标准解读

GB/T 25067-2016《信息技术 安全技术 信息安全管理体系审核和认证机构要求》与GB/T 25067-2010相比,在内容上进行了多方面的更新和完善。主要变化体现在以下几个方面:

一、标准结构的调整:新版本对章节结构进行了重新编排,以更符合国际标准化组织(ISO)对于管理体系审核及认证机构的要求框架。这种结构调整有助于提升标准的可读性和使用便捷性。

二、术语定义的更新:2016版对部分专业术语进行了修订或新增,确保与国际上最新使用的术语保持一致,从而提高了标准的专业性和准确性。

三、增加了关于远程审核活动的规定:随着信息技术的发展,远程审核成为可能且日益普遍。新版标准特别加入了针对远程审核的具体指导原则,包括技术手段的选择、信息安全保护措施等,旨在保障即使在非面对面的情况下也能有效实施审核过程。

四、强化了对认证机构内部管理的要求:强调了认证机构需要建立健全的信息安全管理体系,并对其自身运营过程中可能遇到的风险进行识别、评估与控制。此外,还加强了对人员能力、培训记录等方面的监管力度。

五、明确了客户信息保护责任:新版标准更加重视保护被审核方的敏感信息不被泄露,在处理个人信息时需遵循相关法律法规,并采取适当的安全防护措施。

六、改进了投诉处理程序:为保证服务质量和公正性,新标准详细规定了如何接收、调查以及解决来自任何利益相关者的正式投诉,确保整个流程公开透明。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 被代替
  • 已被新标准代替,建议下载现行标准GB/T 25067-2020
  • 2016-10-13 颁布
  • 2017-05-01 实施
©正版授权
GB/T 25067-2016信息技术安全技术信息安全管理体系审核和认证机构要求_第1页
GB/T 25067-2016信息技术安全技术信息安全管理体系审核和认证机构要求_第2页
GB/T 25067-2016信息技术安全技术信息安全管理体系审核和认证机构要求_第3页
GB/T 25067-2016信息技术安全技术信息安全管理体系审核和认证机构要求_第4页
GB/T 25067-2016信息技术安全技术信息安全管理体系审核和认证机构要求_第5页
免费预览已结束,剩余35页可下载查看

下载本文档

免费下载试读页

文档简介

ICS35040

L80.

中华人民共和国国家标准

GB/T25067—2016/ISO/IEC270062011

代替:

GB/T25067—2010

信息技术安全技术信息安全管理体系

审核和认证机构要求

Informationtechnology—Securitytechniques—Requirementsforbodiesproviding

auditandcertificationofinformationsecuritymanagementsystems

(ISO/IEC27006:2011,IDT)

2016-10-13发布2017-05-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/T25067—2016/ISO/IEC270062011

:

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

原则

4………………………2

通用要求

5…………………2

结构要求

6…………………2

资源要求

7…………………3

信息要求

8…………………5

过程要求

9…………………6

认证机构的管理体系要求

10……………13

附录资料性附录客户组织复杂性和行业特定方面的分析

A()………14

附录资料性附录审核员能力的示例

B()………………17

附录资料性附录审核时间

C()…………19

附录资料性附录对已实现的附录的控制的评审指南

D()GB/T22080—2008A…24

附录资料性附录与的主要技术差异

NA()GB/T25067—2016GB/T25067—2010……………32

参考文献

……………………34

GB/T25067—2016/ISO/IEC270062011

:

前言

本标准按照和给出的规则起草

GB/T1.1—2009GB/T20000.2—2009。

本标准代替信息技术安全技术信息安全管理体系审核认证机构的要

GB/T25067—2010《

》。

本标准与相比主要技术变化如下

GB/T25067—2010,:

新增能力准则的确定

———IS7.1.2;

监督方案明确为三年内的周期见

———[9.1.4.2e)];

多处宜的描述在本标准中改为应见附录

———GB/T25067—2010“”“”(NA)。

本标准使用翻译法等同采用信息技术安全技术信息安全管理体系审核

ISO/IEC27006:2011《

和认证机构要求

》。

与本标准中规范性引用的国际文件有一致性对应关系的我国文件如下

:

管理体系审核指南

———GB/T19011—2013(ISO19011:2011,IDT)

本标准做了下列编辑性修改

:

纠正了原文注日期引用文件不一致的问题

———;

增加了资料性附录

———NA。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

。。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位中国电子技术标准化研究院中国合格评定国家认可中心广州赛宝认证中心服

:、、

务有限公司上海质量审核中心中国质量认证中心中国信息安全认证中心中国船级社质量认证公

、、、、

司华夏认证中心有限公司黑龙江电子信息产品监督检验院

、、。

本标准主要起草人黄俊梅韩硕祥刘宇倪文静蔡北方费杨付志高刘健赵国祥田刚王军

:、、、、、、、、、、、

尹冰刘钢杨勇刘佳魏军尤其程瑜琦朱博周召夏芳刘建毅王希忠马遥黄俊强

、、、、、、、、、、、、、。

本标准所代替标准的历次版本发布情况为

:

———GB/T25067—2010。

GB/T25067—2016/ISO/IEC270062011

:

引言

为机构对组织的管理体系实施审核和认证建立了准则如果这类机构按照

ISO/IEC17021。

信息技术安全技术信息安全管理体系要求开展以信息安全管理体系

GB/T22080—2008《》

审核和认证为目的的活动并准备依据获得认可对补充一些

(ISMS),ISO/IEC17021,ISO/IEC17021

要求和指南是必要的本标准提供了这样的内容

。。

本标准正文遵循的结构针对认证所增加的特定要求和指南以字母进

ISO/IEC17021,ISMS,“IS”

行识别

贯穿本标准全文使用应这一术语以表示本标准中与和的

,“”,ISO/IEC17021GB/T22080—2008

要求相对应的条款是要求性的使用宜这一术语表示建议

;“”。

本标准的目的之一是使得认可机构能更有效地协调一致地应用本标准依据此标准评审认证

、,

机构

注本标准中管理体系和体系可以互换使用管理体系的定义见本标准中使用的管理

:“”“”。GB/T19000—2008。

体系请勿与其他类型的系统混淆例如信息技术系统系统

,,(IT)。

GB/T25067—2016/ISO/IEC270062011

:

信息技术安全技术信息安全管理体系

审核和认证机构要求

1范围

本标准对信息安全管理体系以下简称审核和认证的机构规定了要求并提供了指南以作

(ISMS),

为对和中相关要求的补充本标准的主要目的是为提供

ISO/IEC17021:2011GB/T22080—2008。

认证的认证机构的认可提供支持

ISMS。

任何提供认证的机构需要在能力和可靠性方面证实其满足本标准的要求本标准的指南为

ISMS。

这些要求提供了进一步的解释

注本标准可以作为认可同行评审或其他审核过程的准则性文件

:、。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息技术安全技术信息安全管理体系要求

GB/T22080—2008(ISO/IEC27001:2005,IDT)

合格评定管理体系审核认证机构的要求

ISO/IEC17021:2011(Conformityassessment—Re-

quirementsforbodiesprovidingauditandcertificationofmanagementsystems)

管理体系审核指南

ISO19011(Guidelinesforauditingmanagementsystems)

3术语和定义

和界定的以及下列术语和定义适用于本文件

GB/T22080—2008ISO/IEC17021:2011

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

评论

0/150

提交评论