GB/T 25067-2016信息技術安全技術信息安全管理體系審核和認證機構要求

ICS35040

L80.

中華人民共和國國家標準

GB/T25067—2016/ISO/IEC270062011

代替:

GB/T25067—2010

信息技術安全技術信息安全管理體系

審核和認證機構要求

Informationtechnology—Securitytechniques—Requirementsforbodiesproviding

auditandcertificationofinformationsecuritymanagementsystems

(ISO/IEC27006:2011,IDT)

2016-10-13發(fā)布2017-05-01實施

中華人民共和國國家質量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T25067—2016/ISO/IEC270062011

:

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術語和定義

3………………1

原則

4………………………2

通用要求

5…………………2

結構要求

6…………………2

資源要求

7…………………3

信息要求

8…………………5

過程要求

9…………………6

認證機構的管理體系要求

10……………13

附錄資料性附錄客戶組織復雜性和行業(yè)特定方面的分析

A()………14

附錄資料性附錄審核員能力的示例

B()………………17

附錄資料性附錄審核時間

C()…………19

附錄資料性附錄對已實現(xiàn)的附錄的控制的評審指南

D()GB/T22080—2008A…24

附錄資料性附錄與的主要技術差異

NA()GB/T25067—2016GB/T25067—2010……………32

參考文獻

……………………34

GB/T25067—2016/ISO/IEC270062011

:

前言

本標準按照和給出的規(guī)則起草

GB/T1.1—2009GB/T20000.2—2009。

本標準代替信息技術安全技術信息安全管理體系審核認證機構的要

GB/T25067—2010《

求

》。

本標準與相比主要技術變化如下

GB/T25067—2010,:

新增能力準則的確定

———IS7.1.2;

監(jiān)督方案明確為三年內的周期見

———[9.1.4.2e)];

多處宜的描述在本標準中改為應見附錄

———GB/T25067—2010“”“”(NA)。

本標準使用翻譯法等同采用信息技術安全技術信息安全管理體系審核

ISO/IEC27006:2011《

和認證機構要求

》。

與本標準中規(guī)范性引用的國際文件有一致性對應關系的我國文件如下

:

管理體系審核指南

———GB/T19011—2013(ISO19011:2011,IDT)

本標準做了下列編輯性修改

:

糾正了原文注日期引用文件不一致的問題

———;

增加了資料性附錄

———NA。

請注意本文件的某些內容可能涉及專利本文件的發(fā)布機構不承擔識別這些專利的責任

。。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位中國電子技術標準化研究院中國合格評定國家認可中心廣州賽寶認證中心服

:、、

務有限公司上海質量審核中心中國質量認證中心中國信息安全認證中心中國船級社質量認證公

、、、、

司華夏認證中心有限公司黑龍江電子信息產品監(jiān)督檢驗院

、、。

本標準主要起草人黃俊梅韓碩祥劉宇倪文靜蔡北方費楊付志高劉健趙國祥田剛王軍

:、、、、、、、、、、、

尹冰劉鋼楊勇劉佳魏軍尤其程瑜琦朱博周召夏芳劉建毅王希忠馬遙黃俊強

、、、、、、、、、、、、、。

本標準所代替標準的歷次版本發(fā)布情況為

:

———GB/T25067—2010。

Ⅰ

GB/T25067—2016/ISO/IEC270062011

:

引言

為機構對組織的管理體系實施審核和認證建立了準則如果這類機構按照

ISO/IEC17021。

信息技術安全技術信息安全管理體系要求開展以信息安全管理體系

GB/T22080—2008《》

審核和認證為目的的活動并準備依據獲得認可對補充一些

(ISMS),ISO/IEC17021,ISO/IEC17021

要求和指南是必要的本標準提供了這樣的內容

。。

本標準正文遵循的結構針對認證所增加的特定要求和指南以字母進

ISO/IEC17021,ISMS,“IS”

行識別

。

貫穿本標準全文使用應這一術語以表示本標準中與和的

,“”,ISO/IEC17021GB/T22080—2008

要求相對應的條款是要求性的使用宜這一術語表示建議

;“”。

本標準的目的之一是使得認可機構能更有效地協(xié)調一致地應用本標準依據此標準評審認證

、,

機構

。

注本標準中管理體系和體系可以互換使用管理體系的定義見本標準中使用的管理

:“”“”。GB/T19000—2008。

體系請勿與其他類型的系統(tǒng)混淆例如信息技術系統(tǒng)系統(tǒng)

,,(IT)。

Ⅱ

GB/T25067—2016/ISO/IEC270062011

:

信息技術安全技術信息安全管理體系

審核和認證機構要求

1范圍

本標準對信息安全管理體系以下簡稱審核和認證的機構規(guī)定了要求并提供了指南以作

(ISMS),

為對和中相關要求的補充本標準的主要目的是為提供

ISO/IEC17021:2011GB/T22080—2008。

認證的認證機構的認可提供支持

ISMS。

任何提供認證的機構需要在能力和可靠性方面證實其滿足本標準的要求本標準的指南為

ISMS。

這些要求提供了進一步的解釋

。

注本標準可以作為認可同行評審或其他審核過程的準則性文件

:、。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術安全技術信息安全管理體系要求

GB/T22080—2008(ISO/IEC27001:2005,IDT)

合格評定管理體系審核認證機構的要求

ISO/IEC17021:2011(Conformityassessment—Re-

quirementsforbodiesprovidingauditandcertificationofmanagementsystems)

管理體系審核指南

ISO19011(Guidelinesforauditingmanagementsystems)

3術語和定義

和界定的以及下列術語和定義適用于本文件

GB/T22080—2008ISO/IEC17021:2011