国家标准《信息技术-安全技术-信息安全管理体系审核和认证机构的要求》（征求意见稿）编制说明

工作简况任务来源：当前，越来越多的组织及其信息系统和网络面临着包括计算机诈骗、间谍、蓄意破坏、火灾、水灾等大范围的安全威胁，诸如计算机病毒、计算机入侵、DoS攻击等手段造成的信息灾难已变得更加普遍,有计划而不易被察觉。组织对信息系统和信息服务的依赖意味着更易受到安全威胁的破坏，公共和私人网络的互连及信息资源的共享增大了实现访问控制的难度。但仅仅通过使用信息安全技术手段不能杜绝所有的重大安全风险，科学的安全管理手段也越来越重要。信息安全管理体系标准ISO/IEC27001标准发布后，很多组织参照信息安全管理模型，按照ISO/IEC27001标准建立组织完整的信息安全管理体系并实施与保持，达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式，用最低的成本，使信息风险的发生概率和结果降低到可接受水平，并采取措施保证业务不会因风险的发生而中断。同时通过第三方认证机构的认证审核，持续改进信息安全管理水平。但实施信息安全管理体系认证审核的机构众多，如何保证各机构能一致有效的实施信息安全管理体系的认证审核，提升第三方认证机构的公信力，是一个重要的问题。新的修订版ISO/IEC27006:2011无论是从标准内容框架还是编写思路上，都更能体现这些变化与需求。因此，及早与国际标准发展保持一致，开展标准的修订工作是十分迫切和必要的。本项目将修订现有国家标准GB/T25067-2010《信息技术安全技术信息安全管理体系认证审核机构要求》，引入新版国际标准ISO/IEC27006:2011的新思路和内容框架，使我国具有信息安全管理体系建设、管理和认证需求的组织机构，更加科学、全面地改善自身的信息安全管理水平，同时为保证ISMS认证审核机构的能力提供技术依据。工业和信息化部电子工业标准化研究院，负责该项目的计划与组织管理，形成标准草案；组织对标准草案的意见征求，研究意见和完成对标准文本草案的修改,形成征求意见稿；组织对征求意见稿进行意见汇总，修改和完成标准送审稿；针对送审稿的审查意见，组织进一步修改完善，形成标准报批稿；牵头组织宣贯教材的编写等。主要工作过程：1.2013.10-2013.12成立工作组，完成标准的草稿，第一次会议，分配工作任务。2.2014.1-2014.2标准编制组内部对标准初稿进行集中校对，并以多种形式征求专家和相关单位意见，形成标准草案。编写标准草案编制说明、意见处理汇总表。3.2014.3--2014.6.30标准草案提交工作组，进行专家审查，并在工作组成员单位范围内进行标准草案投票；编制组根据反馈意见修改标准文本，形成标准征求意见稿；完善编制说明及意见处理汇总表。编制原则和主要内容2.1编制原则本标准编制过程中遵循了以下原则：等同采用国际标准ISO/IEC27006:2011。目前信息安全管理体系（ISMS）标准在国内不同领域和行业得到了广泛的应用和推广，ISMS认证在国内发展也越来越快，因此，如何规范ISMS认证审核机构的管理，成为ISMS认证认可及认证审核工作需要考虑的重点。而本标准提供了这样的要求，对于认可机构以一致的方式对信息安全管理体系认证机构实施评审和认可具有非常实用的指导意义。因此编制组经讨论，决定等同采用国际标准ISO/IEC27006:2011《信息技术安全技术信息安全管理体系审核认证机构的要求》。准确理解国际标准内容。本标准是对国际标准ISO/IEC27006:2011的等同转化，因此，本标准翻译过程中，坚持以准确理解国际标准原文及含义为准绳，同时采用中文语言习惯进行表述，使文本语言的描述尽可能顺利、通畅。遵从已有的术语和定义。由于本标准与已有ISMS国家标准有密切相关性，因此，本标准在术语和定义的使用上，采用了如下原则：已有信息安全术语定义的，遵从其定义；在其他ISMS标准中已经定义过的术语，遵从其定义。2.2主要内容本标准对信息安全管理体系（以下简称“ISMS”）审核和认证的机构规定了要求并提供了指南，以作为对ISO/IEC17021和ISO/IEC27001中相关要求的补充。本标准的主要目的是为实施ISMS认证的认证机构的认可提供支持（本标准的主要目的是为ISMS认证机构的认可提供支持）。任何提供ISMS认证的机构需要在能力和可靠性方面证实其满足本标准的要求。本标准的指南为这些要求提供了进一步的解释。