GB/T 25067-2010 信息技术 安全技术 信息安全管理体系审核认证机构的要求

ICS35.040

L80

中华人民共和国国家标准

GB/T25067-201O/ISO/IEC27006:2007

信息技术安全技术

信息安全管理体系审核认证机构的要求

Informationtechno1ogy一-Securitytechniques-

Requirementsforbodiesprovidingauditandcertificationof

informationsecuritymanagementsystems

OSO/IEC27006:2007.IDT)

2011-02-01实施

2010-09-02发布

中华人民共和国国家质量监督捡验检查总局申+

中国国家标准生管理委员会ι刊

25号67…部121号§号，20号7

III

号:苦苦……...…….....………确…回…...……………锺也………E

11，在密…………而…...…………"毯...咆…...………..…1

Z援建立住引陈立;狞川苞………...哩罩…………③⑤1

3

42

主震撼

52

i重

2

5锺1

5.2z

5.32

§Z

2

号.1

6.22

了2

7.1立

7.2的人员‘⑤恒...…e…φ亭亭..甸甸甸哩.r-"••••••...4...........…3

7.:;4

'Î.在人员1

γ.5

鱼

3是

4

礼1

8.Z……...……·⑤罩，每组……ψφ伞牛"…⑤...⑤谷，⑤...、..…..……·钢…J

.>-J是……………-…………"…5

骂。3

若.4"

5

吉.5

告专供息交换毡…………φ咱也..…知……·帽…5

8.号

55

9.15

告2ijF(协……⑤..伞...③甸甸甸...(…u……….<4.•.•••••主

10

立3

9.4liE………、…、、⑤……萨…...…..,...'"甸甸甸哩.-...…...…、11

9.511

11

9.号

9.711

11

百.8

12

吉.9

1012

10.112

标准分享网免费下载

GB/T25067-2010/ISO/IEC27006,2007

10.2方式按照GBjT19001-2008的管理体系要求'".........……………-…..12

10.3方式工·通用的管理体系要求……………..…'"‘……..………..…………...12

附录A(资料性衔录〉客户组织复杂位和行业特定方面的分析.._...………………..13

附录B(资科性附录〉审核员能力的示19IJ……….15

磁录C(资料性能录〉审核时间…...…….....'............…..........…-…17

附录D(资料注附录〉对己实施的GBjT22080←2008附录A的控制措施始评窜指南……..……21

E

25号67…约127哥哥6:2号07

ISO;II己主~2700号:20号及信息技术

a

!lα

ISOjIEC270号6:

罗用i运iζ"

户

autltor妇在lC。

"

2本仨享标孟准吉的专薛隙;主录量A

号(SAC/TC261)裁军会在雪信/飞员

#沌

工~-

白人Cí丁C2号的提出"

出2号召)衍n。

子狡求中

.l;飞

.刻毒主主豆、在军事君主以

毛二巨款杰、宋红菇、在寄:京华、二五梅电二巨;主?虽毛、辛苦孩洋、

丹、怒于、文~0

主立生、

111

标准分享网免费下载

GB/T25067-201O/ISO/IEC27006,2007

=

-

军i

军司

GB/T27021-2007是针对实施组织管理体系审核和认证的机构提出运作准则的国家标准，它等

同采用ISO/IEC17021，20悦。如果这类机构按照GB!T22080-2008开展以信息安全管理体系

(ISMS)宰核和认证为吕的的活动，并打算依据。B!T27021-2∞7获得认可，对GB/T27021-2007增

加一些要求和指南是必要的。本标准提供了这样的内容。

本标准正文遵循GB/T27021←2007的结构，针对ISMS审核毅认证所增加的特定要求和指南，用

"IS"加以标识。

贯穿本标准全文，使用"应气shall)这一术语，以表示本标准中与GB!T27021-2007和GB/T22080

2008的要求相对应的条款是要求性的，认证机构必须遵循5使用"宜"(should)这一术语，以表示尽管本

标准中与GBíT27号21-2∞7和GBíT22080-2008的要求相对应约条款是指南性的，构成了对这些

标准中要求的应用指南，但仍然期望认证机构采纳。

本标准的目的之一是使得那些认可机构能够更加协混一致地应用评审认证机构所依据的标准。认

证机构在贯彻本标准的指南性条款时所形成的任何不岗，可视为一个例外a针对这种不同，只有当认证

机构向认可机构证实那些例外以等效的方式满足GBíT27021-2007和GB/T22号80-2008的相关条

款要求以及本标准的意图肘，并仅在具体问题具体分析的基础上才被允许。

E可

号在草z主吉告?

