GB/T 25067-2010信息技術(shù)安全技術(shù)信息安全管理體系審核認(rèn)證機(jī)構(gòu)的要求

ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T25067—2010/ISO/IEC270062007

:

信息技術(shù)安全技術(shù)

信息安全管理體系審核認(rèn)證機(jī)構(gòu)的要求

Informationtechnology—Securitytechniques—

Requirementsforbodiesprovidingauditandcertificationof

informationsecuritymanagementsystems

(ISO/IEC27006:2007,IDT)

2010-09-02發(fā)布2011-02-01實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T25067—2010/ISO/IEC270062007

:

目次

前言…………………………

Ⅲ

引言…………………………

Ⅳ

范圍………………………

11

規(guī)范性引用文件…………………………

21

術(shù)語(yǔ)和定義………………

31

原則………………………

42

通用要求…………………

52

法律與合同事宜………………………

5.12

公正性的管理…………………………

5.22

責(zé)任和財(cái)力……………

5.32

結(jié)構(gòu)要求…………………

62

組織結(jié)構(gòu)和最高管理層………………

6.12

維護(hù)公正性的委員會(huì)…………………

6.22

資源要求…………………

72

管理層和人員的能力…………………

7.12

參與認(rèn)證活動(dòng)的人員…………………

7.23

外部審核員和外部技術(shù)專家的使用…………………

7.34

人員記錄………………

7.44

外包……………………

7.54

信息要求…………………

84

可公開(kāi)獲取的信息……………………

8.14

認(rèn)證文件………………

8.25

獲證客戶組織名錄……………………

8.35

認(rèn)證的引用和標(biāo)志的使用……………

8.45

保密性…………………

8.55

認(rèn)證機(jī)構(gòu)與其客戶組織間的信息交換………………

8.65

過(guò)程要求…………………

95

通用要求………………

9.15

初次審核與認(rèn)證………………………

9.28

監(jiān)督活動(dòng)………………

9.310

再認(rèn)證…………………

9.411

特殊審核………………

9.511

暫停撤銷或縮小認(rèn)證范圍…………

9.6、11

申訴……………………

9.711

投訴……………………

9.811

申請(qǐng)組織和客戶組織的記錄…………

9.912

認(rèn)證機(jī)構(gòu)的管理體系要求……………

1012

可選方式……………

10.112

Ⅰ

GB/T25067—2010/ISO/IEC270062007

:

方式一按照的管理體系要求………………

10.2:GB/T19001—200812

方式二通用的管理體系要求………………………

10.3:12

附錄資料性附錄客戶組織復(fù)雜性和行業(yè)特定方面的分析………

A()13

附錄資料性附錄審核員能力的示例………………

B()15

附錄資料性附錄審核時(shí)間…………

C()17

附錄資料性附錄對(duì)已實(shí)施的附錄的控制措施的評(píng)審指南……………

D()GB/T22080—2008A21

Ⅱ

GB/T25067—2010/ISO/IEC270062007

:

前言

本標(biāo)準(zhǔn)等同采用信息技術(shù)安全技術(shù)信息安全管理體系審核認(rèn)證機(jī)構(gòu)的

ISO/IEC27006:2007《

要求

》。

本標(biāo)準(zhǔn)是信息安全管理體系標(biāo)準(zhǔn)族的標(biāo)準(zhǔn)之一

。

為了便于理解并與和協(xié)調(diào)本標(biāo)準(zhǔn)針對(duì)

,GB/T27021—2007GB/T22080—2008,ISO/IEC27006:

做以下編輯性處理

2007:

針對(duì)認(rèn)證機(jī)構(gòu)的管理時(shí)用詞匯程序表示針對(duì)客戶組織的管理時(shí)用詞匯規(guī)

———,“”“procedure”;,“

程表示

”“procedure”;

針對(duì)認(rèn)證機(jī)構(gòu)的管理時(shí)用詞匯政策表示針對(duì)客戶組織的管理時(shí)用詞匯策略

———,“”“policies”;,“”

表示

“policies”;

用詞匯客戶組織表示或

———“”“client”“clientorganization”;

用詞匯審核時(shí)間表示或

———“”“audittime”“autitortime”。

本標(biāo)準(zhǔn)的附錄附錄附錄和附錄是資料性附錄

A、B、CD。

本標(biāo)準(zhǔn)由全國(guó)認(rèn)證認(rèn)可標(biāo)準(zhǔn)化技術(shù)委員會(huì)和全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)

(SAC/TC261)

提出

(SAC/TC260)。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位中國(guó)合格評(píng)定國(guó)家認(rèn)可中心中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究所北京知識(shí)安全工程中

