《信息技術(shù) 安全技術(shù) 信息安全管理體系審核認證機構(gòu)的要求》

ICS35.040

L80

中華人民共和國國家標準

GB/T25067—XXXX

信息技術(shù)安全技術(shù)

信息安全管理體系審核認證機構(gòu)的要求

Informationtechnology—Securitytechniques—Requirementsforbodiesproviding

auditandcertificationofinformationsecuritymanagementsystems

ISO/IEC27006:2011，IDT

（征求意見稿）

XXXX-XX-XX發(fā)布XXXX-XX-XX實施

GB/TXXXXX—XXXX

目??次

前言................................................................................III

引言.................................................................................IV

1范圍...............................................................................1

2規(guī)范性引用文件.....................................................................1

3術(shù)語和定義.........................................................................1

3.1.................................................................................1

3.2.................................................................................1

3.3.................................................................................1

3.4.................................................................................1

3.5.................................................................................1

4原則...............................................................................2

5通用要求...........................................................................2

5.1法律和合同事宜.................................................................2

5.2公正性的管理...................................................................2

5.2.1IS5.2利益沖突..........................................................2

5.3責任與財力.....................................................................2

6結(jié)構(gòu)要求...........................................................................2

6.1組織結(jié)構(gòu)和最高管理層...........................................................2

6.2維護公正性的委員會.............................................................2

7資源要求...........................................................................3

7.1管理層和人員的能力.............................................................3

7.1.1IS7.1.1通用考慮........................................................3

7.2參與認證活動的人員.............................................................3

7.2.1IS7.2認證機構(gòu)人員的能力..................................................3

7.3獨立的外部審核員和外部專家的使用...............................................5

7.3.1IS7.3使用外部審核員或外部技術(shù)專家作為審核組的一部分......................5

7.4人員記錄.......................................................................5

7.5外包...........................................................................5

8信息要求...........................................................................5

8.1可公開獲取的信息...............................................................5

8.1.1IS8.1授予、保持、擴大、縮小、暫停和撤銷認證的程序........................5

8.2認證文件.......................................................................5

8.3獲證客戶名錄...................................................................6

8.4認證的引用和標志的使用.........................................................6

I

GB/TXXXXX—XXXX

8.4.1IS8.4認證標志的控制......................................................6

8.5保密性.........................................................................6

8.5.1IS8.5組織記錄的訪問......................................................6

8.6認證機構(gòu)與其客戶間的信息交換...................................................6

9過程要求...........................................................................6

9.1通用要求.......................................................................6

9.1.1IS9.1.1通用ISMS審核要求.................................................6

9.1.2IS9.1.2認證范圍..........................................................7

9.1.3IS9.1.3審核時間..........................................................7

9.1.4IS9.1.4多場所............................................................7

9.1.5IS9.1.5審核方法..........................................................8

9.1.6IS9.1.6認證審核報告......................................................8

9.2初次審核和認證.................................................................9

9.2.1IS9.2.1審核組的能力......................................................9

9.2.2IS9.2.2初次審核的一般準備...............................................10

9.2.3IS9.2.3初次認證審核.....................................................10

9.2.4IS9.2.4授予初次認證的信息...............................................12

9.2.5IS9.2.5認證決定.........................................................12

9.3監(jiān)督活動......................................................................12

9.3.1IS9.3監(jiān)督審核.............................................................12

9.4再認證........................................................................13

9.4.1IS再認證審核..............................................................13

9.5特殊審核......................................................................13

9.5.1IS9.5特殊情況...........................................................13

9.6暫停、取消或縮小認證范圍......................................................13

9.7申訴..........................................................................13

9.8投訴..........................................................................13

9.8.1IS9.8投訴.................................................................13

9.9申請者和客戶記錄..............................................................14

10認證機構(gòu)的管理體系要求...........................................................14

10.1選項.........................................................................14

10.2方式一：按照GB/T19001的管理體系要求........................................14

10.3方式二：通用的管理體系要求...................................................14

10.3.1IS10.3ISMS實施.........................................................14

附錄A（資料性附錄）客戶組織復(fù)雜性和行業(yè)特定方面的分析..............................15

附錄B（資料性附錄）審核員能力的示例................................................18

附錄C（資料性附錄）審核時間........................................................20

附錄D（資料性附錄）對已實施的GB/T22080-2008附錄A的控制措施的評審指南......25

II

GB/TXXXXX—XXXX

信息技術(shù)安全技術(shù)信息安全管理體系審核認證機構(gòu)的要求

1范圍

本標準對信息安全管理體系（以下簡稱“ISMS”）審核和認證的機構(gòu)規(guī)定了要求并提供了指南，以

作為對ISO/IEC17021和GB/T22080中相關(guān)要求的補充。本標準的主要目的是為提供ISMS認證的認證機

構(gòu)的認可提供支持。

任何提供ISMS認證的機構(gòu)需要在能力和可靠性方面證實其滿足本標準的要求。本標準的指南為這些

要求提供了進一步的解釋。

注：本標準可以作為認可、同行評審或其他審核過程的準則性文件。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