27

25号67甲-201

重重

15M5

校z埠二标哥章可以作为iAllT、湾行评察或其他审核主主毅然要辈黯老主义将易

2

19台II(τ19011-20古草.ISO/U三Cl告台11:2在台2.

IDT)

GB/τ2208在一20号S(l50/1EC27001，2告05，

IDT)

GB/T27号212007(lsom三C17号21，20号6，IDT)

3;1拉法奉军定义

GB/T27号21-.-20号?幸在GBO、22080--2号08<p被5L然

3.1

certificatc

哥拉

3.2

IS如雪5IS如15

孔3

cerUf直在ationdoc稳黯腊吉普在

ISMSISMSISMS

3.4

标;东盟ark

，以

的

，还

标准分享网免费下载

GBjT25067-201号jISOjlEC27日06:2007

4原则

GBjT27021-2007的4中豹原则适用。

5通用要求

5.1法律与合同事宜

GBjT27021-2007的5.1中的要求适用。

5.2公正栓的管理

GB/T27021-2007的5.2中的要求适用a并且，以下ISMS特定要求和指南适用。

5.2.1IS5.2利益冲突

认证机构从事以下工作可不被视为咨询或具有潜在的利益冲突2

a)认证，其中包括信息沟通会议、窜核策划会议、文件评审、审核〈但不是ISMS内部审核或内部

信息安全评审〉和不符合的跟踪。

如〉作为讲师安排和参与培训课程，如果这些课程涉及信息安全管理、有关的管理体系或审核，认

i正机构室仅限于提供可以公开自由获取的通用的信息和建议，例如，他们不宜针对具体公司

提供那些违反下面。要求的建议.

c)根据请求，提供或公开发布有关认证机构对认证审核标准的要求予以说冽的信怠a

d)仅以确定认证审核是否就绪为目的的审核前活动，但是这些活动不宣导致提供违反本条款的

建议和意见。认证机构需能够确认这些活动不违反这些要求，并旦不能用这些活动作为缩减

最终认证审核对间的理由。

。根据标准或法规要求，实施认可范自主以外的第二方或第三方审核。

f)在认证审核和监督帘核过程中的增值活动，例如，在审核过程中，当改进机会明显峙，识到改进

的机会但不推荐具体的解决方案。

认证机构应独立子为其所认证的客户组织ISMS提供ISMS内部帘核豹机构〈也包括任何个人〉。

5.3责任和财力

GBjτ27021-20号7的5.3中的要求适用。

5结构要求

6.1组织结构和最高管理层

GB/τ27021-2007的6.1中的要求适用a

6.2维护公正性的委员会

GBIτ27021-2007的6.2中的要求适用。

7资源要求

7.1管理层和人员的能力

GBjT27021'-2007的7.1中的要求适用。并豆，以下ISMS特定要求和指南适用。

7.1.1187.1管理层能力

为实施ISMS认证，管理层剖基本能力是选择、提供和管理那些具备与受宰核灼活动和有关部信怠

安全事宜相适应的技能和综合能力的人员a

7.1.1.1能力分桥和合同评审

认证机构应确保具备与所评定部客户组织ISMS有关的技术和法律发展的知识。

认证机构应具有一个有效的能力分析系统，以便在其运作所涉及的全部技术领域就需要具备的信

息安全管理方茵的能力进行分析。

2

25号在7-2号27号哥哥，2告告?

了

a)

七}

d

7.1.1.2

军L

7，主

27021…2号07然7.2

，以下1S泌S

7.2.1IS7.主

在)

材;句1SMS

c)

d)

>

CUka33

琶

>>>

UA

俨艺

i

h)

以

a)

各〉

的

3

标准分享网免费下载

GB/τ25067--2010/ISO/IEC27006，2007

7.2.1.2决定过程的管理

管理层应具备技术能力并能够对有关授予、保持、扩大、缩小、暂停和撤销ISMS认证〈依据

GB/T22080←2008要求〉前决定过程进行管理.

