标准解读

《GB/T 25067-2020 信息技术 安全技术 信息安全管理体系审核和认证机构要求》相较于《GB/T 25067-2016 信息技术 安全技术 信息安全管理体系审核和认证机构要求》,主要在以下几个方面进行了更新与调整:

一、术语定义部分有所增补。新版本增加了对于一些关键概念的明确界定,使得标准更加清晰易懂,减少了歧义空间。

二、关于审核员能力的要求变得更加具体化。2020版中对审核员的专业知识、技能水平以及持续教育等方面提出了更为详细的规定,强调了审核员需要具备的信息安全领域专业知识,并明确了培训与考核机制。

三、增加了对远程审核活动的具体指导。随着信息技术的发展,远程工作模式变得越来越普遍,《GB/T 25067-2020》针对这种情况提供了相应的指南,包括如何确保远程审核的有效性、保护客户信息的安全等内容。

四、强化了风险管理措施。新版标准进一步加强了对潜在风险识别、评估及应对策略的要求,尤其是在处理敏感数据时应采取的安全控制措施。

五、提高了透明度和沟通效率。为了增强各方之间的信任,《GB/T 25067-2020》提倡建立更加开放透明的信息交流渠道,鼓励认证机构与申请者之间保持良好沟通,及时反馈审核结果及相关建议。

六、细化了投诉处理流程。针对可能出现的服务不满情况,新版本制定了更为完善的投诉接收、调查及解决程序,旨在快速有效地解决问题,维护双方权益。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 现行
  • 正在执行有效
  • 2020-04-28 颁布
  • 2020-11-01 实施
©正版授权
GB/T 25067-2020信息技术安全技术信息安全管理体系审核和认证机构要求_第1页
GB/T 25067-2020信息技术安全技术信息安全管理体系审核和认证机构要求_第2页
GB/T 25067-2020信息技术安全技术信息安全管理体系审核和认证机构要求_第3页
GB/T 25067-2020信息技术安全技术信息安全管理体系审核和认证机构要求_第4页
GB/T 25067-2020信息技术安全技术信息安全管理体系审核和认证机构要求_第5页
已阅读5页,还剩39页未读 继续免费阅读

下载本文档

GB/T 25067-2020信息技术安全技术信息安全管理体系审核和认证机构要求-免费下载试读页

文档简介

ICS35040

L80.

中华人民共和国国家标准

GB/T25067—2020/ISO/IEC270062015

代替:

GB/T25067—2016

信息技术安全技术信息安全管理体系

审核和认证机构要求

Informationtechnology—Securitytechniques—Requirementsforbodiesproviding

auditandcertificationofinformationsecuritymanagementsystems

(ISO/IEC27006:2015,IDT)

2020-04-28发布2020-11-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T25067—2020/ISO/IEC270062015

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

原则

4………………………1

通用要求

5…………………1

法律与合同事宜

5.1……………………1

公正性的管理

5.2………………………1

责任和财力

5.3…………………………2

结构要求

6…………………2

资源要求

7…………………2

人员能力

7.1……………2

参与认证活动的人员

7.2………………5

外部审核员和外部技术专家的使用

7.3………………6

人员记录

7.4……………6

外包

7.5…………………6

信息要求

8…………………6

公开信息

8.1……………6

认证文件

8.2……………6

认证的引用和标志的使用

8.3…………6

保密

8.4…………………7

认证机构与其客户间的信息交换

8.5…………………7

过程要求

9…………………7

认证前的活动

9.1………………………7

策划审核

9.2……………9

初次认证

9.3……………10

实施审核

9.4……………11

认证决定

9.5……………12

保持认证

9.6……………12

申诉

9.7…………………13

投诉

9.8…………………13

客户的记录

9.9…………………………13

认证机构的管理体系要求

10……………14

可选方式

10.1…………………………14

GB/T25067—2020/ISO/IEC270062015

:

方式通用的管理体系要求

10.2A:……………………14

方式与一致的管理体系要求

10.3B:GB/T19001…………………14

附录资料性附录审核与认证的知识与技能

A()ISMS………………15

附录规范性附录审核时间

B()…………17

附录资料性附录审核时间计算方法

C()………………21

附录资料性附录对已实现的附录的控制的评审指南

D()GB/T22080—2016A…25

附录资料性附录与的条款对照关系

NA()GB/T25067—2020GB/T25067—2016……………32

参考文献

……………………36

GB/T25067—2020/ISO/IEC270062015

:

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准代替信息技术安全技术信息安全管理体系审核和认证机构要求

GB/T25067—2016《》。

与相比主要技术变化如下

GB/T25067—2016,:

在规范性引用文件中删除了新增了见第章

———,ISO19011,ISO/IEC27000(2);

删除了术语证书认证机构标志和组织见年版的第章

———“”“”“”“”(20163);

基于的附录细化了参与信息安全管理体系认证的各类人员的能力

———GB/T27021.1—2017A,

要求见

(7.1.2);

遵从的标准结构调整了第章过程要求的内容见第章年版

———GB/T27021.1—2017,9(9,2016

的第章

9);

审核时间计算由资料性附录调整为规范性附录见附录并新增了审核时间计算示例见

———(B),(

附录

C)。

本标准使用翻译法等同采用信息技术安全技术信息安全管理体系审核

ISO/IEC27006:2015《

和认证机构要求

》。

与本标准中规范性引用的国际文件有一致性对应关系的我国文件如下

:

信息技术安全技术信息安全管理体系概述和词汇

———GB/T29246—2017(ISO/IEC27000:

2016,IDT)

本标准做了以下编辑性修改

:

因已经废止所以引言中管理体系的定义调整为参见

———ISO9000:2005,GB/T19000—2016;

增加了资料性附录

———NA;

词汇在针对认证机构运作管理时翻译为程序见

———“procedure”,“”[7.1.2.4.1b)、9.1.3.2、9.1.5.1.2

等在针对客户信息安全控制管理时翻译为规程见

],“”[7.1.2.1.4a)、9.2.2.2a)、9.3.1.2.1a)

等两者意思并无差异

],;

由于附录只在中被引用根据国家标准起草规定将的注调整为标准条文

———A7.1.1,,7.1.1;

对表中控制网络中的隔离的审核的评审指南更正了网段和网络隔离的

———D.1“A.13.1.3”“”,

示例

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位中国合格评定国家认可中心中国电子技术标准化研究院中国网络安全审查技

:、、

术与认证中心广州赛宝认证中心服务有限公司华夏认证中心有限公司国家认证认可监督管理委员

、、、

会山东省标准化研究院

、。

本标准主要起草人付志高张强黄俊梅魏军田刚夏芳张志国尤其方洁王曙光刘鑫

:、、、、、、、、、、。

本标准所代替标准的历次版本发布情况为

:

———GB/T25067—2010、GB/T25067—2016。

GB/T25067—2020/ISO/IEC270062015

:

引言

为机构对组织的管理体系实施审核和认证建立了准则如果这类机构按照

GB/T27021.1—2017。

开展以信息安全管理体系以下简称审核和认证为目的活动并准备依据

GB/T22080—2016(“ISMS”),

获得认可对补充一些要求和指南是必要的本标准提供

GB/T27021.1—2017,GB/T27021.1—2017。

了这样的内容

本标准正文遵循的结构针对审核和认证所增加的特定要求和指南

GB/T27021.1—2017,ISMS,

用字母加以标识

“IS”。

本标准的主要目的是使得认可机构在应用其评审认证机构所依据的标准时能更有效地协调一致

本标准中术语管理体系和体系可以互换使用管理体系的定义见请不

“”“”。GB/T19000—2016。

要将本标准中使用的管理体系与其他类型的系统混淆例如信息技术以下简称系统

,,(“IT”)。

GB/T25067—2020/ISO/IEC270062015

:

信息技术安全技术信息安全管理体系

审核和认证机构要求

1范围

本标准在和的基础上对实施审核和认证的机构

GB/T27021.1—2017GB/T22080—2016,ISMS

规定了要求并提供了指南本标准的主要目的是为认证机构的认可提供支持

。ISMS。

任何提供认证的机构需要在能力和可靠性方面证实其满足本标准中的要求本标准中的

ISMS,。

指南提供了对这些要求的进一步解释

注本标准可以作为认可同行评审或其他审核过程的准则性文件

:、。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息技

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

评论

0/150

提交评论