GB/T 25067-2016信息技術(shù)安全技術(shù)信息安全管理體系審核和認證機構(gòu)要求

ICS35040

L80.

中華人民共和國國家標準

GB/T25067—2016/ISO/IEC270062011

代替:

GB/T25067—2010

信息技術(shù)安全技術(shù)信息安全管理體系

審核和認證機構(gòu)要求

Informationtechnology—Securitytechniques—Requirementsforbodiesproviding

auditandcertificationofinformationsecuritymanagementsystems

(ISO/IEC27006:2011,IDT)

2016-10-13發(fā)布2017-05-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T25067—2016/ISO/IEC270062011

:

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

原則

4………………………2

通用要求

5…………………2

結(jié)構(gòu)要求

6…………………2

資源要求

7…………………3

信息要求

8…………………5

過程要求

9…………………6

認證機構(gòu)的管理體系要求

10……………13

附錄資料性附錄客戶組織復(fù)雜性和行業(yè)特定方面的分析

A()………14

附錄資料性附錄審核員能力的示例

B()………………17

附錄資料性附錄審核時間

C()…………19

附錄資料性附錄對已實現(xiàn)的附錄的控制的評審指南

D()GB/T22080—2008A…24

附錄資料性附錄與的主要技術(shù)差異

NA()GB/T25067—2016GB/T25067—2010……………32

參考文獻

……………………34

GB/T25067—2016/ISO/IEC270062011

:

前言

本標準按照和給出的規(guī)則起草

GB/T1.1—2009GB/T20000.2—2009。

本標準代替信息技術(shù)安全技術(shù)信息安全管理體系審核認證機構(gòu)的要

GB/T25067—2010《

求

》。

本標準與相比主要技術(shù)變化如下

GB/T25067—2010,:

新增能力準則的確定

———IS7.1.2;

監(jiān)督方案明確為三年內(nèi)的周期見

———[9.1.4.2e)];

多處宜的描述在本標準中改為應(yīng)見附錄

———GB/T25067—2010“”“”(NA)。

本標準使用翻譯法等同采用信息技術(shù)安全技術(shù)信息安全管理體系審核

ISO/IEC27006:2011《

和認證機構(gòu)要求

》。

與本標準中規(guī)范性引用的國際文件有一致性對應(yīng)關(guān)系的我國文件如下

:

管理體系審核指南

———GB/T19011—2013(ISO19011:2011,IDT)

本標準做了下列編輯性修改

:

糾正了原文注日期引用文件不一致的問題

———;

增加了資料性附錄

———NA。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔識別這些專利的責任

。。

本標準由全國信息安全標準化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標準起草單位中國電子技術(shù)標準化研究院中國合格評定國家認可中心廣州賽寶認證中心服

:、、

務(wù)有限公司上海質(zhì)量審核中心中國質(zhì)量認證中心中國信息安全認證中心中國船級社質(zhì)量認證公

、、、、

司華夏認證中心有限公司黑龍江電子信息產(chǎn)品監(jiān)督檢驗院

、、。

本標準主要起草人黃俊梅韓碩祥劉宇倪文靜蔡北方費楊付志高劉健趙國祥田剛王軍

:、、、、、、、、、、、

尹冰劉鋼楊勇劉佳魏軍尤其程瑜琦朱博周召夏芳劉建毅王希忠馬遙黃俊強

、、、、、、、、、、、、、。

本標準所代替標準的歷次版本發(fā)布情況為

:

———GB/T25067—2010。

Ⅰ

GB/T25067—2016/ISO/IEC270062011

:

引言

為機構(gòu)對組織的管理體系實施審核和認證建立了準則如果這類機構(gòu)按照

ISO/IEC17021。

信息技術(shù)安全技術(shù)信息安全管理體系要求開展以信息安全管理體系

GB/T22080—2008《》

審核和認證為目的的活動并準備依據(jù)獲得認可對補充一些

(ISMS),ISO/IEC17021,ISO/IEC17021

要求和指南是必要的本標準提供了這樣的內(nèi)容

。。

本標準正文遵循的結(jié)構(gòu)針對認證所增加的特定要求和指南以字母進

ISO/IEC17021,ISMS,“IS”

行識別

。

貫穿本標準全文使用應(yīng)這一術(shù)語以表示本標準中與和的

,“”,ISO/IEC17021GB/T22080—2008

要求相對應(yīng)的條款是要求性的使用宜這一術(shù)語表示建議

;“”。

本標準的目的之一是使得認可機構(gòu)能更有效地協(xié)調(diào)一致地應(yīng)用本標準依據(jù)此標準評審認證

、,

機構(gòu)

。

注本標準中管理體系和體系可以互換使用管理體系的定義見本標準中使用的管理

:“”“”。GB/T19000—2008。

體系請勿與其他類型的系統(tǒng)混淆例如信息技術(shù)系統(tǒng)系統(tǒng)

,,(IT)。

Ⅱ

GB/T25067—2016/ISO/IEC270062011

:

信息技術(shù)安全技術(shù)信息安全管理體系

審核和認證機構(gòu)要求

1范圍

本標準對信息安全管理體系以下簡稱審核和認證的機構(gòu)規(guī)定了要求并提供了指南以作

(ISMS),

為對和中相關(guān)要求的補充本標準的主要目的是為提供

ISO/IEC17021:2011GB/T22080—2008。

認證的認證機構(gòu)的認可提供支持

ISMS。

任何提供認證的機構(gòu)需要在能力和可靠性方面證實其滿足本標準的要求本標準的指南為

ISMS。

這些要求提供了進一步的解釋

。

注本標準可以作為認可同行評審或其他審核過程的準則性文件

:、。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術(shù)安全技術(shù)信息安全管理體系要求

GB/T22080—2008(ISO/IEC27001:2005,IDT)

合格評定管理體系審核認證機構(gòu)的要求

ISO/IEC17021:2011(Conformityassessment—Re-

quirementsforbodiesprovidingauditandcertificationofmanagementsystems)

管理體系審核指南

ISO19011(Guidelinesforauditingmanagementsystems)

3術(shù)語和定義

和界定的以及下列術(shù)語和定義適用于本文件

GB/T22080—2008ISO/IEC17021:2011