《信息技术 安全技术 信息安全管理体系审核认证机构的要求》编制说明

一、工作简况

1.1任务来源：

当前，越来越多的组织及其信息系统和网络面临着包括计算机诈骗、间谍、蓄

意破坏、火灾、水灾等大范围的安全威胁，诸如计算机病毒、计算机入侵、DoS攻

击等手段造成的信息灾难已变得更加普遍,有计划而不易被察觉。组织对信息系统和

信息服务的依赖意味着更易受到安全威胁的破坏，公共和私人网络的互连及信息资

源的共享增大了实现访问控制的难度。但仅仅通过使用信息安全技术手段不能杜绝

所有的重大安全风险，科学的安全管理手段也越来越重要。信息安全管理体系标准

ISO/IEC27001标准发布后，很多组织参照信息安全管理模型，按照ISO/IEC27001

标准建立组织完整的信息安全管理体系并实施与保持，达到动态的、系统的、全员

参与、制度化的、以预防为主的信息安全管理方式，用最低的成本，使信息风险的

发生概率和结果降低到可接受水平，并采取措施保证业务不会因风险的发生而中断。

同时通过第三方认证机构的认证审核，持续改进信息安全管理水平。但实施信息安

全管理体系认证审核的机构众多，如何保证各机构能一致有效的实施信息安全管理

体系的认证审核，提升第三方认证机构的公信力，是一个重要的问题。新的修订版

ISO/IEC27006:2011无论是从标准内容框架还是编写思路上，都更能体现这些变化

与需求。因此，及早与国际标准发展保持一致，开展标准的修订工作是十分迫切和

必要的。

本项目将修订现有国家标准GB/T25067-2010《信息技术安全技术信息安全

管理体系认证审核机构要求》，引入新版国际标准ISO/IEC27006:2011的新思路和

内容框架，使我国具有信息安全管理体系建设、管理和认证需求的组织机构，更加

科学、全面地改善自身的信息安全管理水平，同时为保证ISMS认证审核机构的能力

提供技术依据。

工业和信息化部电子工业标准化研究院，负责该项目的计划与组织管理，形成标

准草案；组织对标准草案的意见征求，研究意见和完成对标准文本草案的修改,形

成征求意见稿；组织对征求意见稿进行意见汇总，修改和完成标准送审稿；针对送

审稿的审查意见，组织进一步修改完善，形成标准报批稿；牵头组织宣贯教材的编

写等。

1.2主要工作过程：

1.2013.10-2013.12成立工作组，完成标准的草稿，第一次会议，分配工作任

务。

2.2014.1-2014.2标准编制组内部对标准初稿进行集中校对，并以多种形式征

求专家和相关单位意见，形成标准草案。编写标准草案编制说明、意见处理汇总表。

3.2014.3--2014.6.30标准草案提交工作组，进行专家审查，并在工作组成员

单位范围内进行标准草案投票；编制组根据反馈意见修改标准文本，形成标准征求

意见稿；完善编制说明及意见处理汇总表。

二、编制原则和主要内容

2.1编制原则

本标准编制过程中遵循了以下原则：

(一)等同采用国际标准ISO/IEC27006:2011。目前信息安全管理体系（ISMS）

标准在国内不同领域和行业得到了广泛的应用和推广，ISMS认证在国内发展也

越来越快，因此，如何规范ISMS认证审核机构的管理，成为ISMS认证认可及

认证审核工作需要考虑的重点。而本标准提供了这样的要求，对于认可机构以

一致的方式对信息安全管理体系认证机构实施评审和认可具有非常实用的指导

意义。因此编制组经讨论，决定等同采用国际标准ISO/IEC27006:2011《信息

技术安全技术信息安全管理体系审核认证机构的要求》。

(二)准确理解国际标准内容。本标准是对国际标准ISO/IEC27006:2011的

等同转化，因此，本标准翻译过程中，坚持以准确理解国际标准原文及含义为

准绳，同时采用中文语言习惯进行表述，使文本语言的描述尽可能顺利、通畅。

(三)遵从已有的术语和定义。由于本标准与已有ISMS国家标准有密切相关

性，因此，本标准在术语和定义的使用上，采用了如下原则：已有信息安全术

语定义的，遵从其定义；在其他ISMS标准中已经定义过的术语，遵从其定义。

2.2主要内容

本标准对信息安全管理体系（以下简称“ISMS”）审核和认证的机构规定了要

求并提供了指南，以作为对ISO/IEC17021和ISO/IEC27001中相关要求的补充。本

标准的主要目的是为实施ISMS认证的认证机构的认可提供支持（本标准的主要目的

是为ISMS认证机构的认可提供支持）。

任何提供ISMS认证的机构需要在能力和可靠性方面证实其满足本标准的要

求。本标准的指南为这些要求提供了进一步的解释。

本标准主要框架如下：

前言III

引言IV

1范围1

2规范性引用文件1

3术语和定义1

4原则2

5通用要求2

5.1法律和合同事宜2

