标准解读

《GB/T 25067-2010 信息技术 安全技术 信息安全管理体系审核认证机构的要求》是针对信息安全管理体系(ISMS)审核和认证活动所制定的标准。该标准旨在确保提供ISMS认证服务的机构能够遵循一致且可靠的过程,以增强这些服务的可信度与价值。根据这一标准,认证机构需要满足一系列具体要求,包括但不限于以下几点:

  • 公正性与独立性:认证机构必须保持其运作的公正性和独立性,避免任何可能影响到其判断或决定的利益冲突。
  • 能力要求:所有参与审核过程的人员需具备相应资格、技能及经验,并持续接受相关培训,以确保他们能有效执行审核任务。
  • 程序文件化:认证机构应建立并维护一套完整的文档体系,涵盖从申请处理到证书发放整个流程中的各项操作指南、工作指示等信息。
  • 风险评估:在进行ISMS审核之前,认证机构应对潜在的风险进行全面分析,以确定适当的审核范围和方法。
  • 初次审核与监督审核:除了首次对组织的信息安全管理体系进行全面检查外,还需定期开展后续监督审核,以验证已认证ISMS的有效性和持续改进情况。
  • 投诉与申诉机制:为保证透明度和公平性,认证机构应当设立有效的渠道来接收并处理来自客户或其他利益相关方关于审核结果的异议。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 被代替
  • 已被新标准代替,建议下载现行标准GB/T 25067-2016
  • 2010-09-02 颁布
  • 2011-02-01 实施
©正版授权
GB/T 25067-2010信息技术安全技术信息安全管理体系审核认证机构的要求_第1页
GB/T 25067-2010信息技术安全技术信息安全管理体系审核认证机构的要求_第2页
GB/T 25067-2010信息技术安全技术信息安全管理体系审核认证机构的要求_第3页
GB/T 25067-2010信息技术安全技术信息安全管理体系审核认证机构的要求_第4页
GB/T 25067-2010信息技术安全技术信息安全管理体系审核认证机构的要求_第5页
已阅读5页,还剩31页未读 继续免费阅读

下载本文档

GB/T 25067-2010信息技术安全技术信息安全管理体系审核认证机构的要求-免费下载试读页

文档简介

ICS35040

L80.

中华人民共和国国家标准

GB/T25067—2010/ISO/IEC270062007

:

信息技术安全技术

信息安全管理体系审核认证机构的要求

Informationtechnology—Securitytechniques—

Requirementsforbodiesprovidingauditandcertificationof

informationsecuritymanagementsystems

(ISO/IEC27006:2007,IDT)

2010-09-02发布2011-02-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/T25067—2010/ISO/IEC270062007

:

目次

前言…………………………

引言…………………………

范围………………………

11

规范性引用文件…………………………

21

术语和定义………………

31

原则………………………

42

通用要求…………………

52

法律与合同事宜………………………

5.12

公正性的管理…………………………

5.22

责任和财力……………

5.32

结构要求…………………

62

组织结构和最高管理层………………

6.12

维护公正性的委员会…………………

6.22

资源要求…………………

72

管理层和人员的能力…………………

7.12

参与认证活动的人员…………………

7.23

外部审核员和外部技术专家的使用…………………

7.34

人员记录………………

7.44

外包……………………

7.54

信息要求…………………

84

可公开获取的信息……………………

8.14

认证文件………………

8.25

获证客户组织名录……………………

8.35

认证的引用和标志的使用……………

8.45

保密性…………………

8.55

认证机构与其客户组织间的信息交换………………

8.65

过程要求…………………

95

通用要求………………

9.15

初次审核与认证………………………

9.28

监督活动………………

9.310

再认证…………………

9.411

特殊审核………………

9.511

暂停撤销或缩小认证范围…………

9.6、11

申诉……………………

9.711

投诉……………………

9.811

申请组织和客户组织的记录…………

9.912

认证机构的管理体系要求……………

1012

可选方式……………

10.112

GB/T25067—2010/ISO/IEC270062007

:

方式一按照的管理体系要求………………

10.2:GB/T19001—200812

方式二通用的管理体系要求………………………

10.3:12

附录资料性附录客户组织复杂性和行业特定方面的分析………

A()13

附录资料性附录审核员能力的示例………………

B()15

附录资料性附录审核时间…………

C()17

附录资料性附录对已实施的附录的控制措施的评审指南……………

D()GB/T22080—2008A21

GB/T25067—2010/ISO/IEC270062007

:

前言

本标准等同采用信息技术安全技术信息安全管理体系审核认证机构的

ISO/IEC27006:2007《

要求

》。

本标准是信息安全管理体系标准族的标准之一

为了便于理解并与和协调本标准针对

,GB/T27021—2007GB/T22080—2008,ISO/IEC27006:

做以下编辑性处理

2007:

针对认证机构的管理时用词汇程序表示针对客户组织的管理时用词汇规

———,“”“procedure”;,“

程表示

”“procedure”;

针对认证机构的管理时用词汇政策表示针对客户组织的管理时用词汇策略

———,“”“policies”;,“”

表示

“policies”;

用词汇客户组织表示或

———“”“client”“clientorganization”;

用词汇审核时间表示或

———“”“audittime”“autitortime”。

本标准的附录附录附录和附录是资料性附录

A、B、CD。

本标准由全国认证认可标准化技术委员会和全国信息安全标准化技术委员会

(SAC/TC261)

提出

(SAC/TC260)。

本标准由全国信息安全标准化技术委员会归口

(SAC/TC260)。

本标准起草单位中国合格评定国家认可中心中国电子技术标准化研究所北京知识安全工程中

:、、

心广东赛宝认证中心服务有限公司中国信息安全认证中心华夏认证中心有限公司北京同方信息安

、、、、

全技术股份有限公司北京北大青鸟商用信息系统有限公司中讯软件集团股份有限公司

、、。

本标准主要起草人刘晓红胡啸汪修慈王新杰宋红茹闵京华王梅王连强费杨韩硕祥

:、、、、、、、、、、

赵战生娄天峰娄丹布宁刘宇

、、、、。

GB/T25067—2010/ISO/IEC270062007

:

引言

是针对实施组织管理体系审核和认证的机构提出运作准则的国家标准它等

GB/T27021—2007,

同采用如果这类机构按照开展以信息安全管理体系

ISO/IEC17021:2006。GB/T22080—2008

审核和认证为目的的活动并打算依据获得认可对增

(ISMS),GB/T27021—2007,GB/T27021—2007

加一些要求和指南是必要的本标准提供了这样的内容

。。

本标准正文遵循的结构针对审核和认证所增加的特定要求和指南用

GB/T27021—2007,ISMS,

加以标识

“IS”。

贯穿本标准全文使用应这一术语以表示本标准中与和

,“”(shall),GB/T27021—2007GB/T22080—

的要求相对应的条款是要求性的认证机构必须遵循使用宜这一术语以表示尽管本

2008,;“”(should),

标准中与和的要求相对应的条款是指南性的构成了对这些

GB/T27021—2007GB/T22080—2008,

标准中要求的应用指南但仍然期望认证机构采纳

,。

本标准的目的之一是使得那些认可机构能够更加协调一致地应用评审认证机构所依据的标准认

证机构在贯彻本标准的指南性条款时所形成的任何不同可视为一个例外针对这种不同只有当认证

,。,

机构向认可机构证实那些例外以等效的方式满足和的相关条

GB/T27021—2007GB/T22080—2008

款要求以及本标准的意图时并仅在具体问题具体分析的基础上才被允许

,。

GB/T25067—2010/ISO/IEC270062007

:

信息技术安全技术

信息安全管理体系审核认证机构的要求

1范围

本标准对实施信息安全管理体系以下简称审核和认证的机构提出要求并提供指南以作

(“ISMS”),

为对和要求的补充制定本标准的主要意图是对实施

GB/T27021—2007GB/T22080—2008。ISMS

认证的认证机构的认可提供支持

任何提供认证的机构需要在能力和可靠性方面证实其满足本标准的要求本标准的指南性

ISMS。

条款为这些要求提供了进一步的说明

注本标准可以作为认可同行评审或其他审核过程的准则性文件

:、。

2规范性引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款凡是注日期的引用文件其随后所有

。,

的修改单不包括勘误的内容或修订版均不适用于本标准然而鼓励根据本标准达成协议的各方研究

(),,

是否可使用这些文件的最新版本凡是不注日期的引用文件其最新版本适用于本标准

。,。

质量和或环境管理体系审核指南

GB/T19011()(GB/T19011—2003,ISO/IEC19011:2002,

IDT)

信息技术安全技术信息安全管理体系要求

GB/T22080—2008(ISO/IEC27001:2005,

IDT)

合格评定管理体系审核认证机构的要求

GB/T27021—2007

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

评论

0/150

提交评论