GB/T 25067-2016信息技术安全技术信息安全管理体系审核和认证机构要求

ICS35040

L80.

中华人民共和国国家标准

GB/T25067—2016/ISO/IEC270062011

代替:

GB/T25067—2010

信息技术安全技术信息安全管理体系

审核和认证机构要求

Informationtechnology—Securitytechniques—Requirementsforbodiesproviding

auditandcertificationofinformationsecuritymanagementsystems

(ISO/IEC27006:2011,IDT)

2016-10-13发布2017-05-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/T25067—2016/ISO/IEC270062011

:

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

原则

4………………………2

通用要求

5…………………2

结构要求

6…………………2

资源要求

7…………………3

信息要求

8…………………5

过程要求

9…………………6

认证机构的管理体系要求

10……………13

附录资料性附录客户组织复杂性和行业特定方面的分析

A()………14

附录资料性附录审核员能力的示例

B()………………17

附录资料性附录审核时间

C()…………19

附录资料性附录对已实现的附录的控制的评审指南

D()GB/T22080—2008A…24

附录资料性附录与的主要技术差异

NA()GB/T25067—2016GB/T25067—2010……………32

参考文献

……………………34

GB/T25067—2016/ISO/IEC270062011

:

前言

本标准按照和给出的规则起草

GB/T1.1—2009GB/T20000.2—2009。

本标准代替信息技术安全技术信息安全管理体系审核认证机构的要

GB/T25067—2010《

求

》。

本标准与相比主要技术变化如下

GB/T25067—2010,:

新增能力准则的确定

———IS7.1.2;

监督方案明确为三年内的周期见

———[9.1.4.2e)];

多处宜的描述在本标准中改为应见附录

———GB/T25067—2010“”“”(NA)。

本标准使用翻译法等同采用信息技术安全技术信息安全管理体系审核

ISO/IEC27006:2011《

和认证机构要求

》。

与本标准中规范性引用的国际文件有一致性对应关系的我国文件如下

:

管理体系审核指南

———GB/T19011—2013(ISO19011:2011,IDT)

本标准做了下列编辑性修改

:

纠正了原文注日期引用文件不一致的问题

———;

增加了资料性附录

———NA。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

。。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位中国电子技术标准化研究院中国合格评定国家认可中心广州赛宝认证中心服

:、、

务有限公司上海质量审核中心中国质量认证中心中国信息安全认证中心中国船级社质量认证公

、、、、

司华夏认证中心有限公司黑龙江电子信息产品监督检验院

、、。

本标准主要起草人黄俊梅韩硕祥刘宇倪文静蔡北方费杨付志高刘健赵国祥田刚王军

:、、、、、、、、、、、

尹冰刘钢杨勇刘佳魏军尤其程瑜琦朱博周召夏芳刘建毅王希忠马遥黄俊强

、、、、、、、、、、、、、。

本标准所代替标准的历次版本发布情况为

:

———GB/T25067—2010。

Ⅰ

GB/T25067—2016/ISO/IEC270062011

:

引言

为机构对组织的管理体系实施审核和认证建立了准则如果这类机构按照

ISO/IEC17021。

信息技术安全技术信息安全管理体系要求开展以信息安全管理体系

GB/T22080—2008《》

审核和认证为目的的活动并准备依据获得认可对补充一些

(ISMS),ISO/IEC17021,ISO/IEC17021

要求和指南是必要的本标准提供了这样的内容

。。

本标准正文遵循的结构针对认证所增加的特定要求和指南以字母进

ISO/IEC17021,ISMS,“IS”

行识别

。

贯穿本标准全文使用应这一术语以表示本标准中与和的

,“”,ISO/IEC17021GB/T22080—2008

要求相对应的条款是要求性的使用宜这一术语表示建议

;“”。

本标准的目的之一是使得认可机构能更有效地协调一致地应用本标准依据此标准评审认证

、,

机构

。

注本标准中管理体系和体系可以互换使用管理体系的定义见本标准中使用的管理

:“”“”。GB/T19000—2008。

体系请勿与其他类型的系统混淆例如信息技术系统系统

,,(IT)。

Ⅱ

GB/T25067—2016/ISO/IEC270062011

:

信息技术安全技术信息安全管理体系

审核和认证机构要求

1范围

本标准对信息安全管理体系以下简称审核和认证的机构规定了要求并提供了指南以作

(ISMS),

为对和中相关要求的补充本标准的主要目的是为提供

ISO/IEC17021:2011GB/T22080—2008。

认证的认证机构的认可提供支持

ISMS。

任何提供认证的机构需要在能力和可靠性方面证实其满足本标准的要求本标准的指南为

ISMS。

这些要求提供了进一步的解释

。

注本标准可以作为认可同行评审或其他审核过程的准则性文件

:、。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息技术安全技术信息安全管理体系要求

GB/T22080—2008(ISO/IEC27001:2005,IDT)

合格评定管理体系审核认证机构的要求

ISO/IEC17021:2011(Conformityassessment—Re-

quirementsforbodiesprovidingauditandcertificationofmanagementsystems)

管理体系审核指南

ISO19011(Guidelinesforauditingmanagementsystems)

3术语和定义

和界定的以及下列术语和定义适用于本文件

GB/T22080—2008ISO/IEC17021:2011