GB/T 25067-2020 信息技术 安全技术 信息安全管理体系审核和认证机构要求
GB/T 25067-2020 Information technology—Security techniques—Requirements for bodies providingaudit and certification of information security management systems
基本信息
发布历史
-
2010年09月
-
2016年10月
-
2020年04月
研制信息
- 起草单位:
- 中国合格评定国家认可中心、中国电子技术标准化研究院、中国网络安全审查技术与认证中心、广州赛宝认证中心服务有限公司、华夏认证中心有限公司、国家认证认可监督管理委员会、山东省标准化研究院
- 起草人:
- 付志高、张强、黄俊梅、魏军、田刚、夏芳、张志国、尤其、方洁、王曙光、刘鑫
- 出版信息:
- 页数:41页 | 字数:76 千字 | 开本: 大16开
内容描述
GBT25067-2020信息技术安全技术信息安全管理体系审核和认证机构要求,本标准在GB/T27021.1-2017和GB/T22080-2016的基础上,对实施ISMS审核和认证的机
构规定了要求并提供了指南。本标准的主要目的是为ISMS认证机构的认可提供支持。任何提供ISMS认证的机构,需要在能力和可靠性方面证实其满足本标准中的要求。本
标准中的指南提供了对这些要求的进一步解释。注:本标准可以作为认可、同行评审或其他审核过程的准则性文件。
ICS35.040
L80
中华人民共和国国家标准
/—//:
GBT250672020ISOIEC270062015
代替/—
GBT250672016
信息技术安全技术信息安全管理体系
审核和认证机构要求
——
InformationtechnoloSecurittechniuesReuirementsforbodiesrovidin
gyyqqpg
auditandcertificationofinformationsecuritmanaementsstems
ygy
(/:,)
ISOIEC270062015IDT
2020-04-28发布2020-11-01实施
国家市场监督管理总局
发布
国家标准化管理委员会
GBT25067-2020信息技术安全技术信息安全管理体系审核和认证机构要求,本标准在GB/T27021.1-2017和GB/T22080-2016的基础上,对实施ISMS审核和认证的机
构规定了要求并提供了指南。本标准的主要目的是为ISMS认证机构的认可提供支持。任何提供ISMS认证的机构,需要在能力和可靠性方面证实其满足本标准中的要求。本
标准中的指南提供了对这些要求的进一步解释。注:本标准可以作为认可、同行评审或其他审核过程的准则性文件。
GBT25067-2020信息技术安全技术信息安全管理体系审核和认证机构要求,本标准在GB/T27021.1-2017和GB/T22080-2016的基础上,对实施ISMS审核和认证的机
构规定了要求并提供了指南。本标准的主要目的是为ISMS认证机构的认可提供支持。任何提供ISMS认证的机构,需要在能力和可靠性方面证实其满足本标准中的要求。本
标准中的指南提供了对这些要求的进一步解释。注:本标准可以作为认可、同行评审或其他审核过程的准则性文件。
GBT25067-2020信息技术安全技术信息安全管理体系审核和认证机构要求,本标准在GB/T27021.1-2017和GB/T22080-2016的基础上,对实施ISMS审核和认证的机
构规定了要求并提供了指南。本标准的主要目的是为ISMS认证机构的认可提供支持。任何提供ISMS认证的机构,需要在能力和可靠性方面证实其满足本标准中的要求。本
标准中的指南提供了对这些要求的进一步解释。注:本标准可以作为认可、同行评审或其他审核过程的准则性文件。
GBT25067-2020信息技术安全技术信息安全管理体系审核和认证机构要求,本标准在GB/T27021.1-2017和GB/T22080-2016的基础上,对实施ISMS审核和认证的机
构规定了要求并提供了指南。本标准的主要目的是为ISMS认证机构的认可提供支持。任何提供ISMS认证的机构,需要在能力和可靠性方面证实其满足本标准中的要求。本
标准中的指南提供了对这些要求的进一步解释。注:本标准可以作为认可、同行评审或其他审核过程的准则性文件。
/—//:
GBT250672020ISOIEC270062015
目次
前言…………………………Ⅲ
引言…………………………Ⅳ
1范围………………………1
2规范性引用文件…………………………1
3术语和定义………………1
4原则………………………1
5通用要求…………………1
5.1法律与合同事宜……………………1
5.2公正性的管理………………………1