ISO/IEC17021:2011合格評定管理體系審核認證機構(gòu)的要求

GB/T22080—2008信息技術(shù)安全技術(shù)信息安全管理體系要求（ISO/IEC27001:2005，IDT）

ISO19011管理體系審核指南

3術(shù)語和定義

ISO/IEC17021，GB/T22080中界定的以及下列術(shù)語和定義適用于本標準。

3.1

認證證書certificate

由認證機構(gòu)根據(jù)認可條件頒發(fā)的，并帶有認可標識或聲明的一種證書。

3.2

認證機構(gòu)certificatebody

按照正式發(fā)布的ISMS標準和該體系所要求的任何補充性文檔，對客戶組織的ISMS進行評估和認證的

第三方機構(gòu)。

3.3

認證文件certificatedocument

表明客戶組織的ISMS符合指定的ISMS標準及ISMS所要求的任何補充性文檔的一類文件。

3.4

標志mark

在認可機構(gòu)或認證機構(gòu)的規(guī)則下頒發(fā)的受到保護的標識，或依法注冊的商標，表明對機構(gòu)運行的體

系具有足夠信心，或者表明相關(guān)的產(chǎn)品或人員符合指定的標準的要求。

3.5

1

GB/TXXXXX—XXXX

組織organization

公司、集團、事務(wù)所、工廠、政府機構(gòu)、科研機構(gòu)、學校等，或者其部分或組合，無論其是否為法

人，還是公有或私有的，均具有其自身的職能和管理并能夠確保實施其信息安全。

4原則

ISO/IEC17021:2011的4條款中的原則適用。

5通用要求

5.1法律和合同事宜

ISO/IEC17021:2011的5.1條款中的要求適用。

5.2公正性的管理

ISO/IEC17021:2011的5.2條款中的要求適用。并且，以下ISMS特定要求和指南適用。

5.2.1IS5.2利益沖突

認證機構(gòu)可以從事以下工作，而不被視為咨詢或具有潛在的利益沖突：

a)認證，包括信息溝通會議、審核策劃會議、文件評審、審核（非ISMS內(nèi)部審核或內(nèi)部安全評

審）和不符合的跟蹤；

b)作為講師安排和參與培訓課程，如果這些課程與信息安全管理、有關(guān)的管理體系或?qū)徍讼嚓P(guān)，

認證機構(gòu)應(yīng)僅限于提供公眾可以公開自由獲取的、通用的信息和建議，例如：認證機構(gòu)不應(yīng)提

供針對特定公司的、違反下述c)的要求的建議；

c)根據(jù)請求，提供或發(fā)布認證機構(gòu)對認證審核標準要求的解釋性信息（見9.1.1.1）；

d)審核前活動，僅以確定認證審核是否就緒為目的，但這類活動不應(yīng)提供導(dǎo)致違反本條款的建議

或意見。認證機構(gòu)應(yīng)能夠確認這類活動不違反這些要求，并且不使用這些活動作為縮減最終認

證審核時間的理由；

e)按照標準或法規(guī)，而不只是按照認可范圍那一部分的要求，執(zhí)行第二方和第三方審核；

f)在認證審核和監(jiān)督審核過程中的增值活動，例如在審核過程中，當改進機會明顯時，識別改進

的機會而不推薦具體的解決方案。

認證機構(gòu)應(yīng)獨立于那些為接受ISMS認證的客戶提供ISMS內(nèi)部審核的機構(gòu)（包括任何個人）。

5.3責任與財力

ISO/IEC17021:2011的5.3條款中的要求適用。

6結(jié)構(gòu)要求

6.1組織結(jié)構(gòu)和最高管理層

ISO/IEC17021:2011的6.1條款中的要求適用。

6.2維護公正性的委員會

ISO/IEC17021:2011的6.2條款中的要求適用。

2

GB/TXXXXX—XXXX

7資源要求

7.1管理層和人員的能力

ISO/IEC17021:2011的7.1條款中的要求適用。另外，以下ISMS特定要求和指南適用。

7.1.1IS7.1.1通用考慮

實施ISMS認證所需的基本要素是選擇、提供以及管理那些具備與受審核活動和相關(guān)信息安全事宜相

適應(yīng)的技能和綜合能力的人員。

7.1.1.1能力分析和合同評審

認證機構(gòu)應(yīng)確保其具備與所評估的客戶組織的ISMS有關(guān)的技術(shù)和法律發(fā)展的知識。

認證機構(gòu)應(yīng)具有一個有效的能力分析系統(tǒng)，以便在其運作所涉及的全部技術(shù)領(lǐng)域就需要具備的信息

安全管理方面的能力進行分析。

對于每個客戶，認證機構(gòu)應(yīng)能夠證實，其在實施合同評審前，對每個相關(guān)行業(yè)的要求進行了能力分

析（針對所評估出的需求進行技能評定）。然后，認證機構(gòu)應(yīng)在能力分析結(jié)果的基礎(chǔ)上，與客戶組織一

起進行合同評審。特別地，認證機構(gòu)應(yīng)能夠證實其具備完成以下活動的能力：

a)理解客戶組織的活動領(lǐng)域及相關(guān)業(yè)務(wù)風險；

b)根據(jù)所識別的活動以及有關(guān)客戶組織的與信息安全有關(guān)的對資產(chǎn)的威脅、脆弱性和影響來確定

認證機構(gòu)所需的能力；

c)確認具備所需的能力。

7.1.1.2資源

認證機構(gòu)的管理應(yīng)具有必要的過程和資源，以確定每個審核員是否能夠勝任在其操作的認證范圍所

要求的工作。審核員的能力可以通過經(jīng)驗證的背景經(jīng)歷和特定的培訓或情況說明（見本標準附錄B）來

確定。認證機構(gòu)應(yīng)能夠與其提供服務(wù)的所有客戶進行有效地溝通。

IS7.1.2能力準則的確定

附錄B提供了知識和技能的附加信息以支持ISO/IEC17021中的能力準則。

7.2參與認證活動的人員

ISO/IEC17021:2011的7.2條款中的要求適用。另外，以下ISMS特定要求和指南適用。

7.2.1IS7.2認證機構(gòu)人員的能力

認證機構(gòu)應(yīng)有人員能夠：

a)選擇并驗證ISMS審核員的能力，以使審核組適合審核；

b)向ISMS審核員進行情況說明并安排必要的培訓；

c)做出授予、保持、撤銷、暫停、擴大或縮小認證的決定；

d)建立和運行申訴和投訴過程。

7.2.1.1審核組的培訓

認證機構(gòu)應(yīng)具備培訓審核組的準則，以確保審核組：

a)具有ISMS標準和其他相關(guān)規(guī)范性文件的知識；

3

GB/TXXXXX—XXXX

b)理解信息安全；

c)從業(yè)務(wù)角度，理解風險評估和風險管理；

d)具有與受審核的活動相關(guān)的技術(shù)知識；

e)具有與各類ISMS相關(guān)的法規(guī)要求的通用知識；

f)具有管理體系的知識；

g)理解基于GB/T19011的審核原則；

h)具有評審ISMS有效性和控制措施有效性測量的知識。

以上培訓要求，除了上述d)可以在審核組成員之間共享外，其余均適用于審核組的所有成員。

7.2.1.1.1當為特定認證審核選擇指派審核組時，認證機構(gòu)應(yīng)確保審核組實施各項工作的技能是適宜

的。審核組應(yīng)：

a)針對擬認證的ISMS范圍內(nèi)的特定活動，具備適當?shù)募夹g(shù)知識，以及適宜時，與這些活動相關(guān)

