《信息技术 安全技术 信息安全管理体系审核认证机构的要求》

ICS35.040

L80

中华人民共和国国家标准

GB/T25067—XXXX

信息技术安全技术

信息安全管理体系审核认证机构的要求

Informationtechnology—Securitytechniques—Requirementsforbodiesproviding

auditandcertificationofinformationsecuritymanagementsystems

ISO/IEC27006:2011，IDT

（征求意见稿）

XXXX-XX-XX发布XXXX-XX-XX实施

GB/TXXXXX—XXXX

目  次

前言................................................................................III

引言.................................................................................IV

1范围...............................................................................1

2规范性引用文件.....................................................................1

3术语和定义.........................................................................1

3.1.................................................................................1

3.2.................................................................................1

3.3.................................................................................1

3.4.................................................................................1

3.5.................................................................................1

4原则...............................................................................2

5通用要求...........................................................................2

5.1法律和合同事宜.................................................................2

5.2公正性的管理...................................................................2

5.2.1IS5.2利益冲突..........................................................2

5.3责任与财力.....................................................................2

6结构要求...........................................................................2

6.1组织结构和最高管理层...........................................................2

6.2维护公正性的委员会.............................................................2

7资源要求...........................................................................3

7.1管理层和人员的能力.............................................................3

7.1.1IS7.1.1通用考虑........................................................3

7.2参与认证活动的人员.............................................................3

7.2.1IS7.2认证机构人员的能力..................................................3

7.3独立的外部审核员和外部专家的使用...............................................5

7.3.1IS7.3使用外部审核员或外部技术专家作为审核组的一部分......................5

7.4人员记录.......................................................................5

7.5外包...........................................................................5

8信息要求...........................................................................5

8.1可公开获取的信息...............................................................5

8.1.1IS8.1授予、保持、扩大、缩小、暂停和撤销认证的程序........................5

8.2认证文件.......................................................................5

8.3获证客户名录...................................................................6

8.4认证的引用和标志的使用.........................................................6

I

GB/TXXXXX—XXXX

8.4.1IS8.4认证标志的控制......................................................6

8.5保密性.........................................................................6

8.5.1IS8.5组织记录的访问......................................................6

8.6认证机构与其客户间的信息交换...................................................6

9过程要求...........................................................................6

9.1通用要求.......................................................................6

9.1.1IS9.1.1通用ISMS审核要求.................................................6

9.1.2IS9.1.2认证范围..........................................................7

9.1.3IS9.1.3审核时间..........................................................7

9.1.4IS9.1.4多场所............................................................7

9.1.5IS9.1.5审核方法..........................................................8

9.1.6IS9.1.6认证审核报告......................................................8

9.2初次审核和认证.................................................................9

9.2.1IS9.2.1审核组的能力......................................................9

9.2.2IS9.2.2初次审核的一般准备...............................................10

9.2.3IS9.2.3初次认证审核.....................................................10

9.2.4IS9.2.4授予初次认证的信息...............................................12

9.2.5IS9.2.5认证决定.........................................................12

9.3监督活动......................................................................12

9.3.1IS9.3监督审核.............................................................12

9.4再认证........................................................................13

9.4.1IS再认证审核..............................................................13

9.5特殊审核......................................................................13

9.5.1IS9.5特殊情况...........................................................13

9.6暂停、取消或缩小认证范围......................................................13

9.7申诉..........................................................................13

9.8投诉..........................................................................13

9.8.1IS9.8投诉.................................................................13

9.9申请者和客户记录..............................................................14

10认证机构的管理体系要求...........................................................14

10.1选项.........................................................................14

10.2方式一：按照GB/T19001的管理体系要求........................................14

10.3方式二：通用的管理体系要求...................................................14

10.3.1IS10.3ISMS实施.........................................................14

附录A（资料性附录）客户组织复杂性和行业特定方面的分析..............................15

附录B（资料性附录）审核员能力的示例................................................18

附录C（资料性附录）审核时间........................................................20

附录D（资料性附录）对已实施的GB/T22080-2008附录A的控制措施的评审指南......25

II

GB/TXXXXX—XXXX

信息技术安全技术信息安全管理体系审核认证机构的要求

1范围

本标准对信息安全管理体系（以下简称“ISMS”）审核和认证的机构规定了要求并提供了指南，以

作为对ISO/IEC17021和GB/T22080中相关要求的补充。本标准的主要目的是为提供ISMS认证的认证机

构的认可提供支持。

任何提供ISMS认证的机构需要在能力和可靠性方面证实其满足本标准的要求。本标准的指南为这些

要求提供了进一步的解释。

注：本标准可以作为认可、同行评审或其他审核过程的准则性文件。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

