GB/T 25067-2010信息技术安全技术信息安全管理体系审核认证机构的要求

ICS35040

L80.

中华人民共和国国家标准

GB/T25067—2010/ISO/IEC270062007

:

信息技术安全技术

信息安全管理体系审核认证机构的要求

Informationtechnology—Securitytechniques—

Requirementsforbodiesprovidingauditandcertificationof

informationsecuritymanagementsystems

(ISO/IEC27006:2007,IDT)

2010-09-02发布2011-02-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/T25067—2010/ISO/IEC270062007

:

目次

前言…………………………

Ⅲ

引言…………………………

Ⅳ

范围………………………

11

规范性引用文件…………………………

21

术语和定义………………

31

原则………………………

42

通用要求…………………

52

法律与合同事宜………………………

5.12

公正性的管理…………………………

5.22

责任和财力……………

5.32

结构要求…………………

62

组织结构和最高管理层………………

6.12

维护公正性的委员会…………………

6.22

资源要求…………………

72

管理层和人员的能力…………………

7.12

参与认证活动的人员…………………

7.23

外部审核员和外部技术专家的使用…………………

7.34

人员记录………………

7.44

外包……………………

7.54

信息要求…………………

84

可公开获取的信息……………………

8.14

认证文件………………

8.25

获证客户组织名录……………………

8.35

认证的引用和标志的使用……………

8.45

保密性…………………

8.55

认证机构与其客户组织间的信息交换………………

8.65

过程要求…………………

95

通用要求………………

9.15

初次审核与认证………………………

9.28

监督活动………………

9.310

再认证…………………

9.411

特殊审核………………

9.511

暂停撤销或缩小认证范围…………

9.6、11

申诉……………………

9.711

投诉……………………

9.811

申请组织和客户组织的记录…………

9.912

认证机构的管理体系要求……………

1012

可选方式……………

10.112

Ⅰ

GB/T25067—2010/ISO/IEC270062007

:

方式一按照的管理体系要求………………

10.2:GB/T19001—200812

方式二通用的管理体系要求………………………

10.3:12

附录资料性附录客户组织复杂性和行业特定方面的分析………

A()13

附录资料性附录审核员能力的示例………………

B()15

附录资料性附录审核时间…………

C()17

附录资料性附录对已实施的附录的控制措施的评审指南……………

D()GB/T22080—2008A21

Ⅱ

GB/T25067—2010/ISO/IEC270062007

:

前言

本标准等同采用信息技术安全技术信息安全管理体系审核认证机构的

ISO/IEC27006:2007《

要求

》。

本标准是信息安全管理体系标准族的标准之一

。

为了便于理解并与和协调本标准针对

,GB/T27021—2007GB/T22080—2008,ISO/IEC27006:

做以下编辑性处理

2007:

针对认证机构的管理时用词汇程序表示针对客户组织的管理时用词汇规

———,“”“procedure”;,“

程表示

”“procedure”;

针对认证机构的管理时用词汇政策表示针对客户组织的管理时用词汇策略

———,“”“policies”;,“”

表示

“policies”;

用词汇客户组织表示或

———“”“client”“clientorganization”;

用词汇审核时间表示或

———“”“audittime”“autitortime”。

本标准的附录附录附录和附录是资料性附录

A、B、CD。

本标准由全国认证认可标准化技术委员会和全国信息安全标准化技术委员会

(SAC/TC261)

提出

(SAC/TC260)。

本标准由全国信息安全标准化技术委员会归口

(SAC/TC260)。

本标准起草单位中国合格评定国家认可中心中国电子技术标准化研究所北京知识安全工程中

:、、

心广东赛宝认证中心服务有限公司中国信息安全认证中心华夏认证中心有限公司北京同方信息安

、、、、

全技术股份有限公司北京北大青鸟商用信息系统有限公司中讯软件集团股份有限公司

、、。

本标准主要起草人刘晓红胡啸汪修慈王新杰宋红茹闵京华王梅王连强费杨韩硕祥

:、、、、、、、、、、

赵战生娄天峰娄丹布宁刘宇

、、、、。

Ⅲ

GB/T25067—2010/ISO/IEC270062007

:

引言

是针对实施组织管理体系审核和认证的机构提出运作准则的国家标准它等

GB/T27021—2007,

同采用如果这类机构按照开展以信息安全管理体系

ISO/IEC17021:2006。GB/T22080—2008

审核和认证为目的的活动并打算依据获得认可对增

(ISMS),GB/T27021—2007,GB/T27021—2007

加一些要求和指南是必要的本标准提供了这样的内容

。。

本标准正文遵循的结构针对审核和认证所增加的特定要求和指南用

GB/T27021—2007,ISMS,

加以标识

“IS”。

贯穿本标准全文使用应这一术语以表示本标准中与和

,“”(shall),GB/T27021—2007GB/T22080—

的要求相对应的条款是要求性的认证机构必须遵循使用宜这一术语以表示尽管本

2008,;“”(should),

标准中与和的要求相对应的条款是指南性的构成了对这些

GB/T27021—2007GB/T22080—2008,

标准中要求的应用指南但仍然期望认证机构采纳

,。

本标准的目的之一是使得那些认可机构能够更加协调一致地应用评审认证机构所依据的标准认

。

证机构在贯彻本标准的指南性条款时所形成的任何不同可视为一个例外针对这种不同只有当认证

,。,

机构向认可机构证实那些例外以等效的方式满足和的相关条

GB/T27021—2007GB/T22080—2008

款要求以及本标准的意图时并仅在具体问题具体分析的基础上才被允许

,。

Ⅳ

GB/T25067—2010/ISO/IEC270062007

:

信息技术安全技术

信息安全管理体系审核认证机构的要求

1范围

本标准对实施信息安全管理体系以下简称审核和认证的机构提出要求并提供指南以作

(“ISMS”),

为对和要求的补充制定本标准的主要意图是对实施

GB/T27021—2007GB/T22080—2008。ISMS

认证的认证机构的认可提供支持

。

任何提供认证的机构需要在能力和可靠性方面证实其满足本标准的要求本标准的指南性

ISMS。

条款为这些要求提供了进一步的说明

。

注本标准可以作为认可同行评审或其他审核过程的准则性文件

:、。

2规范性引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款凡是注日期的引用文件其随后所有

。,

的修改单不包括勘误的内容或修订版均不适用于本标准然而鼓励根据本标准达成协议的各方研究

(),,

是否可使用这些文件的最新版本凡是不注日期的引用文件其最新版本适用于本标准

。,。

质量和或环境管理体系审核指南

GB/T19011()(GB/T19011—2003,ISO/IEC19011:2002,

IDT)

信息技术安全技术信息安全管理体系要求

GB/T22080—2008(ISO/IEC27001:2005,

IDT)

合格评定管理体系审核认证机构的要求

GB/T27021—2007