的規(guī)程及其潛在的信息安全風險方面的技術(shù)知識（非審核員的技術(shù)專家可以履行此項職責）；

b)充分理解客戶組織，以便對（管理客戶組織活動、產(chǎn)品和服務(wù)的信息安全的）ISMS進行可靠

的認證審核；

c)適當?shù)睦斫膺m用于客戶組織的ISMS的法規(guī)要求。

7.2.1.1.2需要時，審核組可以補充一些技術(shù)專家，這些專家可證實具備與審核相適宜的技術(shù)領(lǐng)域的特

定能力。宜注意的是，對技術(shù)專家的使用不能替代ISMS審核員，但技術(shù)專家可為審核員就受審核的管

理體系的技術(shù)充分性事宜提供建議。認證機構(gòu)應(yīng)具備程序：

a)按照其能力、接受的培訓、資格和經(jīng)歷選擇審核員和技術(shù)專家；

b)在認證審核中對審核員和技術(shù)專家的行為進行初始評價，而后對審核員和技術(shù)專家的表現(xiàn)進行

監(jiān)視。

7.2.1.2決定過程的管理

管理職能應(yīng)包含具備適當?shù)募夹g(shù)能力，以能夠根據(jù)GB/T22080的要求，對授予、保持、擴大、縮小、

暫停和撤銷ISMS認證的決定過程進行管理。

7.2.1.3ISMS審核員必備的教育水平、工作經(jīng)歷、審核員培訓和審核經(jīng)歷

7.2.1.3.1以下準則適用于ISMS審核組中的每個審核員。審核員應(yīng)：

a)具備中等教育程度；

b)在信息技術(shù)方面具備至少4年的全職實際工作經(jīng)歷，其中具備至少2年與信息安全有關(guān)的職位

或職責的工作經(jīng)歷；

c)成功地完成5天的培訓，培訓范圍應(yīng)考慮合適地覆蓋ISMS審核和審核管理；

d)在被賦予審核員責任之前，已獲得評審信息安全整個過程的經(jīng)驗。這種經(jīng)驗宜通過參與最少4

次、總共天數(shù)為20天認證審核獲得，包括文件評審和風險分析，實施評審和審核報告；

e)具備合乎時宜的經(jīng)驗；

f)能夠宏觀地觀察復(fù)雜的運作，并理解在較大的客戶組織中各單元的職能；

g)通過持續(xù)的專業(yè)發(fā)展，保持信息安全和審核的知識和技能的更新。

技術(shù)專家應(yīng)符合準則a)，b)，e)和f)。

4

GB/TXXXXX—XXXX

7.2.1.3.2除了7.2.1.3.1中的要求，審核組組長應(yīng)滿足以下要求，并應(yīng)在指導(dǎo)和監(jiān)督下通過審核予以

證實：

a)具備管理認證審核過程的知識和技能；

g)作為審核員至少實施過3次完整的ISMS審核；

h)具備口頭和書面的有效溝通的能力。

7.3獨立的外部審核員和外部技術(shù)專家的使用

ISO/IEC17021:2011的7.3條款中的要求適用。并且，以下ISMS特定要求和指南適用。

7.3.1IS7.3使用外部審核員或外部技術(shù)專家作為審核組的一部分

當使用外部審核員或外部技術(shù)專家作為審核組成員時，認證機構(gòu)應(yīng)確保其能夠勝任并遵守本標準中

適用的規(guī)定，同時應(yīng)確保其不直接或通過其雇主參與對ISMS或相關(guān)管理體系的設(shè)計、實施或維護，從而

避免使公正性受損。

7.3.1.1技術(shù)專家的使用

具有影響客戶組織的過程、信息安全事宜和法律有關(guān)的特定知識，但不滿足7.2的所有準則的技術(shù)

專家，可以成為審核組成員。技術(shù)專家應(yīng)在審核員的監(jiān)督下進行工作。

7.4人員記錄

ISO/IEC17021:2011的7.4條款中的要求適用。

7.5外包

ISO/IEC17021:2011的7.5條款中的要求適用。

8信息要求

8.1可公開獲取的信息

ISO/IEC17021:2011的8.1條款中的要求適用。并且，以下ISMS特定要求和指南適用。

8.1.1IS8.1授予、保持、擴大、縮小、暫停和撤銷認證的程序

認證機構(gòu)應(yīng)要求客戶組織實施了文件化的ISMS，并符合GB/T22080的要求和認證所需其他文件的要

求。

認證機構(gòu)應(yīng)具備形成文件的程序，以:

a)依據(jù)ISO/IEC17021:2011和其他相關(guān)文件的規(guī)定，對客戶組織的ISMS進行初次認證審核；

b)依據(jù)ISO/IEC17021:2011，對客戶組織的ISMS定期進行監(jiān)督和再認證審核，以確認其持續(xù)符

合相關(guān)要求,驗證和記錄客戶組織是否對所有不符合及時采取糾正措施。

8.2認證文件

ISO/IEC17021:2011的8.2條款中的要求適用。并且，以下ISMS特定要求和指南適用。

8.2.1IS8.2ISMS的認證文件

5

GB/TXXXXX—XXXX

認證機構(gòu)應(yīng)向每個ISMS獲證客戶組織提供認證文件，例如由負責此項職責的人員簽署的證明或認證

證書。對客戶組織及其認證覆蓋的每個信息系統(tǒng)，這些文件應(yīng)明確所授予的認證范圍和ISMS認證所依據(jù)