ISO/IEC17021:2011合格评定管理体系审核认证机构的要求

GB/T22080—2008信息技术安全技术信息安全管理体系要求（ISO/IEC27001:2005，IDT）

ISO19011管理体系审核指南

3术语和定义

ISO/IEC17021，GB/T22080中界定的以及下列术语和定义适用于本标准。

3.1

认证证书certificate

由认证机构根据认可条件颁发的，并带有认可标识或声明的一种证书。

3.2

认证机构certificatebody

按照正式发布的ISMS标准和该体系所要求的任何补充性文档，对客户组织的ISMS进行评估和认证的

第三方机构。

3.3

认证文件certificatedocument

表明客户组织的ISMS符合指定的ISMS标准及ISMS所要求的任何补充性文档的一类文件。

3.4

标志mark

在认可机构或认证机构的规则下颁发的受到保护的标识，或依法注册的商标，表明对机构运行的体

系具有足够信心，或者表明相关的产品或人员符合指定的标准的要求。

3.5

1

GB/TXXXXX—XXXX

组织organization

公司、集团、事务所、工厂、政府机构、科研机构、学校等，或者其部分或组合，无论其是否为法

人，还是公有或私有的，均具有其自身的职能和管理并能够确保实施其信息安全。

4原则

ISO/IEC17021:2011的4条款中的原则适用。

5通用要求

5.1法律和合同事宜

ISO/IEC17021:2011的5.1条款中的要求适用。

5.2公正性的管理

ISO/IEC17021:2011的5.2条款中的要求适用。并且，以下ISMS特定要求和指南适用。

5.2.1IS5.2利益冲突

认证机构可以从事以下工作，而不被视为咨询或具有潜在的利益冲突：

a)认证，包括信息沟通会议、审核策划会议、文件评审、审核（非ISMS内部审核或内部安全评

审）和不符合的跟踪；

b)作为讲师安排和参与培训课程，如果这些课程与信息安全管理、有关的管理体系或审核相关，

认证机构应仅限于提供公众可以公开自由获取的、通用的信息和建议，例如：认证机构不应提

供针对特定公司的、违反下述c)的要求的建议；

c)根据请求，提供或发布认证机构对认证审核标准要求的解释性信息（见9.1.1.1）；

d)审核前活动，仅以确定认证审核是否就绪为目的，但这类活动不应提供导致违反本条款的建议

或意见。认证机构应能够确认这类活动不违反这些要求，并且不使用这些活动作为缩减最终认

证审核时间的理由；

e)按照标准或法规，而不只是按照认可范围那一部分的要求，执行第二方和第三方审核；

f)在认证审核和监督审核过程中的增值活动，例如在审核过程中，当改进机会明显时，识别改进

的机会而不推荐具体的解决方案。

认证机构应独立于那些为接受ISMS认证的客户提供ISMS内部审核的机构（包括任何个人）。

5.3责任与财力

ISO/IEC17021:2011的5.3条款中的要求适用。

6结构要求

6.1组织结构和最高管理层

ISO/IEC17021:2011的6.1条款中的要求适用。

6.2维护公正性的委员会

ISO/IEC17021:2011的6.2条款中的要求适用。

2

GB/TXXXXX—XXXX

7资源要求

7.1管理层和人员的能力

ISO/IEC17021:2011的7.1条款中的要求适用。另外，以下ISMS特定要求和指南适用。

7.1.1IS7.1.1通用考虑

实施ISMS认证所需的基本要素是选择、提供以及管理那些具备与受审核活动和相关信息安全事宜相

适应的技能和综合能力的人员。

7.1.1.1能力分析和合同评审

认证机构应确保其具备与所评估的客户组织的ISMS有关的技术和法律发展的知识。

认证机构应具有一个有效的能力分析系统，以便在其运作所涉及的全部技术领域就需要具备的信息

安全管理方面的能力进行分析。

对于每个客户，认证机构应能够证实，其在实施合同评审前，对每个相关行业的要求进行了能力分

析（针对所评估出的需求进行技能评定）。然后，认证机构应在能力分析结果的基础上，与客户组织一

起进行合同评审。特别地，认证机构应能够证实其具备完成以下活动的能力：

a)理解客户组织的活动领域及相关业务风险；

b)根据所识别的活动以及有关客户组织的与信息安全有关的对资产的威胁、脆弱性和影响来确定

认证机构所需的能力；

c)确认具备所需的能力。

7.1.1.2资源

认证机构的管理应具有必要的过程和资源，以确定每个审核员是否能够胜任在其操作的认证范围所

要求的工作。审核员的能力可以通过经验证的背景经历和特定的培训或情况说明（见本标准附录B）来

确定。认证机构应能够与其提供服务的所有客户进行有效地沟通。

IS7.1.2能力准则的确定

附录B提供了知识和技能的附加信息以支持ISO/IEC17021中的能力准则。