5.2公正性的管理2

5.2.1IS5.2利益冲突2

5.3责任与财力2

6结构要求2

6.1组织结构和最高管理层2

6.2维护公正性的委员会2

7资源要求3

7.1管理层和人员的能力3

7.1.1IS7.1.1通用考虑3

7.2参与认证活动的人员3

7.2.1IS7.2认证机构人员的能力3

7.3独立的外部审核员和外部专家的使用5

7.3.1IS7.3使用外部审核员或外部技术专家作为审核组的一部分5

7.4人员记录5

7.5外包5

8信息要求5

8.1可公开获取的信息5

8.1.1IS8.1授予、保持、扩大、缩小、暂停和撤销认证的程序5

8.2认证文件5

8.3获证客户名录6

8.4认证的引用和标志的使用6

8.4.1IS8.4认证标志的控制6

8.5保密性6

8.5.1IS8.5组织记录的访问6

8.6认证机构与其客户间的信息交换6

9过程要求6

9.1通用要求6

9.1.1IS9.1.1通用ISMS审核要求6

9.1.2IS9.1.2认证范围7

9.1.3IS9.1.3审核时间7

9.1.4IS9.1.4多场所7

9.1.5IS9.1.5审核方法8

9.1.6IS9.1.6认证审核报告8

9.2初次审核和认证9

9.2.1IS9.2.1审核组的能力9

9.2.2IS9.2.2初次审核的一般准备10

9.2.3IS9.2.3初次认证审核10

9.2.4IS9.2.4授予初次认证的信息12

9.2.5IS9.2.5认证决定12

9.3监督活动12

9.3.1IS9.3监督审核12

9.4再认证13

9.4.1IS再认证审核13

9.5特殊审核13

9.5.1IS9.5特殊情况13

9.6暂停、取消或缩小认证范围13

9.7申诉13

9.8投诉13

9.8.1IS9.8投诉13

9.9申请者和客户记录14

10认证机构的管理体系要求14

10.1选项14

10.2方式一：按照GB/T19001-2008的管理体系要求14

10.3方式二：通用的管理体系要求14

10.3.1IS10.3ISMS实施14

附录A（资料性附录）客户组织复杂性和行业特定方面的分析15

附录B（资料性附录）审核员能力的示例18

附录C（资料性附录）审核时间20

附录D（资料性附录）对已实施的GB/T22080-2008附录A的控制措施的评审指

南25

三、主要试验（或验证）的分析、综述报告，技术经济论证，预期的经济效果

本标准为信息安全管理体系认证机构对组织的ISMS实施审核和认证规定了要

求并提供了指南，以作为对GB/T27021和GB/T22080中相关要求的补充。

之前，我国已经依据GB/T25067-2010《信息技术安全技术信息安全管理体系

认证审核机构要求》开展了三年多的ISMS认证审核机构的认可，各相关方对GB/T

25067-2010中的术语、概念和要求已经达成了一定程度的共识，转化新版ISO/IEC

27006:2011时面临的主要问题是既要修订旧版中某些术语和概念中不准确的部分，

又要做到旧版和新版的良好衔接。

本标准不产生直接的经济效益，从国家主管部门对开展信息安全管理体系认证

的管理工作来看，本标准为提供ISMS认证的认证机构的认可提供支持。

四、采用国际标准和国外先进标准的程度，以及与国际、国外同类标准水平的对比

情况，或与测试的国外样品、样机的有关数据对比情况

本标准等同采用国际标准ISO/IEC27006:2011。

五、与有关的现行法律、法规和强制性国家标准的关系

本标准符合现有法律法规。

本标准与现有国家标准GB/T22080:2008《信息技术安全技术信息安全管理

体系要求》、GB/T22081:2008《信息技术安全技术信息安全管理实用规则》都属

于信息安全管理体系标准族标准。GB/T22080:2008提供了建立信息安全管理体系

的模型及每个过程的具体活动，可供用户建立和实施满足自身业务需求和安全需要

的信息安全管理体系。GB/T22081:2008提供了一套通用的安全控制目标和最佳实

践控制措施，可指导用户选择和实施控制措施以实现信息安全。本标准为依据GB/T

22080:2008实施ISMS认证审核的机构规定了要求并提供了指南。

另外本标准与GB/T27021《合格评定管理体系审核认证机构的要求》都属于认

可标准。GB/T27021规定了管理体系认证机构的要求，贯彻这些要求旨在确保认证

机构以有能力、一致和公正的方式实施管理体系认证。本标准在GB/T27021标准要

求的基础了，补充了ISMS认证机构的要求。

六、重大分歧意见的处理经过和依据

在标准修订工作进行中未出现重大分歧意见,具体内容见标准报批稿意见汇总

处理表。