的標準GB/T22080-2008。此外，證書應(yīng)包括引用的適用性聲明的特定版本。

注：適用性聲明的變更如不改變認證范圍中控制措施的覆蓋范圍，不需要更新認證證書。

8.3獲證客戶名錄

ISO/IEC17021:2011的8.3條款中的要求適用。

8.4認證的引用和標志的使用

ISO/IEC17021:2011的8.4條款中的要求適用。并且，以下ISMS特定要求和指南適用。

8.4.1IS8.4認證標志的控制

認證機構(gòu)應(yīng)對ISMS認證標志的所有權(quán)、使用和顯示方式進行適當?shù)目刂?。如果認證機構(gòu)授權(quán)使用標

志來表明對ISMS的認證，認證機構(gòu)應(yīng)確?？蛻艚M織僅使用由認證機構(gòu)書面授權(quán)所規(guī)定的標志。認證機構(gòu)

不應(yīng)授權(quán)在產(chǎn)品上使用這一標志，或以表示產(chǎn)品合格的方式使用這一標志。

8.5保密性

ISO/IEC17021:2011的8.5條款中的要求適用。并且，以下ISMS特定要求和指南適用。

8.5.1IS8.5組織記錄的訪問

在認證審核之前，認證機構(gòu)應(yīng)要求客戶組織報告是否存在因包含保密性或敏感性信息而不能提供給

審核組核查的ISMS記錄。認證機構(gòu)應(yīng)確定ISMS是否能在缺少這些記錄的情況下得到充分地審核。如果認

證機構(gòu)得出不對已識別的保密性或敏感性的記錄進行核查就不能對ISMS進行充分審核的結(jié)論，就應(yīng)告知

客戶組織認證審核不能進行，直至獲得適當?shù)慕?jīng)許可的訪問安排。

8.6認證機構(gòu)與其客戶間的信息交換

ISO/IEC17021:2011的8.6條款中的要求適用。

9過程要求

9.1通用要求

ISO/IEC17021:2011的9.1條款中的要求適用。并且，以下ISMS特定要求和指南適用。

9.1.1IS9.1.1通用ISMS審核要求

9.1.1.1認證審核準則

客戶組織的ISMS接受審核的準則應(yīng)是ISMS標準GB/T22080-2008中提出的要求和與其所實施的業(yè)務(wù)

相關(guān)的認證所需的其他文件中的要求。如果需要對上述文件在特定認證方案中的應(yīng)用做出解釋，這種解

釋應(yīng)由相關(guān)的公正性委員會或具備必要技術(shù)能力的個人給出，并由認證機構(gòu)正式發(fā)布。

9.1.1.2策略和程序

認證機構(gòu)的文檔應(yīng)包括實施認證過程的策略和程序，其中包括對用于ISMS認證的文件的適用性和應(yīng)

用情況的檢查，也包括用于審核和認證客戶組織ISMS程序的檢查。

6

GB/TXXXXX—XXXX

9.1.1.3審核組

認證機構(gòu)應(yīng)正式任命審核組并為其提供相應(yīng)的工作文件。審核計劃和日期應(yīng)得到客戶組織的同意。

認證機構(gòu)應(yīng)明確規(guī)定審核組的任務(wù)，并使客戶組織知悉。該任務(wù)應(yīng)要求審核組檢查客戶組織的結(jié)構(gòu)、策

略和程序，確認其滿足與認證范圍相關(guān)的要求以及所實施程序的要求，從而提供對客戶組織ISMS的信心。

9.1.2IS9.1.2認證范圍

審核組應(yīng)依據(jù)所有適用的認證要求，對包含在確定范圍內(nèi)的客戶組織的ISMS進行審核。認證機構(gòu)應(yīng)

確保根據(jù)客戶組織的業(yè)務(wù)特點、組織、所處地理位置、資產(chǎn)和技術(shù)的特點清晰地定義其ISMS的范圍和邊

界。認證機構(gòu)應(yīng)確認，客戶組織在其ISMS范圍內(nèi)滿足了GB/T22080-2008中1.2條款的要求。

認證機構(gòu)應(yīng)確保，按照ISMS標準GB/T22080的要求，客戶組織的信息安全風險評估和風險處置與客

戶組織的活動及活動的邊界相一致，并應(yīng)確認這些都在客戶組織的ISMS范圍和適用性聲明中得到體現(xiàn)。

認證機構(gòu)應(yīng)確保，與不完全屬于ISMS范圍內(nèi)的服務(wù)或活動的接口在接受認證的ISMS中得到說明，并

包括在客戶組織的信息安全風險評估中。例如，其他組織共享設(shè)施的情況（例如：IT系統(tǒng)、數(shù)據(jù)庫和通

訊系統(tǒng)）。

9.1.3IS9.1.3審核時間

認證機構(gòu)應(yīng)給予審核組足夠的時間開展與初次審核、監(jiān)督審核或再認證審核相關(guān)的所有活動。所安

排的時間應(yīng)考慮以下因素：

a)ISMS范圍的大?。ɡ?，所使用的信息系統(tǒng)的數(shù)量、雇員的數(shù)量）；

b)ISMS的復(fù)雜程度（例如，信息系統(tǒng)的關(guān)鍵程度、ISMS的風險狀況），見本標準附錄A；

c)在ISMS范圍內(nèi)開展的業(yè)務(wù)類型；

d)在ISMS各部分的實施過程中，所應(yīng)用技術(shù)的程度和多樣性（例如：已實施的控制、文件和（或）

過程控制、糾正和（或）預(yù)防改進措施等）；

e)場所的數(shù)量；

f)經(jīng)證實的以往的ISMS績效；

g)在ISMS范圍內(nèi)，所使用的外包和第三方安排的程度；

h)適于認證的標準和法規(guī)。

本標準附錄C對審核時間提供了指南。認證機構(gòu)應(yīng)能證實或證明在初次審核、監(jiān)督審核和再認證

審核中所用時間的合理性。

9.1.4IS9.1.4多場所

9.1.4.1在ISMS認證領(lǐng)域，有關(guān)多場所的抽樣決定應(yīng)比質(zhì)量管理體系認證領(lǐng)域更加復(fù)雜。當客戶組織