7.2参与认证活动的人员

ISO/IEC17021:2011的7.2条款中的要求适用。另外，以下ISMS特定要求和指南适用。

7.2.1IS7.2认证机构人员的能力

认证机构应有人员能够：

a)选择并验证ISMS审核员的能力，以使审核组适合审核；

b)向ISMS审核员进行情况说明并安排必要的培训；

c)做出授予、保持、撤销、暂停、扩大或缩小认证的决定；

d)建立和运行申诉和投诉过程。

7.2.1.1审核组的培训

认证机构应具备培训审核组的准则，以确保审核组：

a)具有ISMS标准和其他相关规范性文件的知识；

3

GB/TXXXXX—XXXX

b)理解信息安全；

c)从业务角度，理解风险评估和风险管理；

d)具有与受审核的活动相关的技术知识；

e)具有与各类ISMS相关的法规要求的通用知识；

f)具有管理体系的知识；

g)理解基于GB/T19011的审核原则；

h)具有评审ISMS有效性和控制措施有效性测量的知识。

以上培训要求，除了上述d)可以在审核组成员之间共享外，其余均适用于审核组的所有成员。

7.2.1.1.1当为特定认证审核选择指派审核组时，认证机构应确保审核组实施各项工作的技能是适宜

的。审核组应：

a)针对拟认证的ISMS范围内的特定活动，具备适当的技术知识，以及适宜时，与这些活动相关

的规程及其潜在的信息安全风险方面的技术知识（非审核员的技术专家可以履行此项职责）；

b)充分理解客户组织，以便对（管理客户组织活动、产品和服务的信息安全的）ISMS进行可靠

的认证审核；

c)适当的理解适用于客户组织的ISMS的法规要求。

7.2.1.1.2需要时，审核组可以补充一些技术专家，这些专家可证实具备与审核相适宜的技术领域的特

定能力。宜注意的是，对技术专家的使用不能替代ISMS审核员，但技术专家可为审核员就受审核的管

理体系的技术充分性事宜提供建议。认证机构应具备程序：

a)按照其能力、接受的培训、资格和经历选择审核员和技术专家；

b)在认证审核中对审核员和技术专家的行为进行初始评价，而后对审核员和技术专家的表现进行

监视。

7.2.1.2决定过程的管理

管理职能应包含具备适当的技术能力，以能够根据GB/T22080的要求，对授予、保持、扩大、缩小、

暂停和撤销ISMS认证的决定过程进行管理。

7.2.1.3ISMS审核员必备的教育水平、工作经历、审核员培训和审核经历

7.2.1.3.1以下准则适用于ISMS审核组中的每个审核员。审核员应：

a)具备中等教育程度；

b)在信息技术方面具备至少4年的全职实际工作经历，其中具备至少2年与信息安全有关的职位

或职责的工作经历；

c)成功地完成5天的培训，培训范围应考虑合适地覆盖ISMS审核和审核管理；

d)在被赋予审核员责任之前，已获得评审信息安全整个过程的经验。这种经验宜通过参与最少4

次、总共天数为20天认证审核获得，包括文件评审和风险分析，实施评审和审核报告；

e)具备合乎时宜的经验；

f)能够宏观地观察复杂的运作，并理解在较大的客户组织中各单元的职能；

g)通过持续的专业发展，保持信息安全和审核的知识和技能的更新。

技术专家应符合准则a)，b)，e)和f)。

4

GB/TXXXXX—XXXX

7.2.1.3.2除了7.2.1.3.1中的要求，审核组组长应满足以下要求，并应在指导和监督下通过审核予以

证实：

a)具备管理认证审核过程的知识和技能；

g)作为审核员至少实施过3次完整的ISMS审核；

h)具备口头和书面的有效沟通的能力。

7.3独立的外部审核员和外部技术专家的使用

ISO/IEC17021:2011的7.3条款中的要求适用。并且，以下ISMS特定要求和指南适用。

7.3.1IS7.3使用外部审核员或外部技术专家作为审核组的一部分

当使用外部审核员或外部技术专家作为审核组成员时，认证机构应确保其能够胜任并遵守本标准中

适用的规定，同时应确保其不直接或通过其雇主参与对ISMS或相关管理体系的设计、实施或维护，从而

避免使公正性受损。

7.3.1.1技术专家的使用

具有影响客户组织的过程、信息安全事宜和法律有关的特定知识，但不满足7.2的所有准则的技术

专家，可以成为审核组成员。技术专家应在审核员的监督下进行工作。

7.4人员记录

ISO/IEC17021:2011的7.4条款中的要求适用。

7.5外包

ISO/IEC17021:2011的7.5条款中的要求适用。

8信息要求

8.1可公开获取的信息

ISO/IEC17021:2011的8.1条款中的要求适用。并且，以下ISMS特定要求和指南适用。

8.1.1IS8.1授予、保持、扩大、缩小、暂停和撤销认证的程序

认证机构应要求客户组织实施了文件化的ISMS，并符合GB/T22080的要求和认证所需其他文件的要

求。

认证机构应具备形成文件的程序，以:

a)依据ISO/IEC17021:2011和其他相关文件的规定，对客户组织的ISMS进行初次认证审核；

b)依据ISO/IEC17021:2011，对客户组织的ISMS定期进行监督和再认证审核，以确认其持续符

合相关要求,验证和记录客户组织是否对所有不符合及时采取纠正措施。

8.2认证文件

ISO/IEC17021:2011的8.2条款中的要求适用。并且，以下ISMS特定要求和指南适用。

8.2.1IS8.2ISMS的认证文件

5

GB/TXXXXX—XXXX

认证机构应向每个ISMS获证客户组织提供认证文件，例如由负责此项职责的人员签署的证明或认证

证书。对客户组织及其认证覆盖的每个信息系统，这些文件应明确所授予的认证范围和ISMS认证所依据

的标准GB/T22080-2008。此外，证书应包括引用的适用性声明的特定版本。

注：适用性声明的变更如不改变认证范围中控制措施的覆盖范围，不需要更新认证证书。

8.3获证客户名录

ISO/IEC17021:2011的8.3条款中的要求适用。

8.4认证的引用和标志的使用

ISO/IEC17021:2011的8.4条款中的要求适用。并且，以下ISMS特定要求和指南适用。

8.4.1IS8.4认证标志的控制

认证机构应对ISMS认证标志的所有权、使用和显示方式进行适当的控制。如果认证机构授权使用标

志来表明对ISMS的认证，认证机构应确保客户组织仅使用由认证机构书面授权所规定的标志。认证机构

不应授权在产品上使用这一标志，或以表示产品合格的方式使用这一标志。

8.5保密性

ISO/IEC17021:2011的8.5条款中的要求适用。并且，以下ISMS特定要求和指南适用。

8.5.1IS8.5组织记录的访问

在认证审核之前，认证机构应要求客户组织报告是否存在因包含保密性或敏感性信息而不能提供给

审核组核查的ISMS记录。认证机构应确定ISMS是否能在缺少这些记录的情况下得到充分地审核。如果认

证机构得出不对已识别的保密性或敏感性的记录进行核查就不能对ISMS进行充分审核的结论，就应告知

客户组织认证审核不能进行，直至获得适当的经许可的访问安排。

8.6认证机构与其客户间的信息交换

ISO/IEC17021:2011的8.6条款中的要求适用。

9过程要求

9.1通用要求

ISO/IEC17021:2011的9.1条款中的要求适用。并且，以下ISMS特定要求和指南适用。

9.1.1IS9.1.1通用ISMS审核要求

9.1.1.1认证审核准则

客户组织的ISMS接受审核的准则应是ISMS标准GB/T22080-2008中提出的要求和与其所实施的业务

相关的认证所需的其他文件中的要求。如果需要对上述文件在特定认证方案中的应用做出解释，这种解

释应由相关的公正性委员会或具备必要技术能力的个人给出，并由认证机构正式发布。

9.1.1.2策略和程序

认证机构的文档应包括实施认证过程的策略和程序，其中包括对用于ISMS认证的文件的适用性和应

用情况的检查，也包括用于审核和认证客户组织ISMS程序的检查。

6

GB/TXXXXX—XXXX

9.1.1.3审核组

认证机构应正式任命审核组并为其提供相应的工作文件。审核计划和日期应得到客户组织的同意。

认证机构应明确规定审核组的任务，并使客户组织知悉。该任务应要求审核组检查客户组织的结构、策

略和程序，确认其满足与认证范围相关的要求以及所实施程序的要求，从而提供对客户组织ISMS的信心。

9.1.2IS9.1.2认证范围

审核组应依据所有适用的认证要求，对包含在确定范围内的客户组织的ISMS进行审核。认证机构应

确保根据客户组织的业务特点、组织、所处地理位置、资产和技术的特点清晰地定义其ISMS的范围和边

界。认证机构应确认，客户组织在其ISMS范围内满足了GB/T22080-2008中1.2条款的要求。

认证机构应确保，按照ISMS标准GB/T22080的要求，客户组织的信息安全风险评估和风险处置与客

户组织的活动及活动的边界相一致，并应确认这些都在客户组织的ISMS范围和适用性声明中得到体现。

认证机构应确保，与不完全属于ISMS范围内的服务或活动的接口在接受认证的ISMS中得到说明，并

包括在客户组织的信息安全风险评估中。例如，其他组织共享设施的情况（例如：IT系统、数据库和通

讯系统）。

9.1.3IS9.1.3审核时间

认证机构应给予审核组足够的时间开展与初次审核、监督审核或再认证审核相关的所有活动。所安

排的时间应考虑以下因素：

a)ISMS范围的大小（例如，所使用的信息系统的数量、雇员的数量）；

b)ISMS的复杂程度（例如，信息系统的关键程度、ISMS的风险状况），见本标准附录A；

c)在ISMS范围内开展的业务类型；

d)在ISMS各部分的实施过程中，所应用技术的程度和多样性（例如：已实施的控制、文件和（或）

过程控制、纠正和（或）预防改进措施等）；

e)场所的数量；

f)经证实的以往的ISMS绩效；

g)在ISMS范围内，所使用的外包和第三方安排的程度；

h)适于认证的标准和法规。

本标准附录C对审核时间提供了指南。认证机构应能证实或证明在初次审核、监督审核和再认证

审核中所用时间的合理性。

9.1.4IS9.1.4多场所

9.1.4.1在ISMS认证领域，有关多场所的抽样决定应比质量管理体系认证领域更加复杂。当客户组织

拥有的多个场所满足以下a)至c)的准则时，认证机构可以考虑使用基于抽样的方法进行多场所认证审

核：

a)所有的场所在同一ISMS下运行，并接受统一的管理、审核和管理评审；

b)所有的场所都包含在客户组织的ISMS内部审核方案中；

c)所有的场所都包含在客户组织的ISMS管理评审方案中。

9.1.4.2认证机构使用基于抽样的方法时，应具备程序以确保：

a)初次合同评审时，最大程度地识别场所之间的差异，以便确定适宜的抽样水平；

b)认证机构应考虑以下因素，抽取具有代表性的场所：

7

GB/TXXXXX—XXXX

1)总部和其他场所的内部审核的结果；

2)管理评审的结果；

3)场所规模的差异；

4)各场所业务目的的差异；

5)ISMS的复杂程度；

6)不同场所信息系统的复杂程度；

7)工作实践的差异；

8)所进行活动的差异；

9)与关键的信息系统或处理敏感信息的信息系统的潜在的相互作用；

10)任何不同的法律要求。

c)从客户组织的ISMS范围内所有场所中选择具有代表性的样本，选择应基于判断以反映上述b)