5.3责任和财力…………………………2
6结构要求…………………2
7资源要求…………………2
7.1人员能力……………2
7.2参与认证活动的人员………………5
7.3外部审核员和外部技术专家的使用………………6
7.4人员记录……………6
7.5外包…………………6
8信息要求…………………6
8.1公开信息……………6
8.2认证文件……………6
8.3认证的引用和标志的使用…………6
8.4保密…………………7
8.5认证机构与其客户间的信息交换…………………7
9过程要求…………………7
9.1认证前的活动………………………7
9.2策划审核……………9
9.3初次认证……………10
9.4实施审核……………11
9.5认证决定……………12
9.6保持认证……………12
9.7申诉…………………13
9.8投诉…………………13
9.9客户的记录…………………………13
10认证机构的管理体系要求……………14
10.1可选方式…………………………14
Ⅰ
GBT25067-2020信息技术安全技术信息安全管理体系审核和认证机构要求,本标准在GB/T27021.1-2017和GB/T22080-2016的基础上,对实施ISMS审核和认证的机
构规定了要求并提供了指南。本标准的主要目的是为ISMS认证机构的认可提供支持。任何提供ISMS认证的机构,需要在能力和可靠性方面证实其满足本标准中的要求。本
标准中的指南提供了对这些要求的进一步解释。注:本标准可以作为认可、同行评审或其他审核过程的准则性文件。
GBT25067-2020信息技术安全技术信息安全管理体系审核和认证机构要求,本标准在GB/T27021.1-2017和GB/T22080-2016的基础上,对实施ISMS审核和认证的机
构规定了要求并提供了指南。本标准的主要目的是为ISMS认证机构的认可提供支持。任何提供ISMS认证的机构,需要在能力和可靠性方面证实其满足本标准中的要求。本
标准中的指南提供了对这些要求的进一步解释。注:本标准可以作为认可、同行评审或其他审核过程的准则性文件。
/—//:
GBT250672020ISOIEC270062015
:
10.2方式A通用的管理体系要求……………………14
方式:/…………………
10.3B与GBT19001一致的管理体系要求14
附录()审核与认证的知识与技能………………
A资料性附录ISMS15
附录()审核时间…………
B规范性附录17
附录()审核时间计算方法………………
C资料性附录21
附录()对已实现的/—附录的控制的评审指南…
D资料性附录GBT220802016A25
附录()/—与/—的条款对照关系……………
NA资料性附录GBT250672020GBT25067201632
参考文献……………………36
Ⅱ
GBT25067-2020信息技术安全技术信息安全管理体系审核和认证机构要求,本标准在GB/T27021.1-2017和GB/T22080-2016的基础上,对实施ISMS审核和认证的机
构规定了要求并提供了指南。本标准的主要目的是为ISMS认证机构的认可提供支持。任何提供ISMS认证的机构,需要在能力和可靠性方面证实其满足本标准中的要求。本
标准中的指南提供了对这些要求的进一步解释。注:本标准可以作为认可、同行评审或其他审核过程的准则性文件。
GBT25067-2020信息技术安全技术信息安全管理体系审核和认证机构要求,本标准在GB/T27021.1-2017和GB/T22080-2016的基础上,对实施ISMS审核和认证的机
构规定了要求并提供了指南。本标准的主要目的是为ISMS认证机构的认可提供支持。任何提供ISMS认证的机构,需要在能力和可靠性方面证实其满足本标准中的要求。本
标准中的指南提供了对这些要求的进一步解释。注:本标准可以作为认可、同行评审或其他审核过程的准则性文件。
/—//:
GBT250672020ISOIEC27006201
5
引言
/—。
GBT27021.12017为机构对组织的管理体系实施审核和认证建立了准则如果这类机构按照
/—(“”),
GBT220802016开展以信息安全管理体系以下简称ISMS审核和认证为目的活动并准备依据
/—,/—。
GBT27021.12017获得认可对GBT27021.12017补充一些要求和指南是必要的本标准提供
了这样的内容。
/—,,
本标准正文遵循GBT27021.12017的结构针对ISMS审核和认证所增加的特定要求和指南
用字母“”加以标识。
IS
本标准的主要目的是使得认可机构在应用其评审认证机构所依据的标准时能更有效地协调一致。
“”“”。/—。
本标准中术语管理体系和体系可以互换使用管理体系的定义见GBT190002016请不
,,(“”)。
要将本标准中使用的管理体系与其他类型的系统混淆例如信息技术以下简称IT系统
Ⅳ