本标准主要框架如下：前言 III引言 IV1范围 12规范性引用文件 13术语和定义 14原则 25通用要求 25.1法律和合同事宜 25.2公正性的管理 25.2.1IS5.2利益冲突 25.3责任与财力 26结构要求 26.1组织结构和最高管理层 26.2维护公正性的委员会 27资源要求 37.1管理层和人员的能力 37.1.1IS7.1.1通用考虑 37.2参与认证活动的人员 37.2.1IS7.2认证机构人员的能力 37.3独立的外部审核员和外部专家的使用 57.3.1IS7.3使用外部审核员或外部技术专家作为审核组的一部分 57.4人员记录 57.5外包 58信息要求 58.1可公开获取的信息 58.1.1IS8.1授予、保持、扩大、缩小、暂停和撤销认证的程序 58.2认证文件 58.3获证客户名录 68.4认证的引用和标志的使用 68.4.1IS8.4认证标志的控制 68.5保密性 68.5.1IS8.5组织记录的访问 68.6认证机构与其客户间的信息交换 69过程要求 69.1通用要求 69.1.1IS9.1.1通用ISMS审核要求 69.1.2IS9.1.2认证范围 79.1.3IS9.1.3审核时间 79.1.4IS9.1.4多场所 79.1.5IS9.1.5审核方法 89.1.6IS9.1.6认证审核报告 89.2初次审核和认证 99.2.1IS9.2.1审核组的能力 99.2.2IS9.2.2初次审核的一般准备 109.2.3IS9.2.3初次认证审核 109.2.4IS9.2.4授予初次认证的信息 129.2.5IS9.2.5认证决定 129.3监督活动 129.3.1IS9.3监督审核 129.4再认证 139.4.1IS再认证审核 139.5特殊审核 139.5.1IS9.5特殊情况 139.6暂停、取消或缩小认证范围 139.7申诉 139.8投诉 139.8.1IS9.8投诉 139.9申请者和客户记录 1410认证机构的管理体系要求 1410.1选项 1410.2方式一：按照GB/T19001-2008的管理体系要求 1410.3方式二：通用的管理体系要求 1410.3.1IS10.3ISMS实施 14附录A（资料性附录）客户组织复杂性和行业特定方面的分析 15附录B（资料性附录）审核员能力的示例 18附录C（资料性附录）审核时间 20附录D（资料性附录）对已实施的GB/T22080-2008附录A的控制措施的评审指南25 主要试验（或验证）的分析、综述报告，技术经济论证，预期的经济效果本标准为信息安全管理体系认证机构对组织的ISMS实施审核和认证规定了要求并提供了指南，以作为对GB/T27021和GB/T22080中相关要求的补充。之前，我国已经依据GB/T25067-2010《信息技术安全技术信息安全管理体系认证审核机构要求》开展了三年多的ISMS认证审核机构的认可，各相关方对GB/T25067-2010中的术语、概念和要求已经达成了一定程度的共识，转化新版ISO/IEC27006:2011时面临的主要问题是既要修订旧版中某些术语和概念中不准确的部分，又要做到旧版和新版的良好衔接。本标准不产生直接的经济效益，从国家主管部门对开展信息安全管理体系认证的管理工作来看，本标准为提供ISMS认证的认证机构的认可提供支持。采用国际标准和国外先进标准的程度，以及与国际、国外同类标准水平的对比情况，或与测试的国外样品、样机的有关数据对比情况本标准等同采用国际标准ISO/IEC27006:2011。与有关的现行法律、法规和强制性国家标准的关系本标准符合现有法律法规。本标准与现有国家标准GB/T22080:2008《信息技术安全技术信息安全管理体系要求》、GB/T22081:2008《信息技术安全技术信息安全管理实用规则》都属于信息安全管理体系标准族标准。GB/T22080:2008提供了建立信息安全管理体系的模型及每个过程的具体活动，可供用户建立和实施满足自身业务需求和安全需要的信息安全管理体系。GB/T22081:2008提供了一套通用的安全控制目标和最佳实践控制措施，可指导用户选择和实施控制措施以实现信息安全。本标准为依据GB/T22080:2008实施ISMS认证审核的机构规定了要求并提供了指南。另外本标准与GB/T27021《合格评定管理体系审核认证机构的要求》都属于认可标准。GB/T27021规定了管理体系认证机构的要求，贯彻这些要求旨在确保认证机构以有能力、一致和公正的方式实施管理体系认证。本标准在GB/T27021标准要求的基础了，补充了ISMS认证机构的要求。重大分歧意见的处理经过和依据在标准修订工作进行中未出现重大分歧意见,具体内容见标准报批稿意见汇总处理表。国家标准作为强制性国家标准或推荐性国家标准的建议建议本标准作为推荐性国家标准发布实施。贯彻国家标准的要求和措施建议（包括组织措施、技术措施、过渡办法等内容）本标准为信息安全管理体系认证机构对组织的信息安全管理体系实施审核和认证规定了要求并提供了指南，以作为对GB/T27021《合格评定管理体系审核认证机构的要求》和GB/T22080《信息技术安全技术信息安全管理体系要求》中相关要求的补充。因此，本标准贯彻实施时，应与上述两个标准结合在一起进行。其他事项说明本标准与国家标准GB/T27021《合格评定管理体系审核认证机构的要求》都属于认可要求标准，标准内容相关性强。本标准正文遵循GB/T27021的结构，且在标准文本中大量引用GB/T270