7.2.1.3ISMS窜核员在教育、工作经历、窜核员培训和事核经历方面豹必备条件

7.2.1.3.1以下准则适用于ISMS审核级中的每个窜核员@审核员应z

a)具备中等教育。

b)在信息技术方窟具备至少4年的全职实际工作经历，其中至少2年的工作经历来自与信怠安

全有关的职责或职能。

。成功地完成5天的培训，范围应包括ISMS审核和审核管理，

d)在被竟在予审核员责任之前，已获得评定整个信怠安全管理体系的经适。这矜经验室通过参与

最少4次、总共天数至少20天的认证需核获得，其中包括文件评审、风险分析的评审、现场审

核和审核报告.

e)吴备合乎时宜的经验.

。能够广泛、透彻地认识复杂的运作，并理解在较大的客户组织中各单元的职能e

g)通过持续的专业发晨，保持最新的信息安全和审核的知识与技能.

技术专家应符合上述妙、切、e)和{)准则，

7.2.1.3.2除了7.2.1.3.1中的要求，审核组组长应符合以下主要求，并应通过在指导稳监督下进行的

审核中得到证实z

a)具备管理认证审核过程豹知识和素质3

b)已经至少作为窜核员实施过3次完整ISMS宰核z

d吴备有效的口头和书面沟遥能力。

7.3外部窜核员军E外部技术专家的使用

GB/T27号21←2007的7.3中的要求适用。并豆，以下ISMS特定要求和指南适用a

7.3.1IS7.3使用外部审核员或外部技术专家作为窜核纽约一部分

当使用外部审核员或外部技术专家作为审核组成员时，认证机构应确保其能够胜任及符合本标准

适用龄要求，并不以公正性可能受到威胁的方式直接或通过其雇主参与对ISMS或招关管理体系的设

计、实施或维护。

7.3.1.1技术专家的使用

具有有关影响客户组织的过程、信息安全和法律方密的特定知识，但未必满足本标准的7.2中的全

部准魁的技术专家，可以成为审核组成员。技术专家应在审核员的监督下进行工作。

7.毒人员记录

GB/T27021-2∞7的7.4中的要求适用。

7.5外包

GB/T27021←钩。7的7.5中的要求适瘤。

B信怠要求

8.1可公开获取的信患

GB/T27021-2007的8.1中的要求适用。并旦，以下ISMS特定要求和指南适用。

8.1.1IS8.1授予、保持、扩大、缩小、暂停毅撤销认证的程序

认证机将应要求客户组织具有一个文件化并且已实施的符合GB/T22080-2008要求和认证所需

其他文件要求的ISMS.

认证机构应为以下活动准备形成文件前程序2

a)依据GB/T19011、GB/T27021-2007和其他相关文件的规定，对客户组织rSMS进行初次认

证宰核s

4

27号告6，2吾吾7

总〉依据GB/T1901豆和

亲去

器.2

GB/T27021-2007ISMS

鼠，

8.2.11盟总垂直骂骂1s

罗以下ISMS

GB/T27021..2号号7部8.5

8.5.1IS8.5

9

军1通用

GBn、270212号号7的立3中

，以下ISMS

吉.1.1豆苗立1.1逐愿ISMS

我1.1.1

章.1.1电主

轨1.1.3

到

IS1I在3

5

标准分享网免费下载

GB/古25067-2010/ISO/IEC270号6，2007

9.1.2IS9.1.2认证范匮

审核组应针对所有适用的认证要求，对包含在确定范围内的客户组织ISMS遂行审核。认证机构

应确保根据客户组织的业务、组织、位置、资产和技术部特点清晰地确定其ISMS的范围和边界a认证

机构应确认客户组织在其ISMS范围内满足了GBjT22080-2008中1.2的要求。

认证机构应确保，按照ISMS标准GB/T22080-2008的要求，客户组织的信息安全风险评估和风

险处置与客户组织的活动及活动的边界相一致，并应确认这些都在客户组织的ISMS范围和适用注声

阴中得到体现。

认证机构应确保，与不完全属于ISMS范围内的服务或活动的接口已在接受认证的ISMS中得到

说明，并已包括在客户组织的信息安全风险评估中，例如，与其他机构共享设施的情况〈信息技术系统、

数据库和通讯系统等λ

9.1.3IS9.1.3窜孩时间

认证机构应给予审核员足够的对闵开展涉及初次穹核、监督审核或再认证审核剖所有活动，所安

排的对!可宜以下列因素为依据s

a)ISMS范围灼规模〈例如，所使用的信息系统的数量和雇员的数量h

b)ISMS的复杂程度〈例如，信息系统的关键程度和ISMS的风险状况)，参见本标准的附录A;