GBT25067-2020信息技术安全技术信息安全管理体系审核和认证机构要求,本标准在GB/T27021.1-2017和GB/T22080-2016的基础上,对实施ISMS审核和认证的机
构规定了要求并提供了指南。本标准的主要目的是为ISMS认证机构的认可提供支持。任何提供ISMS认证的机构,需要在能力和可靠性方面证实其满足本标准中的要求。本
标准中的指南提供了对这些要求的进一步解释。注:本标准可以作为认可、同行评审或其他审核过程的准则性文件。
GBT25067-2020信息技术安全技术信息安全管理体系审核和认证机构要求,本标准在GB/T27021.1-2017和GB/T22080-2016的基础上,对实施ISMS审核和认证的机
构规定了要求并提供了指南。本标准的主要目的是为ISMS认证机构的认可提供支持。任何提供ISMS认证的机构,需要在能力和可靠性方面证实其满足本标准中的要求。本
标准中的指南提供了对这些要求的进一步解释。注:本标准可以作为认可、同行评审或其他审核过程的准则性文件。
/—//:
GBT250672020ISOIEC270062015
信息技术安全技术信息安全管理体系
审核和认证机构要求
1范围
/—/—,
本标准在和的基础上对实施审核和认证的机构
GBT27021.12017GBT220802016ISMS
。。
规定了要求并提供了指南本标准的主要目的是为ISMS认证机构的认可提供支持
,。
任何提供ISMS认证的机构需要在能力和可靠性方面证实其满足本标准中的要求本标准中的
指南提供了对这些要求的进一步解释。
:、。
注本标准可以作为认可同行评审或其他审核过程的准则性文件
2规范性引用文件
。,
下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文
。,()。
件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件
/—信息技术安全技术信息安全管理体系要求(/:,
GBT220802016ISOIEC270012013
IDT)
/—合格评定管理体系审核认证机构要求第部分:(/:
GBT27021.120171要求ISOIEC17021-1
,)
2015IDT
/信息技术安全技术信息安全管理体系概述和词汇(
ISOIEC27000Informationtechnolo-
———)
gySecurittechniuesInformationsecuritmanaementsstemsOverviewandvocabular
yqygyy
3术语和定义
/—和/界定的以及下列术语和定义适用于本文件。
GBT27021.12017ISOIEC27000
3.1
认证文件certificationdocument
表明客户的ISMS符合指定的ISMS标准及ISMS所要求的任何补充性文件的一类文件。
4原则
/—中第章的原则适用。
GBT27021.120174
5通用要求
5.1法律与合同事宜
/—中的要求适用。
GBT27021.120175.1
5.2公正性的管理
/—。,。
中的要求适用并且以下要求和指南适用
GBT27021.120175.2
1
GBT25067-2020信息技术安全技术信息安全管理体系审核和认证机构要求,本标准在GB/T27021.1-2017和GB/T22080-2016的基础上,对实施ISMS审核和认证的机
构规定了要求并提供了指南。本标准的主要目的是为ISMS认证机构的认可提供支持。任何提供ISMS认证的机构,需要在能力和可靠性方面证实其满足本标准中的要求。本
标准中的指南提供了对这些要求的进一步解释。注:本标准可以作为认可、同行评审或其他审核过程的准则性文件。
GBT25067-2020信息技术安全技术信息安全管理体系审核和认证机构要求,本标准在GB/T27021.1-2017和GB/T22080-2016的基础上,对实施ISMS审核和认证的机
构规定了要求并提供了指南。本标准的主要目的是为ISMS认证机构的认可提供支持。任何提供ISMS认证的机构,需要在能力和可靠性方面证实其满足本标准中的要求。本
标准中的指南提供了对这些要求的进一步解释。注:本标准可以作为认可、同行评审或其他审核过程的准则性文件。
/—//:
GBT250672020ISOIEC270062015
5.2.1IS5.2利益冲突
,:
认证机构可以从事以下工作不会被视为咨询或具有潜在的利益冲突
)。、,
a安排培训课程并参与讲授如果这些课程涉及信息安全管理有关的管理体系或审核时认证
,
机构应仅限于提供可公开获取的通用信息和建议即认证机构不应针对具体公司提供那些违
反下面)。
b要求的建议
),()。
b根据请求提供或发布认证机构对认证审核标准要求的解释性信息见9.1.3.6
),,