中所列因素，同时也应考虑随机要素；

d)在授予认证前，认证机构应审核ISMS中每个有重大信息安全风险的场所；

e)根据以上要求，设计监督审核方案，并在三年内覆盖ISMS认证范围内的代表性样本；

f)无论是在总部还是其他单一场所发现不符合，纠正措施程序的实施适用于包括在认证范围内的

总部和所有场所。

本标准的IS9.1.5中所述的审核应关注客户组织总部为确保同一ISMS适用于所有场所，并在运行层

面上实施统一管理所进行的活动。审核应处理上述所有事项。

9.1.5IS9.1.5审核方法

认证机构应具有程序来要求客户组织能够证实其已就ISMS内部审核做出日程安排，其方案和程序具

有可操作性并能够展示其可操作性。

认证机构的程序不应以实施ISMS的特定方式为前提或以文件和记录的特定格式为前提。认证程序应

将重点放在确定客户组织的ISMS满足GB/T22080-2008标准的要求以及满足客户组织的策略和目标。

如适用，审核计划应识别在审核中将使用的网络支持的审核技术。

注：网络支持的审核技术可包括，例如电话会议、web会议、基于web的互动式沟通和远程电子访问ISMS文件和（或）

ISMS过程等方式。关注这种技术有助于提高审核的有效性和效率，并支持审核过程的完整性。

9.1.6IS9.1.6认证审核报告

9.1.6.1认证机构的报告程序应确保：

a)在离开客户组织场所前，在审核组和客户组织管理者之间召开一次会议，并提供：

1)有关客户组织的ISMS是否符合特定认证要求的书面或口头说明；

2)客户组织就审核发现及其根据（教材：审核证据以及审核依据等）提出问题的机会。

b)审核组向认证机构提供关于审核发现的审核报告，这些审核发现是针对客户组织的ISMS与所

有认证要求的符合性。

9.1.6.2审核报告应提供以下信息或对这些信息的引用：

8

GB/TXXXXX—XXXX

a)包括文件评审摘要在内的审核说明；

b)对客户组织信息安全风险分析进行认证审核的说明；

c)所使用的全部审核时间和分别用于文件评审、风险分析评审、现场评审和审核报告的时间的详

细说明；

d)所进行的审核询问、选择的理由和所采用的方法。

9.1.6.3审核报告应足够详细，以帮助和支持认证决定，审核报告应包括：

a)审核覆盖的区域（例如：认证要求和接受审核的场所），包括所采用的主要审核路线和所使用

的审核方法（见IS9.1.5)；

b)获得的审核发现，包括正面的（例如：值得注意的特点）和负面的（例如：潜在的不合格）；

c)已识别的任何不符合的详细情况，包括支持不符合的客观证据和这些不符合所涉及的GB/T

22080或认证所需的其他文件的要求；

d)有关客户组织的ISMS符合认证要求的意见和对不符合的清楚说明，适用性声明版本的引用，

以及适用时，与客户组织先前的认证审核结果的任何有用的对照。

完成的问卷、检查表、观察结果、日志或审核员笔记可能构成完整的审核报告的一部分。如果使用

这些方法，这些文件应提供给认证机构，作为支持认证决定的证据。在审核过程中，有关被评价样本的

信息应包含在审核报告或其他认证文件中。

报告应考虑客户组织所采用的内部组织和程序的充分性，以便对其ISMS建立信心。

除了在17021;2011中条款9.1.10中对审核报告的要求，报告还应包括：

——对ISMS内部审核和管理评审的信任度；

——有关ISMS的实施和有效性的最重要的正面与负面观察的摘要；

——审核组关于是否授予客户组织ISMS认证的推荐，以及证实该推荐的信息．

9.2初次审核和认证

ISO/IEC17021:2011的9.2条款中的要求适用。并且，以下ISMS特定要求和指南适用。

9.2.1IS9.2.1审核组的能力

除了7.2条款所列的要求之外，以下要求适用于认证评定。对于监督活动，只有与已安排的监督活

动有关的要求适用。

以下要求适用于整个审核组。

a)在以下每个方面，至少应有一名审核组成员满足认证机构准则，以在审核组内部承担相应责任：

1)管理审核组；

2)管理体系和适用于ISMS的过程的知识；

3)在特定的信息安全领域，具备法律和法规要求方面的知识；

4)识别与威胁相关的信息安全和事件趋势；