擁有的多個場所滿足以下a)至c)的準則時，認證機構(gòu)可以考慮使用基于抽樣的方法進行多場所認證審

核：

a)所有的場所在同一ISMS下運行，并接受統(tǒng)一的管理、審核和管理評審；

b)所有的場所都包含在客戶組織的ISMS內(nèi)部審核方案中；

c)所有的場所都包含在客戶組織的ISMS管理評審方案中。

9.1.4.2認證機構(gòu)使用基于抽樣的方法時，應(yīng)具備程序以確保：

a)初次合同評審時，最大程度地識別場所之間的差異，以便確定適宜的抽樣水平；

b)認證機構(gòu)應(yīng)考慮以下因素，抽取具有代表性的場所：

7

GB/TXXXXX—XXXX

1)總部和其他場所的內(nèi)部審核的結(jié)果；

2)管理評審的結(jié)果；

3)場所規(guī)模的差異；

4)各場所業(yè)務(wù)目的的差異；

5)ISMS的復(fù)雜程度；

6)不同場所信息系統(tǒng)的復(fù)雜程度；

7)工作實踐的差異；

8)所進行活動的差異；

9)與關(guān)鍵的信息系統(tǒng)或處理敏感信息的信息系統(tǒng)的潛在的相互作用；

10)任何不同的法律要求。

c)從客戶組織的ISMS范圍內(nèi)所有場所中選擇具有代表性的樣本，選擇應(yīng)基于判斷以反映上述b)

中所列因素，同時也應(yīng)考慮隨機要素；

d)在授予認證前，認證機構(gòu)應(yīng)審核ISMS中每個有重大信息安全風險的場所；

e)根據(jù)以上要求，設(shè)計監(jiān)督審核方案，并在三年內(nèi)覆蓋ISMS認證范圍內(nèi)的代表性樣本；

f)無論是在總部還是其他單一場所發(fā)現(xiàn)不符合，糾正措施程序的實施適用于包括在認證范圍內(nèi)的

總部和所有場所。

本標準的IS9.1.5中所述的審核應(yīng)關(guān)注客戶組織總部為確保同一ISMS適用于所有場所，并在運行層

面上實施統(tǒng)一管理所進行的活動。審核應(yīng)處理上述所有事項。

9.1.5IS9.1.5審核方法

認證機構(gòu)應(yīng)具有程序來要求客戶組織能夠證實其已就ISMS內(nèi)部審核做出日程安排，其方案和程序具

有可操作性并能夠展示其可操作性。

認證機構(gòu)的程序不應(yīng)以實施ISMS的特定方式為前提或以文件和記錄的特定格式為前提。認證程序應(yīng)