d在ISMS范窗内开展的业务类型z

d)在ISMS各部分的实施过程中，所应用的技术的水平和多样性[例如，已实施的控制措施、文件

和〈或〉过程控制，以及纠正和〈或〉预防措施等〉

e)场所的数量s

。经证实的以往ISMS绩效;

在〉在ISMS范围内，所使用的外包和第三方安排的程度g

h)适用于认证的标准和法统。

本标准的附录C对审核时间提供援离。认证机构应能证明或说明在初次审核、监督审核和再认证

审核中所用时间的合理性e

9.1.唾IS9.1.4多场所

9.1.4.1在ISMS认证领域，有关多场所的撞祥决定比质量管理体系认证领域更加复杂，当客户组织

部有满足以下a)至心的多个场所对，认证机构可以考虑使用基于抽样的方法进行多场所认证审核=

a)所有的场所在民-ISMS下运行，并接受统一的管理、内部审核章程管理评审s

b)所有她场所都包含在客户组织前ISMS内部审核方案中s

c)所有的场所都包含在客户组织的ISMS管理评窜方案中B

9.l.4.2认证机构当使用基于抽样的方法时，应具备程序以确保z

a)在初次的合同评审中，最大程度地识到场所之间的差异，以便确定适宜的抽样水平e

b)结合以下因素，认证机梅拙取具有代表性的场所z

D总部及其他场所的内部审核的结果z

2)管理评审的结果s

。场所规模的异同s

。场所业务吕的的异向2

5)ISMS豹复杂程度多

的不同场所的信息系统的复杂程度5

7)工作惯例的异同;

8)所实施的活动的异同;

9)与关键的信怠系统或处理敏感信怠的信息系统之间部潜在相互作用$

10)任何不同的法律要求。

6

27吉在号，2号号?

c)

d)

e)

D理内

15且是s

结.1.5Ií主宰.1锺辛

也应按

达2降格支持的审核技术，然直在，电话会议、阿珞会议、签子网络然互动玉立沟透毅远程毯子访;可ISMS文拧辈辈〈或〉

ISMS过程等主王之。关注这些技术将有黯于孩离吉普较量曾有效毯毅效率，并支持审核过程的交整位每

京1.6IS弘1.6

盟.1.我3认证祝校;可以

a)

队

>

UH

9.1.岳.?

a)

b)

c)

dl

9.1舍草.3

a}

b)

c)

?

标准分享网免费下载

GB/T25067-2010/ISO/IEC27006,2007

a)对ISMS内部审核和管理评审的信任程度s

b)有关ISMS的实施和有效性的最重要的正面与负面观察舵擒要3

c)审核主E关于是否授予客户组织ISMS认证的建议，以及支持该建议的信息。

9.2初次审核与认汪

GB/T27021-2007的9.2中的要求适用。并豆，以下ISMS辛辛定要求和指南适用。

9.2.1IS9.2.1窜核经的能力

除了7.2所列却要求之外，以下要求适用于认证窜核.对于监督活动，仅仅与已安排的监督活动有

关的要求适用。

以下要求适用于整个审核组。

a)在以下每个方面，至少应有一名审核组成员满足认证机构能力准则并在帘核经内承担相应责任2

1)管理审核主[，

2)与ISMS将关部管理体系和过程的知识s

3)在特定的信息安全领域中约法律和法规要求的知识3

4)识到与信怠安全有关的威Z岳和事件趋势s

5)识到客户组织的脆弱性并理解其被利用的可能位和所造成的影响，以及对其的减缓和控制s

6)ISMS的控制措施及其实施的知识z

7)ISMS有效性的评审和控制措施有效性的尊重量方面的知识;