的人員

7.2………………5

外部審核員和外部技術(shù)專家的使用

7.3………………6

人員記錄

7.4……………6

外包

7.5…………………6

信息要求

8…………………6

公開信息

8.1……………6

認(rèn)證文件

8.2……………6

認(rèn)證的引用和標(biāo)志的使用

8.3…………6

保密

8.4…………………7

認(rèn)證機(jī)構(gòu)與其客戶間的信息交換

8.5…………………7

過程要求

9…………………7

認(rèn)證前的活動(dòng)

9.1………………………7

策劃審核

9.2……………9

初次認(rèn)證

9.3……………10

實(shí)施審核

9.4……………11

認(rèn)證決定

9.5……………12

保持認(rèn)證

9.6……………12

申訴

9.7…………………13

投訴

9.8…………………13

客戶的記錄

9.9…………………………13

認(rèn)證機(jī)構(gòu)的管理體系要求

10……………14

可選方式

10.1…………………………14

Ⅰ

GB/T25067—2020/ISO/IEC270062015

:

方式通用的管理體系要求

10.2A:……………………14

方式與一致的管理體系要求

10.3B:GB/T19001…………………14

附錄資料性附錄審核與認(rèn)證的知識與技能

A()ISMS………………15

附錄規(guī)范性附錄審核時(shí)間

B()…………17

附錄資料性附錄審核時(shí)間計(jì)算方法

C()………………21

附錄資料性附錄對已實(shí)現(xiàn)的附錄的控制的評審指南

D()GB/T22080—2016A…25

附錄資料性附錄與的條款對照關(guān)系

NA()GB/T25067—2020GB/T25067—2016……………32

參考文獻(xiàn)

……………………36

Ⅱ

GB/T25067—2020/ISO/IEC270062015

:

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)代替信息技術(shù)安全技術(shù)信息安全管理體系審核和認(rèn)證機(jī)構(gòu)要求

GB/T25067—2016《》。

與相比主要技術(shù)變化如下

GB/T25067—2016,:

在規(guī)范性引用文件中刪除了新增了見第章

———,ISO19011,ISO/IEC27000(2);

刪除了術(shù)語證書認(rèn)證機(jī)構(gòu)標(biāo)志和組織見年版的第章

———“”“”“”“”(20163);

基于的附錄細(xì)化了參與信息安全管理體系認(rèn)證的各類人員的能力

———GB/T27021.1—2017A,

要求見

(7.1.2);

遵從的標(biāo)準(zhǔn)結(jié)構(gòu)調(diào)整了第章過程要求的內(nèi)容見第章年版

———GB/T27021.1—2017,9(9,2016

的第章

9);

審核時(shí)間計(jì)算由資料性附錄調(diào)整為規(guī)范性附錄見附錄并新增了審核時(shí)間計(jì)算示例見

———(B),(

附錄

C)。

本標(biāo)準(zhǔn)使用翻譯法等同采用信息技術(shù)安全技術(shù)信息安全管理體系審核

ISO/IEC27006:2015《

和認(rèn)證機(jī)構(gòu)要求

》。

與本標(biāo)準(zhǔn)中規(guī)范性引用的國際文件有一致性對應(yīng)關(guān)系的我國文件如下

:

信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯

———GB/T29246—2017(ISO/IEC27000:

2016,IDT)

本標(biāo)準(zhǔn)做了以下編輯性修改

:

因已經(jīng)廢止所以引言中管理體系的定義調(diào)整為參見

———ISO9000:2005,GB/T19000—2016;

增加了資料性附錄

———NA;

詞匯在針對認(rèn)證機(jī)構(gòu)運(yùn)作管理時(shí)翻譯為程序見

———“procedure”,“”[7.1.2.4.1b)、9.1.3.2、9.1.5.1.2

等在針對客戶信息安全控制管理時(shí)翻譯為規(guī)程見

],“”[7.1.2.1.4a)、9.2.2.2a)、9.3.1.2.1a)

