ICS35040

L80.

中華人民共和國國家標準

GB/T25067—2020/ISO/IEC270062015

代替:

GB/T25067—2016

信息技術安全技術信息安全管理體系

審核和認證機構要求

Informationtechnology—Securitytechniques—Requirementsforbodiesproviding

auditandcertificationofinformationsecuritymanagementsystems

(ISO/IEC27006:2015,IDT)

2020-04-28發布2020-11-01實施

國家市場監督管理總局發布

國家標準化管理委員會

GB/T25067—2020/ISO/IEC270062015

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規范性引用文件

2…………………………1

術語和定義

3………………1

原則

4………………………1

通用要求

5…………………1

法律與合同事宜

5.1……………………1

公正性的管理

5.2………………………1

責任和財力

5.3…………………………2

結構要求

6…………………2

資源要求

7…………………2

人員能力

7.1……………2

參與認證活動的人員

7.2………………5

外部審核員和外部技術專家的使用

7.3………………6

人員記錄

7.4……………6

外包

7.5…………………6

信息要求

8…………………6

公開信息

8.1……………6

認證文件

8.2……………6

認證的引用和標志的使用

8.3…………6

保密

8.4…………………7

認證機構與其客戶間的信息交換

8.5…………………7

過程要求

9…………………7

認證前的活動

9.1………………………7

策劃審核

9.2……………9

初次認證

9.3……………10

實施審核

9.4……………11

認證決定

9.5……………12

保持認證

9.6……………12

申訴

9.7…………………13

投訴

9.8…………………13

客戶的記錄

9.9…………………………13

認證機構的管理體系要求

10……………14

可選方式

10.1…………………………14

Ⅰ

GB/T25067—2020/ISO/IEC270062015

:

方式通用的管理體系要求

10.2A:……………………14

方式與一致的管理體系要求

10.3B:GB/T19001…………………14

附錄資料性附錄審核與認證的知識與技能

A()ISMS………………15

附錄規范性附錄審核時間

B()…………17

附錄資料性附錄審核時間計算方法

C()………………21

附錄資料性附錄對已實現的附錄的控制的評審指南

D()GB/T22080—2016A…25

附錄資料性附錄與的條款對照關系

NA()GB/T25067—2020GB/T25067—2016……………32

參考文獻

……………………36

Ⅱ

GB/T25067—2020/ISO/IEC270062015

:

前言

本標準按照給出的規則起草

GB/T1.1—2009。

本標準代替信息技術安全技術信息安全管理體系審核和認證機構要求

GB/T25067—2016《》。

與相比主要技術變化如下

GB/T25067—2016,:

在規范性引用文件中刪除了新增了見第章

———,ISO19011,ISO/IEC27000(2);

刪除了術語證書認證機構標志和組織見年版的第章

———“”“”“”“”(20163);

基于的附錄細化了參與信息安全管理體系認證的各類人員的能力

———GB/T27021.1—2017A,

要求見

(7.1.2);

遵從的標準結構調整了第章過程要求的內容見第章年版

———GB/T27021.1—2017,9(9,2016

的第章

9);

審核時間計算由資料性附錄調整為規范性附錄見附錄并新增了審核時間計算示例見

———(B),(

附錄

C)。

本標準使用翻譯法等同采用信息技術安全技術信息安全管理體系審核

ISO/IEC27006:2015《

和認證機構要求

》。

與本標準中規范性引用的國際文件有一致性對應關系的我國文件如下

:

信息技術安全技術信息安全管理體系概述和詞匯

———GB/T29246—2017(ISO/IEC27000:

2016,IDT)

本標準做了以下編輯性修改

:

因已經廢止所以引言中管理體系的定義調整為參見

———ISO9000:2005,GB/T19000—2016;

增加了資料性附錄

———NA;

詞匯在針對認證機構運作管理時翻譯為程序見

———“procedure”,“”[7.1.2.4.1b)、9.1.3.2、9.1.5.1.2

等在針對客戶信息安全控制管理時翻譯為規程見

],“”[7.1.2.1.4a)、9.2.2.2a)、9.3.1.2.1a)

等兩者意思并無差異

],;

由于附錄只在中被引用根據國家標準起草規定將的注調整為標準條文

———A7.1.1,,7.1.1;

對表中控制網絡中的隔離的審核的評審指南更正了網段和網絡隔離的

———D.1“A.13.1.3”“”,

示例

。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位中國合格評定國家認可中心中國電子技術標準化研究院中國網絡安全審查技

:、、

術與認證中心廣州賽寶認證中心服務有限公司華夏認證中心有限公司國家認證認可監督管理委員

、、、

會山東省標準化研究院

、。

本標準主要起草人付志高張強黃俊梅魏軍田剛夏芳張志國尤其方潔王曙光劉鑫

:、、、、、、、、、、。

本標準所代替標準的歷次版本發布情況為

:

———GB/T25067—2010、GB/T25067—2016。

Ⅲ

GB/T25067—2020/ISO/IEC270062015

:

引言

為機構對組織的管理體系實施審核和認證建立了準則如果這類機構按照

GB/T27021.1—2017。

開展以信息安全管理體系以下簡稱審核和認證為目的活動并準備依據

GB/T22080—2016(“ISMS”),

獲得認可對補充一些要求和指南是必要的本標準提供

GB/T27021.1—2017,GB/T27021.1—2017。

了這樣的內容

。

本標準正文遵循的結構針對審核和認證所增加的特定要求和指南

GB/T27021.1—2017,ISMS,

用字母加以標識

“IS”。

本標準的主要目的是使得認可機構在應用其評審認證機構所依據的標準時能更有效地協調一致

。

本標準中術語管理體系和體系可以互換使用管理體系的定義見請不

“”“”。GB/T19000—2016。

要將本標準中使用的管理體系與其他類型的系統混淆例如信息技術以下簡稱系統

,,(“IT”)。

Ⅳ

GB/T25067—2020/ISO/IEC270062015

:

信息技術安全技術信息安全管理體系

審核和認證機構要求

1范圍

本標準在和的基礎上對實施審核和認證的機構

GB/T27021.1—2017GB/T22080—2016,ISMS

規定了要求并提供了指南本標準的主要目的是為認證機構的認可提供支持

。ISMS。

任何提供認證的機構需要在能力和可靠性方面證實其滿足本標準中的要求本標準中的

ISMS,。

指南提供了對這些要求的進一步解釋

。

注本標準可以作為認可同行評審或其他審核過程的準則性文件

:、。

2規范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技