將重點放在確定客戶組織的ISMS滿足GB/T22080-2008標準的要求以及滿足客戶組織的策略和目標。

如適用，審核計劃應(yīng)識別在審核中將使用的網(wǎng)絡(luò)支持的審核技術(shù)。

注：網(wǎng)絡(luò)支持的審核技術(shù)可包括，例如電話會議、web會議、基于web的互動式溝通和遠程電子訪問ISMS文件和（或）

ISMS過程等方式。關(guān)注這種技術(shù)有助于提高審核的有效性和效率，并支持審核過程的完整性。

9.1.6IS9.1.6認證審核報告

9.1.6.1認證機構(gòu)的報告程序應(yīng)確保：

a)在離開客戶組織場所前，在審核組和客戶組織管理者之間召開一次會議，并提供：

1)有關(guān)客戶組織的ISMS是否符合特定認證要求的書面或口頭說明；

2)客戶組織就審核發(fā)現(xiàn)及其根據(jù)（教材：審核證據(jù)以及審核依據(jù)等）提出問題的機會。

b)審核組向認證機構(gòu)提供關(guān)于審核發(fā)現(xiàn)的審核報告，這些審核發(fā)現(xiàn)是針對客戶組織的ISMS與所

有認證要求的符合性。

9.1.6.2審核報告應(yīng)提供以下信息或?qū)@些信息的引用：

8

GB/TXXXXX—XXXX

a)包括文件評審摘要在內(nèi)的審核說明；

b)對客戶組織信息安全風險分析進行認證審核的說明；

c)所使用的全部審核時間和分別用于文件評審、風險分析評審、現(xiàn)場評審和審核報告的時間的詳

細說明；

d)所進行的審核詢問、選擇的理由和所采用的方法。

9.1.6.3審核報告應(yīng)足夠詳細，以幫助和支持認證決定，審核報告應(yīng)包括：

a)審核覆蓋的區(qū)域（例如：認證要求和接受審核的場所），包括所采用的主要審核路線和所使用

的審核方法（見IS9.1.5)；

b)獲得的審核發(fā)現(xiàn)，包括正面的（例如：值得注意的特點）和負面的（例如：潛在的不合格）；

c)已識別的任何不符合的詳細情況，包括支持不符合的客觀證據(jù)和這些不符合所涉及的GB/T

22080或認證所需的其他文件的要求；

d)有關(guān)客戶組織的ISMS符合認證要求的意見和對不符合的清楚說明，適用性聲明版本的引用，

以及適用時，與客戶組織先前的認證審核結(jié)果的任何有用的對照。

完成的問卷、檢查表、觀察結(jié)果、日志或?qū)徍藛T筆記可能構(gòu)成完整的審核報告的一部分。如果使用

這些方法，這些文件應(yīng)提供給認證機構(gòu)，作為支持認證決定的證據(jù)。在審核過程中，有關(guān)被評價樣本的

信息應(yīng)包含在審核報告或其他認證文件中。

報告應(yīng)考慮客戶組織所采用的內(nèi)部組織和程序的充分性，以便對其ISMS建立信心。

除了在17021;2011中條款9.1.10中對審核報告的要求，報告還應(yīng)包括：

——對ISMS內(nèi)部審核和管理評審的信任度；

——有關(guān)ISMS的實施和有效性的最重要的正面與負面觀察的摘要；

——審核組關(guān)于是否授予客戶組織ISMS認證的推薦，以及證實該推薦的信息．

9.2初次審核和認證

ISO/IEC17021:2011的9.2條款中的要求適用。并且，以下ISMS特定要求和指南適用。

9.2.1IS9.2.1審核組的能力

除了7.2條款所列的要求之外，以下要求適用于認證評定。對于監(jiān)督活動，只有與已安排的監(jiān)督活

動有關(guān)的要求適用。

以下要求適用于整個審核組。

a)在以下每個方面，至少應(yīng)有一名審核組成員滿足認證機構(gòu)準則，以在審核組內(nèi)部承擔相應(yīng)責任：

1)管理審核組；

2)管理體系和適用于ISMS的過程的知識；

3)在特定的信息安全領(lǐng)域，具備法律和法規(guī)要求方面的知識；

4)識別與威脅相關(guān)的信息安全和事件趨勢；

5)識別客戶組織的脆弱性并理解其被利用的可能性和所造成的影響，以及對其的減緩和控

制；

6)ISMS的控制措施及其實施的知識；

7)ISMS的有效性評審和控制措施測量的知識；

8)有關(guān)和/或相關(guān)的ISMS的標準，行業(yè)最佳實踐，安全方針和程序；

9)事件處理方法和業(yè)務(wù)連續(xù)性的知識；

9

GB/TXXXXX—XXXX

10)有關(guān)有形和無形信息資產(chǎn)和影響分析的知識；

11)有關(guān)可能涉及安全或可能構(gòu)成安全問題的當前技術(shù)的知識；

12)風險管理過程和方法的知識。

b)審核組應(yīng)有能力將客戶組織ISMS中的安全事件跡象追溯到ISMS的相應(yīng)要素；

c)審核組應(yīng)具有適當?shù)墓ぷ鹘?jīng)驗和上述條款的實際應(yīng)用（這不意味著審核員需要信息安全所有領(lǐng)

