GB∕T 25067-2016
基本信息
标准号: GB∕T 25067-2016
中文名称:信息技术 安全技术 信息安全管理体系审核和认证机构要求
标准类别:国家标准(GB)
标准状态:现行
出版语种:简体中文
下载格式:.rar .pdf
下载大小:8457KB
相关标签: 信息技术 安全 技术 信息安全 管理体系 认证 机构
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GB∕T 25067-2016 信息技术 安全技术 信息安全管理体系审核和认证机构要求
GB∕T25067-2016
标准压缩包解压密码:www.bzxz.net
标准图片预览
标准内容
ICS35.040
中华人民共和国国家标准
GB/T25067—2016/ISO/IEC.27006:2011代替GB/T250672010
信息技术
安全技术
信息安全管理体系
审核和认证机构要求
Information technology-Security techniques-Requirements for bodies providingaudit and certification of information security management systems(ISO/IEC27006:2011,IDT)
2016-10-13发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2017-05-01实施
GB/T25067—2016/1SO/1EC27006:2011前言
规范性引用文件
术语和定义
通用要求
结构要求
资源要求
信息要求
过程要求
认证机构的管理体系要求
附录A(资料性附录)客户组织复杂性和行业特定方面的分析,附录B(资料性附录)审核员能力的示例附录C(资料性附录)
审核时间
附录D(资料性附录)对已实现的GB/T22080—2008附录A的控制的评审指南·附录NA(资料性附录)GB/T25067—2016与GB/T25067—2010的主要技术差异参考文献
求》。
GB/T25067—2016/ISO/IEC27006:2011本标准按照GB/T1.120C9和GB/T20000.2—2009给出的规则起草。本标准代替GB/T25067一2010《信息技术安全技术:信息安全管理体系审核认证机构的要本标准与GB/T25067—2010相比,主要技术变化如下:新增IS7.1.2能力准则的确定;
监督方案明确为三年内的周期[见9.1.4.2e)];GB/T250672010多处“宜”的描述在本标准中改为“应”(见附录NA)本标准使用翻译法等同采用ISO/IEC27006:2011《信息技术安全技术信息安全管理体系审核
和认证机构要求》。
与本标准中规范性引用的国际文件有一致性对应关系的我国文件如下:GB/T19011—2013管理体系审核指南(ISO19011:2011,IDT)本标准做了下列编辑性修改:
纠正了原文注日期引用文件不一致的问题;增加了资料性附录NA。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:中国电子技术标准化研究院、中国合格评定国家认可中心、广州赛宝认证中心服务有限公司、上海质量审核中心、中国质量认证中心、中国信息安全认证中心、中国船级社质量认证公司,华夏认证中心有限公司、黑龙江电子信息产品监督检验院本标准主要起草人:黄俊梅、韩硕祥、刘宁、倪文静、蔡北方、费杨、付志高、刘健、赵国祥、田刚、王军、尹冰、刘钢、杨勇、刘佳、魏军、尤其、程瑜琦、朱博、周召、夏芳、刘建毅、王希忠、马遥、黄俊强。本标准所代替标准的历次版本发布情况为:GB/T25067—2010。
GB/T25067—2016/ISO/IEC27006:2011引言
ISO/IEC17021为机构对组织的管理体系实施审核和认证建立了准则。如果这类机构按照GB/T22080一2008《信息技术安全技术信息安全管理体系要求》开展以信息安全管理体系(ISMS审核和认证为目的的活动,并准备依据ISO/IEC17021获得认可,对ISO/IEC17021补充一些要求和指南是必要的。本标准提供了这样的内容。本标准正文遵循ISO/IEC17021的结构,针对ISMS认证所增加的特定要求和指南,以字母“IS”进行识别。
贯穿本标准全文,使用“应”这一术语,以表示本标准中与ISO/IEC17021和GB/T220802008的要求相对应的条款是要求性的;使用“宜”这一术语表示建议。本标准的目的之一是使得认可机构能更有效地、协调一致地应用本标准,依据此标准评审认证机构。
注:本标准中“管理体系”和“体系”可以互换使用。管理体系的定义见GB/T190002008。本标准中使用的管理体系请勿与其他类型的系统混淆,例如,信息技术系统(IT系统)。1范围
GB/T25067—2016/IS0/IEC27006:2011信息技术安全技术
信息安全管理体系
审核和认证机构要求
本标准对信息安全管理体系(以下简称ISMS)审核和认证的机构规定了要求并提供了指南,以作为对ISO/IEC17021.2011和GB/T22C86ISMS认证的认证机构的认可提供支持。中相关要求的补充。本标准的主要目的是为提供08
任何提供ISMS认证的机构需要在能力和可靠性方面证实其满足本标准的要求。本标准的指南为这些要求提供了进
生一步的解释,
注:本标准可以作为认可、同行评审或其他审核过程的准则性文件。2规范性引用文件
下列文件对于本文件的应用是必不可少的件。凡是不注日期的引用文件
具最新版
GB/T22080
2008信息
ISO/IEC17021:2011
quirements for bodies providingauditISO19011
3术语和定义
(包括
全技术
凡是注日期的引用支作,权注自期的版本适用于本文单)适用于本文件
有的修
息安全管理体系
要求ISo
/IEC27001:2005DT)
审核认证
ndcert
构的要求
caionof m.
