路径: 主页 > GB/T > 第210页 > GB/T 25067-2010 | 标准编号 | GB/T 25067-2010 (GB/T25067-2010) | | 中文名称 | 信息技术 安全技术 信息安全管理体系审核认证机构的要求 | | 英文名称 | Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systems | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.040 | | 字数估计 | 33,316 | | 发布日期 | 2010-09-02 | | 实施日期 | 2011-02-01 | | 引用标准 | GB/T 19011; GB/T 22080-2008; GB/T 27021-2007 | | 采用标准 | ISO/IEC 27006-2007, IDT | | 标准依据 | 国家标准批准发布公告2010年第4号(总第159号);国家标准公告2016年第17号 | | 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 | | 范围 | 本标准对实施信息安全管理体系(以下简称"ISMS”)审核和认证的机构提出要求并提供指南, 以作为对GB/T 27021-2007和GB/T 22080-Z008要求的补充。制定本标准的主要意图是对实施ISMS认证的认证机构的认可提供支持。任何提供ISMS认证的机构需要在能力和可靠性方面证实其满足本标准的要求。条款为这些要求提供了进一步的说明。注:本标准可以作为认可、同行评审或其他审校过程的准则性文件。 | GB/T 25067-2010
ICS 35.040
L80
中华人民共和国国家标准
信息技术 安全技术
信息安全管理体系审核认证机构的要求
(ISO/IEC 27006:2007,IDT)
2010-09-02发布
2011-02-01实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 原则 2
5 通用要求 2
5.1 法律与合同事宜 2
5.2 公正性的管理 2
5.3 责任和财力 2
6 结构要求 2
6.1 组织结构和最高管理层 2
6.2 维护公正性的委员会 2
7 资源要求 2
7.1 管理层和人员的能力 2
7.2 参与认证活动的人员 3
7.3 外部审核员和外部技术专家的使用 4
7.4 人员记录 4
7.5 外包 4
8 信息要求 4
8.1 可公开获取的信息 4
8.2 认证文件 5
8.3 获证客户组织名录 5
8.4 认证的引用和标志的使用 5
8.5 保密性 5
8.6 认证机构与其客户组织间的信息交换 5
9 过程要求 5
9.1 通用要求 5
9.2 初次审核与认证 8
9.3 监督活动 10
9.4 再认证 11
9.5 特殊审核 11
9.6 暂停、撤销或缩小认证范围 11
9.7 申诉 11
9.8 投诉 11
9.9 申请组织和客户组织的记录 12
10 认证机构的管理体系要求 12
10.1 可选方式 12
10.2 方式一:按照GB/T 19001-2008的管理体系要求 12
10.3 方式二:通用的管理体系要求 12
附录A(资料性附录) 客户组织复杂性和行业特定方面的分析 13
附录B(资料性附录) 审核员能力的示例 15
附录C(资料性附录) 审核时间 17
附录D(资料性附录) 对已实施的GB/T 22080-2008附录A的控制措施的评审指南 21
前言
本标准等同采用ISO/IEC 27006:2007《信息技术 安全技术 信息安全管理体系审核认证机构的
要求》。
本标准是信息安全管理体系标准族的标准之一。
为了便于理解,并与GB/T 27021-2007和GB/T 22080-2008协调,本标准针对ISO/IEC 27006:
2007做以下编辑性处理:
---针对认证机构的管理时,用词汇“程序”表示“procedure”;针对客户组织的管理时,用词汇“规
程”表示“procedure”;
---针对认证机构的管理时,用词汇“政策”表示“policies”;针对客户组织的管理时,用词汇“策略”
表示“policies”;
---用词汇“客户组织”表示“client”或“clientorganization”;
---用词汇“审核时间”表示“audittime”或“autitortime”。
本标准的附录A、附录B、附录C和附录D是资料性附录。
本标准由全国认证认可标准化技术委员会(SAC/TC261)和全国信息安全标准化技术委员会
(SAC/TC260)提出。
本标准由全国信息安全标准化技术委员会(SAC/TC260)归口。
本标准起草单位:中国合格评定国家认可中心、中国电子技术标准化研究所、北京知识安全工程中
心、广东赛宝认证中心服务有限公司、中国信息安全认证中心、华夏认证中心有限公司、北京同方信息安
全技术股份有限公司、北京北大青鸟商用信息系统有限公司、中讯软件集团股份有限公司。
本标准主要起草人:刘晓红、胡啸、汪修慈、王新杰、宋红茹、闵京华、王梅、王连强、费杨、韩硕祥、
赵战生、娄天峰、娄丹、布宁、刘宇。
引 言
GB/T 27021-2007是针对实施组织管理体系审核和认证的机构提出运作准则的国家标准,它等
同采用ISO/IEC 17021:2006。如果这类机构按照 GB/T 22080-2008开展以信息安全管理体系
(ISMS)审核和认证为目的的活动,并打算依据GB/T 27021-2007获得认可,对GB/T 27021-2007增
加一些要求和指南是必要的。本标准提供了这样的内容。
本标准正文遵循GB/T 27021-2007的结构,针对ISMS审核和认证所增加的特定要求和指南,用
“IS”加以标识。
贯穿本标准全文,使用 “应”(shal)这一术语,以表示本标准中与GB/T 27021-2007和GB/T 22080-
2008的要求相对应的条款是要求性的,认证机构必须遵循;使用“宜”(should)这一术语,以表示尽管本
标准中与GB/T 27021-2007和GB/T 22080-2008的要求相对应的条款是指南性的,构成了对这些
标准中要求的应用指南,但仍然期望认证机构采纳。
本标准的目的之一是使得那些认可机构能够更加协调一致地应用评审认证机构所依据的标准。认
证机构在贯彻本标准的指南性条款时所形成的任何不同,可视为一个例外。针对这种不同,只有当认证
机构向认可机构证实那些例外以等效的方式满足GB/T 27021-2007和GB/T 22080-2008的相关条
款要求以及本标准的意图时,并仅在具体问题具体分析的基础上才被允许。
信息技术 安全技术
信息安全管理体系审核认证机构的要求
1 范围
本标准对实施信息安全管理体系(以下简称“ISMS”)审核和认证的机构提出要求并提供指南,以作
为对GB/T 27021-2007和GB/T 22080-2008要求的补充。制定本标准的主要意图是对实施ISMS
认证的认证机构的认可提供支持。
任何提供ISMS认证的机构需要在能力和可靠性方面证实其满足本标准的要求。本标准的指南性
条款为这些要求提供了进一步的说明。
注:本标准可以作为认可、同行评审或其他审核过程的准则性文件。
2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有
的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究
是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T 19011 质量和(或)环境管理体系审核指南(GB/T 19011-2003,ISO/IEC 19011:2002,
IDT)
GB/T 22080-2008 信息技术 安全技术 信息安全管理体系 要求(ISO/IEC 27001:2005,
IDT)
GB/T 27021-2007 合格评定 管理体系审核认证机构的要求(ISO/IEC 17021:2006,IDT)
3 术语和定义
GB/T 27021-2007和GB/T 22080-2008中确立的以及下列术语和定义适用于本标准。
3.1
认证证书 certificate
由认证机构依照认可条件颁发的,并带有认可标识或声明的一种文件。
3.2
认证机构 certificationbody
按照正式发布的ISMS标准及ISMS所要求的任何补充性文件,对客户组织的ISMS进行评定和认
证的第三方机构。
3.3
表明客户组织的ISMS符合指定的ISMS标准及ISMS所要求的任何补充性文件的一类文件。
3.4
标......
|