c审核前活动仅以确定认证审核是否就绪为目的但是这些活动不应导致提供违反本条款的建
。,
议和意见认证机构应能够证实这些活动不违反本条款的要求且没有把这些活动作为减少
最终认证审核时间的理由。
),。
d按照认可范围之外的标准或法规实施第二方审核或第三方审核
),,,
e在认证审核和监督审核过程中的增值活动例如在审核过程中当改进机会明显时识别改进
机会但不推荐具体的解决方案。
。,
认证机构不应为客户寻求认证的ISMS提供内部信息安全评审此外认证机构应独立于提供
()。
ISMS内部审核的机构包括任何个人
5.3责任和财力
/—中的要求适用。
GBT27021.120175.3
6结构要求
/—中第章的要求适用。
GBT27021.120176
7资源要求
7.1人员能力
/—。,。
中的要求适用并且以下要求和指南适用
GBT27021.120177.1
7.1.1IS7.1.1总体考虑
7.1.1.1通用的能力要求
、。
认证机构应确保其具备与所评估的客户ISMS有关的最新的技术知识和法律法规知识
/—。
认证机构应按照GBT27021.12017的表A.1为每项认证职能确定能力要求认证机构应考虑
/—、
规定的以及和中所规定的与认证机构所确定的技术领域相关
GBT27021.120177.1.27.2.1ISMS
的所有要求。
附录概括了特定认证职能的人员能力要求。
A
7.1.2IS7.1.2能力准则的确定
7.1.2.1实施ISMS审核的能力要求
.2.1.1总体要求
7.1
、,:
认证机构应有验证审核组成员的背景经验特定培训或情况说明的准则以确保审核组至少具备
)信息安全的知识;
a
2
GBT25067-2020信息技术安全技术信息安全管理体系审核和认证机构要求,本标准在GB/T27021.1-2017和GB/T22080-2016的基础上,对实施ISMS审核和认证的机
构规定了要求并提供了指南。本标准的主要目的是为ISMS认证机构的认可提供支持。任何提供ISMS认证的机构,需要在能力和可靠性方面证实其满足本标准中的要求。本
标准中的指南提供了对这些要求的进一步解释。注:本标准可以作为认可、同行评审或其他审核过程的准则性文件。
GBT25067-2020信息技术安全技术信息安全管理体系审核和认证机构要求,本标准在GB/T27021.1-2017和GB/T22080-2016的基础上,对实施ISMS审核和认证的机
构规定了要求并提供了指南。本标准的主要目的是为ISMS认证机构的认可提供支持。任何提供ISMS认证的机构,需要在能力和可靠性方面证实其满足本标准中的要求。本
标准中的指南提供了对这些要求的进一步解释。注:本标准可以作为认可、同行评审或其他审核过程的准则性文件。
/—//:
GBT250672020ISOIEC270062015
)与受审核的活动相关的技术知识;
b
)管理体系的知识;
c
)审核原则的知识;
d
:,。
注有关审核原则的进一步信息参见ISO19011
)、、。
eISMS监视测量分析和评价的知识
除了),))
b可以在作为审核组成员的审核员之间共享外以上a~e适用于作为审核组成员的所有审
核员。
审核组应有能力将客户ISMS中信息安全事件的迹象追溯到ISMS的相应要素。
(
审核组应有关于上述知识项的适当工作经历且实际应用过这些知识项这不意味着一个审核员需
,)。
要具有信息安全所有领域的全面的经验但审核组整体上应对被审核的领域具备足够的认识和经验
、、
7.1.2.1.2信息安全管理术语原则实践和技术
,:
审核组所有成员作为一个整体应具有以下知识
)、;
aISMS特定文件的结构层级和相互关系
)、、;
b信息安全管理相关的工具方法技术及其应用
)信息安全风险评估和风险管理;
c
)适用的过程;
dISMS
)当前可能与信息安全相关的或可能面临信息安全问题的技术。
e
每个审核员应满足)、)和d)。
ac
7.1.2.1.3信息安全管理体系标准和规范性文件
,:
参与ISMS审核的审核员应具有以下知识
)/—的所有要求;
aGBT220802016
,:
审核组所有成员作为一个整体应具有以下知识
)/(,),
bGBT22081如确定有必要还可来源于特定行业标准中的所有控制及其实现这些控制分
为以下类别:
)信息安全策略;
1
)信息安全组织;
2
)人力资源安全;
3
)资产管理;
4
),;
5访问控制包括授权
)密码;
6
)物理和环境安全;
7
),;
运行安全包括服务
8IT
),;
9通信安全包括网络安全管理和信息传输
)、;
10系统获取开发和维护
),;
11供应商关系包括外包服务
)信息安全事件管理;
12
),;
13业务连续性管理的信息安全方面包括冗余
),。
14符合性包括信息安全评审
7.1.2.1.4业务管理实践
,:
参与ISMS审核的审核员应具有以下知识
3