5)识别客户组织的脆弱性并理解其被利用的可能性和所造成的影响，以及对其的减缓和控

制；

6)ISMS的控制措施及其实施的知识；

7)ISMS的有效性评审和控制措施测量的知识；

8)有关和/或相关的ISMS的标准，行业最佳实践，安全方针和程序；

9)事件处理方法和业务连续性的知识；

9

GB/TXXXXX—XXXX

10)有关有形和无形信息资产和影响分析的知识；

11)有关可能涉及安全或可能构成安全问题的当前技术的知识；

12)风险管理过程和方法的知识。

b)审核组应有能力将客户组织ISMS中的安全事件迹象追溯到ISMS的相应要素；

c)审核组应具有适当的工作经验和上述条款的实际应用（这不意味着审核员需要信息安全所有领

域的全面的经验，但整个审核组应对被审核ISMS的范围具备足够的认识和经验）。

审核组可以由一名审核员组成，如果其满足上述a)的所有准则。

9.2.1.1IS9.2.1.1审核员能力的证实

审核员应能够证实其具备上述知识和经验，如通过：

a)获得认可的ISMS特定的资格；

b)注册为审核员；

c)经批准的ISMS课程培训；

d)持续更新的专业发展记录；

e)对审核员在实际客户ISMS的审核过程的见证予以证实。

9.2.2IS9.2.2初次审核的一般准备

认证机构应要求客户组织为认证审核的实施做好所有必要的安排，包括为检查文件、进入所有区域、

获取记录（包括内部审核报告和信息安全独立评审报告）和访问员工的准备，从而达到实施认证审核、

再认证审核和解决投诉的目的。

在现场认证审核之前，客户应至少提供以下信息：

a)ISMS和其所涵盖活动的一般信息；

b)GB/T22080-2008条款4.3.1所要求的ISMS文件的副本，及必要的相关文件。

9.2.3IS9.2.3初次认证审核

9.2.3.1IS9.2.3.1第一阶段审核

在该审核阶段，认证机构应获取设计ISMS的文件，并包括GB/T22080-2008条款4.3.1所要求的文件。

第一阶段审核的目的是，结合客户组织ISMS方针和目标，了解其ISMS，特别是客户组织的审核准备

状态，为策划第二阶段审核提供重点。

第一阶段审核应包括，但不宜仅限于文件评审。认证机构应与客户组织就文件评审的时间和地点达

成一致。在任何情况下，文件评审应在第二阶段审核开始前完成。

第一阶段审核结果应形成书面报告。认证机构应在决定进行第二阶段审核前，对第一阶段的审核报

告进行评审，以便为第二阶段审核选择具有必要能力的审核组成员。

认证机构应让客户组织意识到在第二阶段的审核中，可能需要进一步提供信息和记录以供详细检

查。

9.2.3.2IS9.2.3.2第二阶段审核

9.2.3.2.1第二阶段审核通常在客户组织的场所进行。认证机构以第一阶段审核报告中形成文件的审核

发现为基础，为实施第二阶段审核制定审核计划。第二阶段审核的目标是：

10

GB/TXXXXX—XXXX

a)确认客户组织遵守自身的方针、目标和规程；

b)确认ISMS符合规范性ISMS标准GB/T22080-2008的所有要求并正在实现客户组织的方针目标。

9.2.3.2.2为此，审核应重点关注客户组织的：

a)与信息安全有关风险的评估，及评估产生可比较和可再现的结果；

b)GB/T22080-2008条款4.3.1所列的文件要求；

c)基于风险评估和风险处置过程，对控制目标和控制措施的选择；

d)ISMS有效性的评审和信息安全控制有效性的测量，以及对照ISMS目标进行的报告和评审；

e)ISMS内部审核和管理评审；

f)针对信息安全方针的管理职责；

g)所选择和实施的控制措施、适用性声明与风险评估和风险处置过程的结果及ISMS方针和目标

之间的一致性；

h)控制措施的实施（见附录D），考虑客户组织对控制措施的有效性的测量[见上述d)]，以确定

控制措施是否得以实施并在达到所声明的目标方面是有效的；

i)方案、过程、程序、记录、内部审核和对ISMS有效性的评审，以确保其可被追溯至管理决定

和ISMS的方针与目标。

9.2.3.3IS9.2.3.3ISMS审核的特定要素

认证机构的职责是确定客户组织持续建立和保持了用以识别、检查和评价信息安全相关的资产威

胁、脆弱性及对客户组织的影响的规程。认证机构应：

