GB/T 25067-2020信息技术安全技术信息安全管理体系审核和认证机构要求

ICS35040

L80.

中华人民共和国国家标准

GB/T25067—2020/ISO/IEC270062015

代替:

GB/T25067—2016

信息技术安全技术信息安全管理体系

审核和认证机构要求

Informationtechnology—Securitytechniques—Requirementsforbodiesproviding

auditandcertificationofinformationsecuritymanagementsystems

(ISO/IEC27006:2015,IDT)

2020-04-28发布2020-11-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T25067—2020/ISO/IEC270062015

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

原则

4………………………1

通用要求

5…………………1

法律与合同事宜

5.1……………………1

公正性的管理

5.2………………………1

责任和财力

5.3…………………………2

结构要求

6…………………2

资源要求

7…………………2

人员能力

7.1……………2

参与认证活动的人员

7.2………………5

外部审核员和外部技术专家的使用

7.3………………6

人员记录

7.4……………6

外包

7.5…………………6

信息要求

8…………………6

公开信息

8.1……………6

认证文件

8.2……………6

认证的引用和标志的使用

8.3…………6

保密

8.4…………………7

认证机构与其客户间的信息交换

8.5…………………7

过程要求

9…………………7

认证前的活动

9.1………………………7

策划审核

9.2……………9

初次认证

9.3……………10

实施审核

9.4……………11

认证决定

9.5……………12

保持认证

9.6……………12

申诉

9.7…………………13

投诉

9.8…………………13

客户的记录

9.9…………………………13

认证机构的管理体系要求

10……………14

可选方式

10.1…………………………14

Ⅰ

GB/T25067—2020/ISO/IEC270062015

:

方式通用的管理体系要求

10.2A:……………………14

方式与一致的管理体系要求

10.3B:GB/T19001…………………14

附录资料性附录审核与认证的知识与技能

A()ISMS………………15

附录规范性附录审核时间

B()…………17

附录资料性附录审核时间计算方法

C()………………21

附录资料性附录对已实现的附录的控制的评审指南

D()GB/T22080—2016A…25

附录资料性附录与的条款对照关系

NA()GB/T25067—2020GB/T25067—2016……………32

参考文献

……………………36

Ⅱ

GB/T25067—2020/ISO/IEC270062015

:

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准代替信息技术安全技术信息安全管理体系审核和认证机构要求

GB/T25067—2016《》。

与相比主要技术变化如下

GB/T25067—2016,:

在规范性引用文件中删除了新增了见第章

———,ISO19011,ISO/IEC27000(2);

删除了术语证书认证机构标志和组织见年版的第章

———“”“”“”“”(20163);

基于的附录细化了参与信息安全管理体系认证的各类人员的能力

———GB/T27021.1—2017A,

要求见

(7.1.2);

遵从的标准结构调整了第章过程要求的内容见第章年版

———GB/T27021.1—2017,9(9,2016

的第章

9);

审核时间计算由资料性附录调整为规范性附录见附录并新增了审核时间计算示例见

———(B),(

附录

C)。

本标准使用翻译法等同采用信息技术安全技术信息安全管理体系审核

ISO/IEC27006:2015《

和认证机构要求

》。

与本标准中规范性引用的国际文件有一致性对应关系的我国文件如下

:

信息技术安全技术信息安全管理体系概述和词汇

———GB/T29246—2017(ISO/IEC27000:

2016,IDT)

本标准做了以下编辑性修改

:

因已经废止所以引言中管理体系的定义调整为参见

———ISO9000:2005,GB/T19000—2016;

增加了资料性附录

———NA;

词汇在针对认证机构运作管理时翻译为程序见

———“procedure”,“”[7.1.2.4.1b)、9.1.3.2、9.1.5.1.2

等在针对客户信息安全控制管理时翻译为规程见

],“”[7.1.2.1.4a)、9.2.2.2a)、9.3.1.2.1a)

等两者意思并无差异

],;

由于附录只在中被引用根据国家标准起草规定将的注调整为标准条文

———A7.1.1,,7.1.1;

对表中控制网络中的隔离的审核的评审指南更正了网段和网络隔离的

———D.1“A.13.1.3”“”,

示例

。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位中国合格评定国家认可中心中国电子技术标准化研究院中国网络安全审查技

:、、

术与认证中心广州赛宝认证中心服务有限公司华夏认证中心有限公司国家认证认可监督管理委员

、、、

会山东省标准化研究院

、。

本标准主要起草人付志高张强黄俊梅魏军田刚夏芳张志国尤其方洁王曙光刘鑫

:、、、、、、、、、、。

本标准所代替标准的历次版本发布情况为

:

———GB/T25067—2010、GB/T25067—2016。

Ⅲ

GB/T25067—2020/ISO/IEC270062015

:

引言

为机构对组织的管理体系实施审核和认证建立了准则如果这类机构按照

GB/T27021.1—2017。

开展以信息安全管理体系以下简称审核和认证为目的活动并准备依据

GB/T22080—2016(“ISMS”),

获得认可对补充一些要求和指南是必要的本标准提供

GB/T27021.1—2017,GB/T27021.1—2017。

了这样的内容

。

本标准正文遵循的结构针对审核和认证所增加的特定要求和指南

GB/T27021.1—2017,ISMS,

用字母加以标识

“IS”。

本标准的主要目的是使得认可机构在应用其评审认证机构所依据的标准时能更有效地协调一致

。

本标准中术语管理体系和体系可以互换使用管理体系的定义见请不

“”“”。GB/T19000—2016。

要将本标准中使用的管理体系与其他类型的系统混淆例如信息技术以下简称系统

,,(“IT”)。

Ⅳ

GB/T25067—2020/ISO/IEC270062015

:

信息技术安全技术信息安全管理体系

审核和认证机构要求

1范围

本标准在和的基础上对实施审核和认证的机构

GB/T27021.1—2017GB/T22080—2016,ISMS

规定了要求并提供了指南本标准的主要目的是为认证机构的认可提供支持

。ISMS。

任何提供认证的机构需要在能力和可靠性方面证实其满足本标准中的要求本标准中的

ISMS,。

指南提供了对这些要求的进一步解释

。

注本标准可以作为认可同行评审或其他审核过程的准则性文件

:、。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息技