GBT 25067-2020 信息技术 安全技术 信息安全管理体系审核和认证机构要求

ICS35.040L80中华人民共和国国家标准GB/T25067—2020/ISO/IEC27006:2015代替GB/T25067—2016信息技术安全技术信息安全管理体系审核和认证机构要求Informationtechnology—Securitytechniques—Requirementsforbodiesprovidingauditandcertificationofinformationsecuritymanagementsystems(ISO/IEC27006:2015,IDT)2020-04-28发布2020-11-01实施国家市场监督管理总局国家标准化管理委员会发布目次前言Ⅲ…………………………………………………………………………………………………………引言Ⅳ…………………………………………………………………………………………………………1范围1………………………………………………………………………………………………………2规范性引用文件1…………………………………………………………………………………………3术语和定义1………………………………………………………………………………………………4原则1………………………………………………………………………………………………………5通用要求1…………………………………………………………………………………………………5.1法律与合同事宜1……………………………………………………………………………………5.2公正性的管理1………………………………………………………………………………………5.3责任和财力2…………………………………………………………………………………………6结构要求2…………………………………………………………………………………………………7资源要求2…………………………………………………………………………………………………7.1人员能力2……………………………………………………………………………………………7.2参与认证活动的人员5………………………………………………………………………………7.3外部审核员和外部技术专家的使用6………………………………………………………………7.4人员记录6……………………………………………………………………………………………7.5外包6…………………………………………………………………………………………………8信息要求6…………………………………………………………………………………………………8.1公开信息6……………………………………………………………………………………………8.2认证文件6……………………………………………………………………………………………8.3认证的引用和标志的使用6…………………………………………………………………………8.4保密7…………………………………………………………………………………………………8.5认证机构与其客户间的信息交换7…………………………………………………………………9过程要求7…………………………………………………………………………………………………9.1认证前的活动7………………………………………………………………………………………9.2策划审核9……………………………………………………………………………………………9.3初次认证10……………………………………………………………………………………………9.4实施审核11……………………………………………………………………………………………9.5认证决定12……………………………………………………………………………………………9.6保持认证12……………………………………………………………………………………………9.7申诉13…………………………………………………………………………………………………9.8投诉13…………………………………………………………………………………………………9.9客户的记录13…………………………………………………………………………………………10认证机构的管理体系要求14……………………………………………………………………………10.1可选方式14…………………………………………………………………………………………ⅠGB/T25067—2020/ISO/IEC27006:201510.2方式A:通用的管理体系要求14……………………………………………………………………10.3方式B:与GB/T19001一致的管理体系要求14…………………………………………………附录A(资料性附录)ISMS审核与认证的知识与技能15………………………………………………附录B(规范性附录)审核时间17…………………………………………………………………………附录C(资料性附录)审核时间计算方法21………………………………………………………………附录D(资料性附录)对已实现的GB/T22080—2016附录A的控制的评审指南25…………………附录NA(资料性附录)GB/T25067—2020与GB/T25067—2016的条款对照关系32……………参考文献36……………………………………………………………………………………………………ⅡGB/T25067—2020/ISO/IEC27006:2015前言本标准按照GB/T1.1—2009给出的规则起草。本标准代替GB/T25067—2016《信息技术安全技术信息安全管理体系审核和认证机构要求》。与GB/T25067—2016相比,主要技术变化如下:———在规范性引用文件中,删除了ISO19011,新增了ISO/IEC27000(见第2章);———删除了术语“证书”“认证机构”“标志”和“组织”(见2016年版的第3章);———基于GB/T27021.1—2017的附录A,细化了参与信息安全管理体系认证的各类人员的能力要求(见7.1.2);———遵从GB/T27021.1—2017的标准结构,调整了第9章过程要求的内容(见第9章,2016年版的第9章);———审核时间计算由资料性附录调整为规范性附录(见附录B),并新增了审核时间计算示例(见附录C)。