域的全面的經(jīng)驗，但整個審核組應(yīng)對被審核ISMS的范圍具備足夠的認識和經(jīng)驗）。

審核組可以由一名審核員組成，如果其滿足上述a)的所有準則。

9.2.1.1IS9.2.1.1審核員能力的證實

審核員應(yīng)能夠證實其具備上述知識和經(jīng)驗，如通過：

a)獲得認可的ISMS特定的資格；

b)注冊為審核員；

c)經(jīng)批準的ISMS課程培訓；

d)持續(xù)更新的專業(yè)發(fā)展記錄；

e)對審核員在實際客戶ISMS的審核過程的見證予以證實。

9.2.2IS9.2.2初次審核的一般準備

認證機構(gòu)應(yīng)要求客戶組織為認證審核的實施做好所有必要的安排，包括為檢查文件、進入所有區(qū)域、

獲取記錄（包括內(nèi)部審核報告和信息安全獨立評審報告）和訪問員工的準備，從而達到實施認證審核、

再認證審核和解決投訴的目的。

在現(xiàn)場認證審核之前，客戶應(yīng)至少提供以下信息：

a)ISMS和其所涵蓋活動的一般信息；

b)GB/T22080-2008條款4.3.1所要求的ISMS文件的副本，及必要的相關(guān)文件。

9.2.3IS9.2.3初次認證審核

9.2.3.1IS9.2.3.1第一階段審核

在該審核階段，認證機構(gòu)應(yīng)獲取設(shè)計ISMS的文件，并包括GB/T22080-2008條款4.3.1所要求的文件。

第一階段審核的目的是，結(jié)合客戶組織ISMS方針和目標，了解其ISMS，特別是客戶組織的審核準備

狀態(tài)，為策劃第二階段審核提供重點。

第一階段審核應(yīng)包括，但不宜僅限于文件評審。認證機構(gòu)應(yīng)與客戶組織就文件評審的時間和地點達

成一致。在任何情況下，文件評審應(yīng)在第二階段審核開始前完成。

第一階段審核結(jié)果應(yīng)形成書面報告。認證機構(gòu)應(yīng)在決定進行第二階段審核前，對第一階段的審核報

告進行評審，以便為第二階段審核選擇具有必要能力的審核組成員。

認證機構(gòu)應(yīng)讓客戶組織意識到在第二階段的審核中，可能需要進一步提供信息和記錄以供詳細檢

查。

9.2.3.2IS9.2.3.2第二階段審核

9.2.3.2.1第二階段審核通常在客戶組織的場所進行。認證機構(gòu)以第一階段審核報告中形成文件的審核

發(fā)現(xiàn)為基礎(chǔ)，為實施第二階段審核制定審核計劃。第二階段審核的目標是：

10

GB/TXXXXX—XXXX

a)確認客戶組織遵守自身的方針、目標和規(guī)程；

b)確認ISMS符合規(guī)范性ISMS標準GB/T22080-2008的所有要求并正在實現(xiàn)客戶組織的方針目標。

9.2.3.2.2為此，審核應(yīng)重點關(guān)注客戶組織的：

a)與信息安全有關(guān)風險的評估，及評估產(chǎn)生可比較和可再現(xiàn)的結(jié)果；

b)GB/T22080-2008條款4.3.1所列的文件要求；

c)基于風險評估和風險處置過程，對控制目標和控制措施的選擇；

d)ISMS有效性的評審和信息安全控制有效性的測量，以及對照ISMS目標進行的報告和評審；

e)ISMS內(nèi)部審核和管理評審；

f)針對信息安全方針的管理職責；

g)所選擇和實施的控制措施、適用性聲明與風險評估和風險處置過程的結(jié)果及ISMS方針和目標

之間的一致性；

h)控制措施的實施（見附錄D），考慮客戶組織對控制措施的有效性的測量[見上述d)]，以確定

控制措施是否得以實施并在達到所聲明的目標方面是有效的；

i)方案、過程、程序、記錄、內(nèi)部審核和對ISMS有效性的評審，以確保其可被追溯至管理決定

和ISMS的方針與目標。

9.2.3.3IS9.2.3.3ISMS審核的特定要素

認證機構(gòu)的職責是確定客戶組織持續(xù)建立和保持了用以識別、檢查和評價信息安全相關(guān)的資產(chǎn)威

脅、脆弱性及對客戶組織的影響的規(guī)程。認證機構(gòu)應(yīng)：

注：要求客戶組織證實對安全相關(guān)威脅的分析對于客戶組織的運作是相關(guān)的和充分的；

注：客戶組織負責確定其重大信息安全相關(guān)風險的識別準則，并制定實施的規(guī)程。

a)確定客戶組織識別、檢查和評價信息安全相關(guān)的資產(chǎn)威脅、脆弱性和影響的規(guī)程及應(yīng)用的結(jié)果是否

與客戶組織的方針、目標和指標保持一致。

認證機構(gòu)也應(yīng)確定用于重大風險分析的規(guī)程是否健全并得到正確實施。如果信息安全相關(guān)的資

產(chǎn)威脅、脆弱性或?qū)蛻艚M織的影響被識別為重大，應(yīng)被納入ISMS管理之中。

9.2.3.3.1法律和法規(guī)的符合性

法律法規(guī)符合性的保持和評價是客戶組織的責任。認證機構(gòu)應(yīng)通過檢查和抽樣的方式對客戶組織

ISMS在合規(guī)性方面的作用建立信心。認證機構(gòu)應(yīng)驗證客戶組織所具有的管理體系使其遵守適用于信息安

全風險和影響的法律法規(guī)。

9.2.3.3.2ISMS文件與其他管理體系文件的整合

只要ISMS以及和其它體系的適當接口能夠清楚地得到識別，客戶組織就可以將ISMS文件與其他管理

體系文件（例如：質(zhì)量、健康與安全、環(huán)境）相結(jié)合。

9.2.3.3.3管理體系結(jié)合審核

認證機構(gòu)可以提供與ISMS認證相關(guān)聯(lián)的其他管理體系認證，或僅提供ISMS認證。

11

GB/TXXXXX—XXXX

ISMS審核可以和其他管理體系的審核相結(jié)合。這種結(jié)合只有在證實審核滿足ISMS認證所有要求時才

有可能。在審核報告中，所有對ISMS重要的要素應(yīng)清晰地體現(xiàn)并易于識別。審核的質(zhì)量不應(yīng)由于結(jié)合審

核受到負面影響。

9.2.4IS9.2.4授予初次認證的信息

為給認證決定提供依據(jù)，認證機構(gòu)應(yīng)需要提供支持認證決定的充足信息的清晰報告，要求審核組在

認證審核的各個階段向認證機構(gòu)提供報告。結(jié)合存檔信息，這些報告至少應(yīng)包括本標準的IS9.1.6中所

要求的信息。

9.2.5IS9.2.5認證決定

在認證機構(gòu)中，做出授予/撤銷認證決定的實體（或個人）應(yīng)在各個方面具備一定程度的知識和經(jīng)

驗，從而可以對審核過程和審核組提出的相關(guān)建議進行評價。

是否授予客戶組織ISMS認證的決定，應(yīng)由認證機構(gòu)基于認證過程中收集的信息和其他相關(guān)信息做出

的。做出認證決定的人員不應(yīng)參與審核。認證決定應(yīng)基于審核組認證審核報告（見IS9.1.6）中提供的

審核發(fā)現(xiàn)和推薦認證的建議，及認證機構(gòu)可獲取的任何其他相關(guān)信息。

通常情況下，負責做出授予認證決定的實體，不宜推翻審核組的負面建議。如果確實出現(xiàn)這種情

況，認證機構(gòu)應(yīng)記錄和說明做出推翻該建議的決議的依據(jù)。

對于認證決定而言，ISO/IEC17021:2011未對客戶組織ISMS應(yīng)至少進行一次完整的內(nèi)部審核和一次

管理評審的周期做出具體規(guī)定。認證機構(gòu)可以規(guī)定該周期。無論認證機構(gòu)是否選擇規(guī)定最低的頻次，都

應(yīng)制定措施，以確?？蛻艚M織的管理評審和ISMS內(nèi)部審核過程的有效性。

只有具備充分的證據(jù)證實管理評審和ISMS內(nèi)部審核的安排得以實施，且是有效的并將得到保持，

才可對客戶組織授予認證。

9.3監(jiān)督活動

ISO/IEC17021:2011中的9.3條款適用。并且，以下是ISMS具體的要求和指導(dǎo)建議。

9.3.1IS9.3監(jiān)督審核

9.3.1.1監(jiān)督審核程序應(yīng)與本標準中有關(guān)客戶組織的信息安全管理體系的認證審核的要求相一致。

監(jiān)督的目的是為了驗證已被認證的ISMS得到持續(xù)實施,考慮由于客戶組織運作的變化所引起的管理

體系變化，確認管理體系與認證要求的持續(xù)符合.監(jiān)督審核方案應(yīng)覆蓋:

a）管理體系保持要素，包括ISMS內(nèi)部審核、管理評審和預(yù)防與糾正措施；

b）依據(jù)ISMS標準GB/T22080-2008和認證所需的其他文件的要求，與外部各方的溝通；

c）形成文件的管理體系的變更；

d）變更涉及的區(qū)域；

e）所選擇的GB/T22080要素；

f）適宜時，其他被選擇的區(qū)域。

9.3.1.2認證機構(gòu)的監(jiān)督應(yīng)至少評審以下方面：

a)在達到客戶組織的信息安全方針的目的方面，ISMS的有效性；

b)定期評價和評審相關(guān)信息安全法律法規(guī)符合性的規(guī)程的運行；

12

GB/TXXXXX—XXXX

c)針對上次審核中發(fā)現(xiàn)的不符合采取的措施。

9.3.1.3認證機構(gòu)的監(jiān)督應(yīng)覆蓋ISO/IEC17021中監(jiān)督審核的要求，并且，應(yīng)覆蓋以下事項:

a)認證機構(gòu)應(yīng)能針對客戶組織與信息安全有關(guān)的資產(chǎn)威脅，脆弱性和影響來調(diào)整監(jiān)督方案，并判

斷方案的合理性；

b)認證機構(gòu)的監(jiān)督方案應(yīng)由認證機構(gòu)確定。訪問的具體日期可與被認證的客戶組織達成一致；

c)監(jiān)督審核可以和其他管理體系的審核相結(jié)合，報告應(yīng)清晰地表明每個管理體系有關(guān)的方面；

d)認證機構(gòu)應(yīng)當監(jiān)督認證證書的正確使用。

在監(jiān)督審核中,認證機構(gòu)應(yīng)檢查之前得到的申/投訴記錄。一旦發(fā)現(xiàn)任何不符合或不滿足認證要求的

情況，認證機構(gòu)應(yīng)檢查客戶組織是否對自己的ISMS和規(guī)程進行調(diào)查并采取了適當?shù)募m正措施。

特別是,監(jiān)督報告應(yīng)包括，有關(guān)消除以往發(fā)現(xiàn)的不符合的信息.監(jiān)督審核報告至少應(yīng)覆蓋以上a）的

全部要求。

9.4再認證

ISO/IEC17021:2011的9.4條款的要求適用。并且，以下ISMS特定要求和指南適用。

9.4.1IS再認證審核

再認證審核程序應(yīng)與本標準提出的有關(guān)客戶組織的ISMS的認證審核的要求和指南相一致。

認證機構(gòu)應(yīng)具有清晰的程序，對保持認證的環(huán)境和條件做出規(guī)定。如果在監(jiān)督或再認證審核中，發(fā)

現(xiàn)不符合的存在，該不符合應(yīng)在認證機構(gòu)同意的時間內(nèi)得到有效的糾正。如果糾正沒有在同意的時間內(nèi)

完成，認證范圍應(yīng)被縮小，或者暫停或撤銷認證證書。允許采取糾正措施的時間應(yīng)與不符合的嚴重程度

和風險相適宜,以確?？蛻艚M織的產(chǎn)品或服務(wù)滿足規(guī)定要求。

9.5特殊審核

ISO/IEC17021:2011，條款9.5的要求適用。并且,以下ISMS特定要求和指南適用。

9.5.1IS9.5特殊情況

如果已經(jīng)通過ISMS認證的客戶組織對其體系做重大修改或者發(fā)生可能影響其認證基礎(chǔ)的其他變更，

認證機構(gòu)應(yīng)按照特殊規(guī)定實施特殊審核所必要的活動。

9.6暫停、撤銷或縮小認證范圍

ISO/IEC17021:2011，條款9.6的要求適用。

9.7申訴

ISO/IEC17021:2011，條款9.7的要求適用。

9.8投訴

ISO/IEC17021:2011條款9.8的要求適用。并且，以下ISMS特定要求和指南適用。

9.8.1IS9.8投訴

13

GB/TXXXXX—XXXX

投訴是可能的不符合的信息來源。認證機構(gòu)應(yīng)要求獲證客戶組織在收到投訴后，確定投訴的原因，

其中包括任何由于客戶組織的ISMS所導(dǎo)致（或誘發(fā)）投訴的因素，并在適宜時報告投訴原因。

認證機構(gòu)應(yīng)確?？蛻艚M織利用上述調(diào)查活動，制定補救/糾正措施，其中應(yīng)包括以下措施：

a）法規(guī)要求時，通知相應(yīng)的權(quán)利機構(gòu)；

b）恢復(fù)符合性；

c）防止再發(fā)生；

d）評估和減小任何負面安全事件及其相關(guān)的影響；

e）確保與ISMS其他要素產(chǎn)生良好的相互作用；

f）評價所采用的補救和（或）糾正預(yù)防措施的有效性。

認證機構(gòu)應(yīng)要求ISMS已在認證機構(gòu)獲得認證的每一個組織，記錄所有的投訴并且依據(jù)GB/T

22080-2008采取糾正措施。

9.9申請者和客戶記錄

ISO/IEC17021:2011條款9.9的要求適用

10認證機構(gòu)的管理體系要求

10.1選項

ISO/IEC17021:2011的10.1中的要求適用。

10.2方式一：按照GB/T19001的管理體系要求

ISO/IEC17021:2011的10.2中的要求適用。

10.3方式二：通用的管理體系要求

ISO/IEC17021:2011的10.3中的要求適用。并且，以下ISMS特定的要求和指南適用。

10.3.1IS10.3ISMS實施

建議認證機構(gòu)依據(jù)GB/T22080-2008要求實施ISMS。

14

GB/TXXXXX—XXXX

AA

附錄A

（資料性附錄）

客戶組織復(fù)雜性和行業(yè)特定方面的分析

A.1組織的潛在風險

當決定審核的時間和審核員的能力要求時，需要考慮客戶組織ISMS范圍的復(fù)雜性。為此，本附錄

提供了分析客戶組織復(fù)雜性的實例。給出一個ISMS范圍的復(fù)雜性類別有助于確定：

a)ISMS審核的審核員能力要求（見本文件的附錄B的示例）；

b)ISMS審核的審核時間要求（見本文件的附錄C的示例）。

針對確定ISMS范圍的復(fù)雜性時所考慮的可能因素，表A.1給出了通用指標。對于特定的環(huán)境，

表A.1可能需要調(diào)整，或者適當?shù)卦黾右恍┨厥庖蛩亍?/p>

通過單獨地使用復(fù)雜性準則（見表A.1），以及利用一些不同的因素，ISMS每個復(fù)雜性因素都可以

分為“高”、“中”、“低”三個類別。ISMS范圍復(fù)雜性的整體類別，可以是全部復(fù)雜性因素中最大的，

即：“高”、“中”、“低”。

A.1ISMS范圍的復(fù)雜性準則

類別

復(fù)雜性因素

高