GBT25067-2020信息技术安全技术信息安全管理体系审核和认证机构要求,本标准在GB/T27021.1-2017和GB/T22080-2016的基础上,对实施ISMS审核和认证的机
构规定了要求并提供了指南。本标准的主要目的是为ISMS认证机构的认可提供支持。任何提供ISMS认证的机构,需要在能力和可靠性方面证实其满足本标准中的要求。本
标准中的指南提供了对这些要求的进一步解释。注:本标准可以作为认可、同行评审或其他审核过程的准则性文件。
GBT25067-2020信息技术安全技术信息安全管理体系审核和认证机构要求,本标准在GB/T27021.1-2017和GB/T22080-2016的基础上,对实施ISMS审核和认证的机
构规定了要求并提供了指南。本标准的主要目的是为ISMS认证机构的认可提供支持。任何提供ISMS认证的机构,需要在能力和可靠性方面证实其满足本标准中的要求。本
标准中的指南提供了对这些要求的进一步解释。注:本标准可以作为认可、同行评审或其他审核过程的准则性文件。
/—//:
GBT250672020ISOIEC270062015
)行业的信息安全最佳实践和信息安全规程;
a
)信息安全的策略和业务要求;
b
)、,、;
c通用业务管理的概念实践以及方针目标和结果之间的相互关系
)管理过程和相关的术语。
d
:、、。
注这些过程也包括人力资源管理内部沟通外部沟通和其他的相关支持过程
7.1.2.1.5客户的业务领域
,:
参与ISMS审核的审核员应具有以下知识
)、;
a特定的信息安全领域地域和管辖范围的法律法规要求
:,。
注具备法律法规要求的知识不意味着要有深厚的法律背景
)与业务领域相关的信息安全风险;
b
)、;
c与客户业务领域相关的通用术语过程和技术
)相关业务领域的实践。
d
其中的a)可在审核组内共享。
、
7.1.2.1.6客户的产品过程和组织
,:
审核组所有成员作为一个整体应具有以下知识
)、、、、,;
a组织类型规模治理结构职能和关系对ISMS的开发与实施和认证活动的影响包括外包
)广义上的复杂运营;
b
)适用于产品或服务的法律法规要求。
c
7.1.2.2领导ISMS审核组的能力要求
,,
除了7.1.2.1中的要求以外审核组组长还应满足以下要求且应在有指导和监督的审核中予以
证实:
)具备管理认证审核过程和审核组的知识和技能;
a
)具备有效的口头和书面沟通能力。
b
7.1.2.3实施申请评审的能力要求
7.1.2.3.1信息安全管理体系标准和规范性文件
、,
实施申请评审以确定所需的审核组能力选择审核组成员并确定审核时间的人员应具备以下
知识:
)认证过程中所用的相关标准和其他规范性文件。
aISMS
7.1.2.3.2客户的业务领域
、,
实施申请评审以确定所需的审核组能力选择审核组成员并确定审核时间的人员应具备以下
知识:
)、、。
a与客户业务领域相关的通用术语过程技术和风险
、
7.1.2.3.3客户的产品过程和组织
、,
实施申请评审以确定所需的审核组能力选择审核组成员并确定审核时间的人员应具备以下
知识:
)、、、、、、
a客户产品过程组织类型规模治理结构职能以及ISMS的开发与实施和认证活动之间的
,。
关系包括外包的职能
4
GBT25067-2020信息技术安全技术信息安全管理体系审核和认证机构要求,本标准在GB/T27021.1-2017和GB/T22080-2016的基础上,对实施ISMS审核和认证的机
构规定了要求并提供了指南。本标准的主要目的是为ISMS认证机构的认可提供支持。任何提供ISMS认证的机构,需要在能力和可靠性方面证实其满足本标准中的要求。本
标准中的指南提供了对这些要求的进一步解释。注:本标准可以作为认可、同行评审或其他审核过程的准则性文件。
GBT25067-2020信息技术安全技术信息安全管理体系审核和认证机构要求,本标准在GB/T27021.1-2017和GB/T22080-2016的基础上,对
定制服务
推荐标准
- DB36/T 669-2024 桑蚕饲养技术规程 2024-03-26
- DB36/T 675-2024 圆齿野鸦椿苗木培育技术规程 2024-03-26
- DB36/T 782-2024 稻油两熟制油菜轻简化栽培技术规程 2024-03-26
- DB36/T 715-2024 木薯生产技术规程 2024-03-26
- DB36/T 747-2024 地理标志产品 景德镇瓷器 2024-03-26
- DB36/T 755-2024 山茶花培育技术规程 2024-03-26
- DB36/T 752-2024 地理标志产品 婺源绿茶 2024-03-26
- DB36/T 616-2024 汽车客运站服务规范 2024-03-26
- DB36/T 668-2024 蚕用桑树栽培技术规程 2024-03-26
- DB36/T 721-2024 公共图书馆服务规范 2024-03-26