ICS35040

L80.

中華人民共和國國家標準

GB/T25067—2010/ISO/IEC270062007

:

信息技術安全技術

信息安全管理體系審核認證機構的要求

Informationtechnology—Securitytechniques—

Requirementsforbodiesprovidingauditandcertificationof

informationsecuritymanagementsystems

(ISO/IEC27006:2007,IDT)

2010-09-02發布2011-02-01實施

中華人民共和國國家質量監督檢驗檢疫總局發布

中國國家標準化管理委員會

GB/T25067—2010/ISO/IEC270062007

:

目次

前言…………………………

Ⅲ

引言…………………………

Ⅳ

范圍………………………

11

規范性引用文件…………………………

21

術語和定義………………

31

原則………………………

42

通用要求…………………

52

法律與合同事宜………………………

5.12

公正性的管理…………………………

5.22

責任和財力……………

5.32

結構要求…………………

62

組織結構和最高管理層………………

6.12

維護公正性的委員會…………………

6.22

資源要求…………………

72

管理層和人員的能力…………………

7.12

參與認證活動的人員…………………

7.23

外部審核員和外部技術專家的使用…………………

7.34

人員記錄………………

7.44

外包……………………

7.54

信息要求…………………

84

可公開獲取的信息……………………

8.14

認證文件………………

8.25

獲證客戶組織名錄……………………

8.35

認證的引用和標志的使用……………

8.45

保密性…………………

8.55

認證機構與其客戶組織間的信息交換………………

8.65

過程要求…………………

95

通用要求………………

9.15

初次審核與認證………………………

9.28

監督活動………………

9.310

再認證…………………

9.411

特殊審核………………

9.511

暫停撤銷或縮小認證范圍…………

9.6、11

申訴……………………

9.711

投訴……………………

9.811

申請組織和客戶組織的記錄…………

9.912

認證機構的管理體系要求……………

1012

可選方式……………

10.112

Ⅰ

GB/T25067—2010/ISO/IEC270062007

:

方式一按照的管理體系要求………………

10.2:GB/T19001—200812

方式二通用的管理體系要求………………………

10.3:12

附錄資料性附錄客戶組織復雜性和行業特定方面的分析………

A()13

附錄資料性附錄審核員能力的示例………………

B()15

附錄資料性附錄審核時間…………

C()17

附錄資料性附錄對已實施的附錄的控制措施的評審指南……………

D()GB/T22080—2008A21

Ⅱ

GB/T25067—2010/ISO/IEC270062007

:

前言

本標準等同采用信息技術安全技術信息安全管理體系審核認證機構的

ISO/IEC27006:2007《

要求

》。

本標準是信息安全管理體系標準族的標準之一

。

為了便于理解并與和協調本標準針對

,GB/T27021—2007GB/T22080—2008,ISO/IEC27006:

做以下編輯性處理

2007:

針對認證機構的管理時用詞匯程序表示針對客戶組織的管理時用詞匯規

———,“”“procedure”;,“

程表示

”“procedure”;

針對認證機構的管理時用詞匯政策表示針對客戶組織的管理時用詞匯策略

———,“”“policies”;,“”

表示

“policies”;

用詞匯客戶組織表示或

———“”“client”“clientorganization”;

用詞匯審核時間表示或

———“”“audittime”“autitortime”。

本標準的附錄附錄附錄和附錄是資料性附錄

A、B、CD。

本標準由全國認證認可標準化技術委員會和全國信息安全標準化技術委員會

(SAC/TC261)

提出

(SAC/TC260)。

本標準由全國信息安全標準化技術委員會歸口

(SAC/TC260)。

本標準起草單位中國合格評定國家認可中心中國電子技術標準化研究所北京知識安全工程中

:、、

心廣東賽寶認證中心服務有限公司中國信息安全認證中心華夏認證中心有限公司北京同方信息安

、、、、

全技術股份有限公司北京北大青鳥商用信息系統有限公司中訊軟件集團股份有限公司

、、。

本標準主要起草人劉曉紅胡嘯汪修慈王新杰宋紅茹閔京華王梅王連強費楊韓碩祥

:、、、、、、、、、、

趙戰生婁天峰婁丹布寧劉宇

、、、、。

Ⅲ

GB/T25067—2010/ISO/IEC270062007

:

引言

是針對實施組織管理體系審核和認證的機構提出運作準則的國家標準它等

GB/T27021—2007,

同采用如果這類機構按照開展以信息安全管理體系

ISO/IEC17021:2006。GB/T22080—2008

審核和認證為目的的活動并打算依據獲得認可對增

(ISMS),GB/T27021—2007,GB/T27021—2007

加一些要求和指南是必要的本標準提供了這樣的內容

。。

本標準正文遵循的結構針對審核和認證所增加的特定要求和指南用

GB/T27021—2007,ISMS,

加以標識

“IS”。

貫穿本標準全文使用應這一術語以表示本標準中與和

,“”(shall),GB/T27021—2007GB/T22080—

的要求相對應的條款是要求性的認證機構必須遵循使用宜這一術語以表示盡管本

2008,;“”(should),

標準中與和的要求相對應的條款是指南性的構成了對這些

GB/T27021—2007GB/T22080—2008,

標準中要求的應用指南但仍然期望認證機構采納

,。

本標準的目的之一是使得那些認可機構能夠更加協調一致地應用評審認證機構所依據的標準認

。

證機構在貫徹本標準的指南性條款時所形成的任何不同可視為一個例外針對這種不同只有當認證

,。,

機構向認可機構證實那些例外以等效的方式滿足和的相關條

GB/T27021—2007GB/T22080—2008

款要求以及本標準的意圖時并僅在具體問題具體分析的基礎上才被允許

,。

Ⅳ

GB/T25067—2010/ISO/IEC270062007

:

信息技術安全技術

信息安全管理體系審核認證機構的要求

1范圍

本標準對實施信息安全管理體系以下簡稱審核和認證的機構提出要求并提供指南以作

(“ISMS”),

為對和要求的補充制定本標準的主要意圖是對實施

GB/T27021—2007GB/T22080—2008。ISMS

認證的認證機構的認可提供支持

。

任何提供認證的機構需要在能力和可靠性方面證實其滿足本標準的要求本標準的指南性

ISMS。

條款為這些要求提供了進一步的說明

。

注本標準可以作為認可同行評審或其他審核過程的準則性文件

:、。

2規范性引用文件

下列文件中的條款通過本標準的引用而成為本標準的條款凡是注日期的引用文件其隨后所有

。,

的修改單不包括勘誤的內容或修訂版均不適用于本標準然而鼓勵根據本標準達成協議的各方研究

(),,

是否可使用這些文件的最新版本凡是不注日期的引用文件其最新版本適用于本標準

。,。

質量和或環境管理體系審核指南

GB/T19011()(GB/T19011—2003,ISO/IEC19011:2002,

IDT)

信息技術安全技術信息安全管理體系要求

GB/T22080—2008(ISO/IEC27001:2005,

IDT)

合格評定管理體系審核認證機構的要求

GB/T27021—2007