:、、

心廣東賽寶認(rèn)證中心服務(wù)有限公司中國(guó)信息安全認(rèn)證中心華夏認(rèn)證中心有限公司北京同方信息安

、、、、

全技術(shù)股份有限公司北京北大青鳥(niǎo)商用信息系統(tǒng)有限公司中訊軟件集團(tuán)股份有限公司

、、。

本標(biāo)準(zhǔn)主要起草人劉曉紅胡嘯汪修慈王新杰宋紅茹閔京華王梅王連強(qiáng)費(fèi)楊韓碩祥

:、、、、、、、、、、

趙戰(zhàn)生婁天峰婁丹布寧劉宇

、、、、。

Ⅲ

GB/T25067—2010/ISO/IEC270062007

:

引言

是針對(duì)實(shí)施組織管理體系審核和認(rèn)證的機(jī)構(gòu)提出運(yùn)作準(zhǔn)則的國(guó)家標(biāo)準(zhǔn)它等

GB/T27021—2007,

同采用如果這類機(jī)構(gòu)按照開(kāi)展以信息安全管理體系

ISO/IEC17021:2006。GB/T22080—2008

審核和認(rèn)證為目的的活動(dòng)并打算依據(jù)獲得認(rèn)可對(duì)增

(ISMS),GB/T27021—2007,GB/T27021—2007

加一些要求和指南是必要的本標(biāo)準(zhǔn)提供了這樣的內(nèi)容

。。

本標(biāo)準(zhǔn)正文遵循的結(jié)構(gòu)針對(duì)審核和認(rèn)證所增加的特定要求和指南用

GB/T27021—2007,ISMS,

加以標(biāo)識(shí)

“IS”。

貫穿本標(biāo)準(zhǔn)全文使用應(yīng)這一術(shù)語(yǔ)以表示本標(biāo)準(zhǔn)中與和

,“”(shall),GB/T27021—2007GB/T22080—

的要求相對(duì)應(yīng)的條款是要求性的認(rèn)證機(jī)構(gòu)必須遵循使用宜這一術(shù)語(yǔ)以表示盡管本

2008,;“”(should),

標(biāo)準(zhǔn)中與和的要求相對(duì)應(yīng)的條款是指南性的構(gòu)成了對(duì)這些

GB/T27021—2007GB/T22080—2008,

標(biāo)準(zhǔn)中要求的應(yīng)用指南但仍然期望認(rèn)證機(jī)構(gòu)采納

,。

本標(biāo)準(zhǔn)的目的之一是使得那些認(rèn)可機(jī)構(gòu)能夠更加協(xié)調(diào)一致地應(yīng)用評(píng)審認(rèn)證機(jī)構(gòu)所依據(jù)的標(biāo)準(zhǔn)認(rèn)

。

證機(jī)構(gòu)在貫徹本標(biāo)準(zhǔn)的指南性條款時(shí)所形成的任何不同可視為一個(gè)例外針對(duì)這種不同只有當(dāng)認(rèn)證

,。,

機(jī)構(gòu)向認(rèn)可機(jī)構(gòu)證實(shí)那些例外以等效的方式滿足和的相關(guān)條

GB/T27021—2007GB/T22080—2008

款要求以及本標(biāo)準(zhǔn)的意圖時(shí)并僅在具體問(wèn)題具體分析的基礎(chǔ)上才被允許

,。

Ⅳ

GB/T25067—2010/ISO/IEC270062007

:

信息技術(shù)安全技術(shù)

信息安全管理體系審核認(rèn)證機(jī)構(gòu)的要求

1范圍

本標(biāo)準(zhǔn)對(duì)實(shí)施信息安全管理體系以下簡(jiǎn)稱審核和認(rèn)證的機(jī)構(gòu)提出要求并提供指南以作

(“ISMS”),

為對(duì)和要求的補(bǔ)充制定本標(biāo)準(zhǔn)的主要意圖是對(duì)實(shí)施

GB/T27021—2007GB/T22080—2008。ISMS

認(rèn)證的認(rèn)證機(jī)構(gòu)的認(rèn)可提供支持

。

任何提供認(rèn)證的機(jī)構(gòu)需要在能力和可靠性方面證實(shí)其滿足本標(biāo)準(zhǔn)的要求本標(biāo)準(zhǔn)的指南性

ISMS。

條款為這些要求提供了進(jìn)一步的說(shuō)明

。

注本標(biāo)準(zhǔn)可以作為認(rèn)可同行評(píng)審或其他審核過(guò)程的準(zhǔn)則性文件

:、。

2規(guī)范性引用文件

下列文件中的條款通過(guò)本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款凡是注日期的引用文件其隨后所有

。,

的修改單不包括勘誤的內(nèi)容或修訂版均不適用于本標(biāo)準(zhǔn)然而鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究

(),,

是否可使用這些文件的最新版本凡是不注日期的引用文件其最新版本適用于本標(biāo)準(zhǔn)

。,。

質(zhì)量和或環(huán)境管理體系審核指南

GB/T19011()(GB/T19011—2003,ISO/IEC19011:2002,

IDT)

信息技術(shù)安全技術(shù)信息安全管理體系要求

GB/T22080—2008(ISO/IEC27001:2005,

IDT)

合格評(píng)定管理體系審核認(rèn)證機(jī)構(gòu)的要求

GB/T27021—2007