本标准使用翻译法等同采用ISO/IEC27006:2015《信息技术安全技术信息安全管理体系审核和认证机构要求》。与本标准中规范性引用的国际文件有一致性对应关系的我国文件如下:———GB/T29246—2017信息技术安全技术信息安全管理体系概述和词汇(ISO/IEC27000:2016,IDT)本标准做了以下编辑性修改:———因ISO9000:2005已经废止,所以引言中管理体系的定义调整为参见GB/T19000—2016;———增加了资料性附录NA;———词汇“procedure”,在针对认证机构运作管理时翻译为“程序”[见7.1.2.4.1b)、9.1.3.2、9.1.5.1.2等],在针对客户信息安全控制管理时翻译为“规程”[见7.1.2.1.4a)、9.2.2.2a)、9.3.1.2.1a)等],两者意思并无差异;———由于附录A只在7.1.1中被引用,根据国家标准起草规定,将7.1.1的注调整为标准条文;———对表D.1中控制“A.13.1.3网络中的隔离”的“审核的评审指南”,更正了网段和网络隔离的示例。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:中国合格评定国家认可中心、中国电子技术标准化研究院、中国网络安全审查技术与认证中心、广州赛宝认证中心服务有限公司、华夏认证中心有限公司、国家认证认可监督管理委员会、山东省标准化研究院。本标准主要起草人:付志高、张强、黄俊梅、魏军、田刚、夏芳、张志国、尤其、方洁、王曙光、刘鑫。本标准所代替标准的历次版本发布情况为:———GB/T25067—2010、GB/T25067—2016。ⅢGB/T25067—2020/ISO/IEC27006:2015引言GB/T27021.1—2017为机构对组织的管理体系实施审核和认证建立了准则。如果这类机构按照GB/T22080—2016开展以信息安全管理体系(以下简称“ISMS”)审核和认证为目的活动,并准备依据GB/T27021.1—2017获得认可,对GB/T27021.1—2017补充一些要求和指南是必要的。本标准提供了这样的内容。本标准正文遵循GB/T27021.1—2017的结构,针对ISMS审核和认证所增加的特定要求和指南,用字母“IS”加以标识。本标准的主要目的是使得认可机构在应用其评审认证机构所依据的标准时能更有效地协调一致。本标准中术语“管理体系”和“体系”可以互换使用。管理体系的定义见GB/T19000—2016。请不要将本标准中使用的管理体系与其他类型的系统混淆,例如,信息技术(以下简称“IT”)系统。ⅣGB/T25067—2020/ISO/IEC27006:2015信息技术安全技术信息安全管理体系审核和认证机构要求1范围本标准在GB/T27021.1—2017和GB/T22080—2016的基础上,对实施ISMS审核和认证的机构规定了要求并提供了指南。本标准的主要目的是为ISMS认证机构的认可提供支持。任何提供ISMS认证的机构,需要在能力和可靠性方面证实其满足本标准中的要求。本标准中的指南提供了对这些要求的进一步解释。注:本标准可以作为认可、同行评审或其他审核过程的准则性文件。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T22080—2016信息技术安全技术信息安全管理体系要求(ISO/IEC27001:2013,IDT)GB/T27021.1—2017合格评定管理体系审核认证机构要求第1部分:要求(ISO/IEC17021-1:2015,IDT)ISO/IEC27000信息技术安全技术信息安全管理体系概述和词汇(Informationtechnolo-gy—Securitytechniques—Informationsecuritymanagementsystems—Overviewandvocabulary)3术语和定义GB/T27021.1—2017和ISO/IEC27000界定的以及下列术语和定义适用于本文件。3.1认证文件certificationdocument表明客户的ISMS符合指定的ISMS标准及ISMS所要求的任何补充性文件的一类文件。4原则GB/T27021.1—2017中第4章的原则适用。5通用要求5.1法律与合同事宜GB/T27021.1—2017中5.1的要求适用。5.2公正性的管理GB/T27021.1—2017中5.2的要求适用。并且,以下要求和指南适用。1GB/T25067—2020/ISO/IEC27006:20155.2.1IS5.2利益冲突认证机构可以从事以下工作,不会被视为咨询或具有潜在的利益冲突:a)安排培训课程并参与讲授。如果这些课程涉及信息安全管理、有关的管理体系或审核时,认证机构应仅限于提供可公开获取的通用信息和建议,即认证机构不应针对具体公司提供那些违反下面b)要求的建议。b)根据请求,提供或发布认证机构对认证审核标准要求的解释性信息(见9.1.3.6)。c)审核前活动,仅以确定认证审核是否就绪为目的,但是这些活动不应导致提供违反本条款的建议和意见。认证机构应能够证实这些活动不违反本条款的要求,且没有把这些活动作为减少最终认证审核时间的理由。d)按照认可范围之外的标准或法规,实施第二方审核或第三方审核。e)在认证审核和监督审核过程中的增值活动,例如在审核过程中,当改进机会明显时,识别改进机会但不推荐具体的解决方案。认证机构不应为客户寻求认证的ISMS提供内部信息安全评审。此外,认证机构应独立于提供ISMS内部审核的机构(包括任何个人)。5.3责任和财力GB/T2