等兩者意思并無差異

],;

由于附錄只在中被引用根據(jù)國家標(biāo)準(zhǔn)起草規(guī)定將的注調(diào)整為標(biāo)準(zhǔn)條文

———A7.1.1,,7.1.1;

對表中控制網(wǎng)絡(luò)中的隔離的審核的評審指南更正了網(wǎng)段和網(wǎng)絡(luò)隔離的

———D.1“A.13.1.3”“”,

示例

。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位中國合格評定國家認(rèn)可中心中國電子技術(shù)標(biāo)準(zhǔn)化研究院中國網(wǎng)絡(luò)安全審查技

:、、

術(shù)與認(rèn)證中心廣州賽寶認(rèn)證中心服務(wù)有限公司華夏認(rèn)證中心有限公司國家認(rèn)證認(rèn)可監(jiān)督管理委員

、、、

會(huì)山東省標(biāo)準(zhǔn)化研究院

、。

本標(biāo)準(zhǔn)主要起草人付志高張強(qiáng)黃俊梅魏軍田剛夏芳張志國尤其方潔王曙光劉鑫

:、、、、、、、、、、。

本標(biāo)準(zhǔn)所代替標(biāo)準(zhǔn)的歷次版本發(fā)布情況為

:

———GB/T25067—2010、GB/T25067—2016。

Ⅲ

GB/T25067—2020/ISO/IEC270062015

:

引言

為機(jī)構(gòu)對組織的管理體系實(shí)施審核和認(rèn)證建立了準(zhǔn)則如果這類機(jī)構(gòu)按照

GB/T27021.1—2017。

開展以信息安全管理體系以下簡稱審核和認(rèn)證為目的活動(dòng)并準(zhǔn)備依據(jù)

GB/T22080—2016(“ISMS”),

獲得認(rèn)可對補(bǔ)充一些要求和指南是必要的本標(biāo)準(zhǔn)提供

GB/T27021.1—2017,GB/T27021.1—2017。

了這樣的內(nèi)容

。

本標(biāo)準(zhǔn)正文遵循的結(jié)構(gòu)針對審核和認(rèn)證所增加的特定要求和指南

GB/T27021.1—2017,ISMS,

用字母加以標(biāo)識

“IS”。

本標(biāo)準(zhǔn)的主要目的是使得認(rèn)可機(jī)構(gòu)在應(yīng)用其評審認(rèn)證機(jī)構(gòu)所依據(jù)的標(biāo)準(zhǔn)時(shí)能更有效地協(xié)調(diào)一致

。

本標(biāo)準(zhǔn)中術(shù)語管理體系和體系可以互換使用管理體系的定義見請不

“”“”。GB/T19000—2016。

要將本標(biāo)準(zhǔn)中使用的管理體系與其他類型的系統(tǒng)混淆例如信息技術(shù)以下簡稱系統(tǒng)

,,(“IT”)。

Ⅳ

GB/T25067—2020/ISO/IEC270062015

:

信息技術(shù)安全技術(shù)信息安全管理體系

審核和認(rèn)證機(jī)構(gòu)要求

1范圍

本標(biāo)準(zhǔn)在和的基礎(chǔ)上對實(shí)施審核和認(rèn)證的機(jī)構(gòu)

GB/T27021.1—2017GB/T22080—2016,ISMS

規(guī)定了要求并提供了指南本標(biāo)準(zhǔn)的主要目的是為認(rèn)證機(jī)構(gòu)的認(rèn)可提供支持

。ISMS。

任何提供認(rèn)證的機(jī)構(gòu)需要在能力和可靠性方面證實(shí)其滿足本標(biāo)準(zhǔn)中的要求本標(biāo)準(zhǔn)中的

ISMS,。

指南提供了對這些要求的進(jìn)一步解釋

。

注本標(biāo)準(zhǔn)可以作為認(rèn)可同行評審或其他審核過程的準(zhǔn)則性文件

:、。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技