注：要求客户组织证实对安全相关威胁的分析对于客户组织的运作是相关的和充分的；

注：客户组织负责确定其重大信息安全相关风险的识别准则，并制定实施的规程。

a)确定客户组织识别、检查和评价信息安全相关的资产威胁、脆弱性和影响的规程及应用的结果是否

与客户组织的方针、目标和指标保持一致。

认证机构也应确定用于重大风险分析的规程是否健全并得到正确实施。如果信息安全相关的资

产威胁、脆弱性或对客户组织的影响被识别为重大，应被纳入ISMS管理之中。

9.2.3.3.1法律和法规的符合性

法律法规符合性的保持和评价是客户组织的责任。认证机构应通过检查和抽样的方式对客户组织

ISMS在合规性方面的作用建立信心。认证机构应验证客户组织所具有的管理体系使其遵守适用于信息安

全风险和影响的法律法规。

9.2.3.3.2ISMS文件与其他管理体系文件的整合

只要ISMS以及和其它体系的适当接口能够清楚地得到识别，客户组织就可以将ISMS文件与其他管理

体系文件（例如：质量、健康与安全、环境）相结合。

9.2.3.3.3管理体系结合审核

认证机构可以提供与ISMS认证相关联的其他管理体系认证，或仅提供ISMS认证。

11

GB/TXXXXX—XXXX

ISMS审核可以和其他管理体系的审核相结合。这种结合只有在证实审核满足ISMS认证所有要求时才

有可能。在审核报告中，所有对ISMS重要的要素应清晰地体现并易于识别。审核的质量不应由于结合审

核受到负面影响。

9.2.4IS9.2.4授予初次认证的信息

为给认证决定提供依据，认证机构应需要提供支持认证决定的充足信息的清晰报告，要求审核组在

认证审核的各个阶段向认证机构提供报告。结合存档信息，这些报告至少应包括本标准的IS9.1.6中所

要求的信息。

9.2.5IS9.2.5认证决定

在认证机构中，做出授予/撤销认证决定的实体（或个人）应在各个方面具备一定程度的知识和经

验，从而可以对审核过程和审核组提出的相关建议进行评价。

是否授予客户组织ISMS认证的决定，应由认证机构基于认证过程中收集的信息和其他相关信息做出

的。做出认证决定的人员不应参与审核。认证决定应基于审核组认证审核报告（见IS9.1.6）中提供的

审核发现和推荐认证的建议，及认证机构可获取的任何其他相关信息。

通常情况下，负责做出授予认证决定的实体，不宜推翻审核组的负面建议。如果确实出现这种情

况，认证机构应记录和说明做出推翻该建议的决议的依据。

对于认证决定而言，ISO/IEC17021:2011未对客户组织ISMS应至少进行一次完整的内部审核和一次

管理评审的周期做出具体规定。认证机构可以规定该周期。无论认证机构是否选择规定最低的频次，都

应制定措施，以确保客户组织的管理评审和ISMS内部审核过程的有效性。

只有具备充分的证据证实管理评审和ISMS内部审核的安排得以实施，且是有效的并将得到保持，

才可对客户组织授予认证。

9.3监督活动

ISO/IEC17021:2011中的9.3条款适用。并且，以下是ISMS具体的要求和指导建议。

9.3.1IS9.3监督审核

9.3.1.1监督审核程序应与本标准中有关客户组织的信息安全管理体系的认证审核的要求相一致。

监督的目的是为了验证已被认证的ISMS得到持续实施,考虑由于客户组织运作的变化所引起的管理

体系变化，确认管理体系与认证要求的持续符合.监督审核方案应覆盖:

a）管理体系保持要素，包括ISMS内部审核、管理评审和预防与纠正措施；

b）依据ISMS标准GB/T22080-2008和认证所需的其他文件的要求，与外部各方的沟通；

c）形成文件的管理体系的变更；

d）变更涉及的区域；

e）所选择的GB/T22080要素；

f）适宜时，其他被选择的区域。

9.3.1.2认证机构的监督应至少评审以下方面：

a)在达到客户组织的信息安全方针的目的方面，ISMS的有效性；

b)定期评价和评审相关信息安全法律法规符合性的规程的运行；

12

GB/TXXXXX—XXXX

c)针对上次审核中发现的不符合采取的措施。

9.3.1.3认证机构的监督应覆盖ISO/IEC17021中监督审核的要求，并且，应覆盖以下事项:

a)认证机构应能针对客户组织与信息安全有关的资产威胁，脆弱性和影响来调整监督方案，并判

断方案的合理性；

b)认证机构的监督方案应由认证机构确定。访问的具体日期可与被认证的客户组织达成一致；

c)监督审核可以和其他管理体系的审核相结合，报告应清晰地表明每个管理体系有关的方面；

d)认证机构应当监督认证证书的正确使用。

在监督审核中,认证机构应检查之前得到的申/投诉记录。一旦发现任何不符合或不满足认证要求的

情况，认证机构应检查客户组织是否对自己的ISMS和规程进行调查并采取了适当的纠正措施。

特别是,监督报告应包括，有关消除以往发现的不符合的信息.监督审核报告至少应覆盖以上a）的

全部要求。

9.4再认证

ISO/IEC17021:2011的9.4条款的要求适用。并且，以下ISMS特定要求和指南适用。

9.4.1IS再认证审核

再认证审核程序应与本标准提出的有关客户组织的ISMS的认证审核的要求和指南相一致。

认证机构应具有清晰的程序，对保持认证的环境和条件做出规定。如果在监督或再认证审核中，发

现不符合的存在，该不符合应在认证机构同意的时间内得到有效的纠正。如果纠正没有在同意的时间内

完成，认证范围应被缩小，或者暂停或撤销认证证书。允许采取纠正措施的时间应与不符合的严重程度

和风险相适宜,以确保客户组织的产品或服务满足规定要求。

9.5特殊审核

ISO/IEC17021:2011，条款9.5的要求适用。并且,以下ISMS特定要求和指南适用。

9.5.1IS9.5特殊情况

如果已经通过ISMS认证的客户组织对其体系做重大修改或者发生可能影响其认证基础的其他变更，

认证机构应按照特殊规定实施特殊审核所必要的活动。

9.6暂停、撤销或缩小认证范围

ISO/IEC17021:2011，条款9.6的要求适用。

9.7申诉

ISO/IEC17021:2011，条款9.7的要求适用。

9.8投诉

ISO/IEC17021:2011条款9.8的要求适用。并且，以下ISMS特定要求和指南适用。

9.8.1IS9.8投诉

13

GB/TXXXXX—XXXX

投诉是可能的不符合的信息来源。认证机构应要求获证客户组织在收到投诉后，确定投诉的原因，

其中包括任何由于客户组织的ISMS所导致（或诱发）投诉的因素，并在适宜时报告投诉原因。

认证机构应确保客户组织利用上述调查活动，制定补救/纠正措施，其中应包括以下措施：

a）法规要求时，通知相应的权利机构；

b）恢复符合性；

c）防止再发生；

d）评估和减小任何负面安全事件及其相关的影响；

e）确保与ISMS其他要素产生良好的相互作用；

f）评价所采用的补救和（或）纠正预防措施的有效性。

认证机构应要求ISMS已在认证机构获得认证的每一个组织，记录所有的投诉并且依据GB/T

22080-2008采取纠正措施。

9.9申请者和客户记录

ISO/IEC17021:2011条款9.9的要求适用

10认证机构的管理体系要求

10.1选项

ISO/IEC17021:2011的10.1中的要求适用。

10.2方式一：按照GB/T19001的管理体系要求

ISO/IEC17021:2011的10.2中的要求适用。

10.3方式二：通用的管理体系要求

ISO/IEC17021:2011的10.3中的要求适用。并且，以下ISMS特定的要求和指南适用。

10.3.1IS10.3ISMS实施

建议认证机构依据GB/T22080-2008要求实施ISMS。

14

GB/TXXXXX—XXXX

AA

附录A

（资料性附录）

客户组织复杂性和行业特定方面的分析

A.1组织的潜在风险

当决定审核的时间和审核员的能力要求时，需要考虑客户组织ISMS范围的复杂性。为此，本附录

提供了分析客户组织复杂性的实例。给出一个ISMS范围的复杂性类别有助于确定：

a)ISMS审核的审核员能力要求（见本文件的附录B的示例）；

b)ISMS审核的审核时间要求（见本文件的附录C的示例）。

针对确定ISMS范围的复杂性时所考虑的可能因素，表A.1给出了通用指标。对于特定的环境，

表A.1可能需要调整，或者适当地增加一些特殊因素。

通过单独地使用复杂性准则（见表A.1），以及利用一些不同的因素，ISMS每个复杂性因素都可以

分为“高”、“中”、“低”三个类别。ISMS范围复杂性的整体类别，可以是全部复杂性因素中最大的，

即：“高”、“中”、“低”。

A.1ISMS范围的复杂性准则

类别

复杂性因素

高