anagem
管理体系审栏指南(Guidel
inesforaudting
nformityassessment-Re-
Ssystenis
agementsystcs)
GB/T22080—2008和ISO/IEC17021:2011界定的以及下列术语和定义适用于木文件。3.1
certificate
由认证机构根据认可条件额发的,并带有认可标识或声明的一种证书。3.2
certificate body
认证机构下载标准就来标准下载网
按照正式发布的ISMS标准和该体系所要求的任何补充性文档,对客户组织的ISMS进行评估和认证的第三方机构。
认证文件certificatedocument
表明客户组织的ISMS符合指定的ISMS标准及ISMS所要求的任何补充性文档的一类文件。3.4
标志mark
在认可机构或认证机构的规则下颁发的依法注册的商标或其他受到保护的标识,表明对机构运行的体系具有足够信心,或者表明相关的产品或人员符合指定的标准的要求。1
GB/T25067—2016/ISO/IEC27006:20113.5
organization
公司、集团、事务所、工厂、政府机构、科研机构、学校等,或者其部分或组合,无论其是否为法人,还是公有或私有的,均具有其自身的职能和管理并能够确保实现其信息安全。4原则
ISO/IEC17021:2011第4章中的原则适用。5
通用要求
法律和合同事宜
ISO/IEC17021:2011中5.1的要求适用。5.2公正性的管理
ISO/1EC17021:2011中5.2的要求适用。并且,以下ISMS特定要求和指南适用。5.2.1IS.5.2利益冲突
认证机构可以从事以下工作,而不被视为咨询或具有潜在的利益冲突:a)认证,包括信息沟通会议、审核策划会议,文档检查、审核(非内部ISMS审核或内部安全评审)和不符合的跟踪;
安排并参与培训课程的讲授,提供与信息安全管理、管理体系或审核相关的课程。认证机构应b)
仅限于提供公众可以公开白由获取的一般性的信息和建议,即认证机构不应提供针对特定公同的,违反下述的要求的建议;根据请求,提供或发布认证机构对认证审核标准要求的解释性信息(见9.1.1.1);d)
审核前活动,仅以确定认证审核是否就绪为自的,但这来活动不应提供导致违反本章条款的建议或意见认证机构应能够证实这类活动不违反这些要求,也没有因为开展这些活动,作为缩减最终认证审核时间的理由;
执行第二方和第三方审核,其中按照标准或法规,而不是按照认可范围那一部分:f)增值活动,例如在认证审核和监督审核过程中,当改进机会明显时,识别改进的机会而不推荐具体的解决方案
认证机构应独立于那些为接受ISMS认证的客户提供ISMS内部审核的机构(包括任何个人)。5.3
3责任与财力
ISO/IEC17021:2011中5.3的要求适用。6结构要求
组织结构和最高管理层
ISO/IFC17021:2011中6.1的要求适用6.2维护公正性的委员会
ISO/IEC17021:2011中6.2的要求适用。2
7资源要求
7.1管理层和人员的能力
GB/T25067—2016/ISO/IEC27006:2011ISO/IEC17021:2011中7.1的要求适用。另外,以下ISMS特定要求和指南适用。7.1.1IS7.1.1通用考虑
实现ISMS认证所需的基本能力要素是选择,提供以及管理那些具备与受审核活动和相关信息安全事宜相适应的技能和综合能力的人员。7.1.1.1能力分析和合同评审
认证机构应确保其具备与所评估的客户组织的ISMS有关的技术知识和适时的法律知识。认证机构应具有
个有效的能力分析系统,以便在其运作所涉及的全部技术领域就需要具备的信息安全管理方面的能力进行分析。对于每个客户认证机构应能够证实,其在实现合同评市前,对每个相关行业的要求进行了能力分析(针对评价出的需求进行技能评估),然后,认证机构应在能力分析结果的基础上,与客户组织一起进特别地认证机构应能够证实其具备完成以主活动的能力行合同评审。
a)理解客户组织的活动领域及相关业务风隆,b)根据所识别的活动以吸与客组织信息客全有大的对资产的威胁脆弱性和影响米确定认证机构所需的能力;
证实所需能力的可角件
7.1.1.2资源
认证机构的管理层应具有必要的过程及其资源,使其能确定每个审核员在他们运行的认证范围内,是否有能力承担要求他们予以执行的任务,审核员的能方可以通过经验证的背景经历和特定的培训或情况说明(参见附录B来确定,认证机构应能够与其提供服务的所有客户进行有效地沟通7.1.2IS 7.1.2能力准则的确定
附录B提供了知识和技能的附加信息以支持ISO/IEC17021中的能力准则。7.2参与认证活动的人员
ISO/IEC17021:2011中7.2的要求适用。另外,以下ISMS特定要求和指南适用。7.2.1IS7.2认证机构人员的能力认证机构应有人员能够:
a)选择并验证审核组每个ISMS审核员的能力,以使审核组适合审核;b)
向ISMS审核员进行情况说明并安排必要的培训:做出授予、保持、撤销、暂停、扩大或缩小认证的决定;建立和运行申诉和投诉过程。
审核组的培训
认证机构应具备培训审核组的准则,以确保审核组:a)具有ISMS标准和其他相关规范性文件的知识;3
GB/T25067—2016/ISO/IEC27006:2011b)理解信息安全;
从业务角度,理解风险评估和风险管理;d)具有与受审核的活动相关的技术知识;e)具有与各类ISMS相关的法规要求的一般知识;D
具有管理体系的知识
g)理解基于ISO19011的审核原则;具有ISMS有效性评审和控制有效性测量的知识。h)
以工培训要求,除了上述d)可以在审核组成员之间共享外,其余均适用于审核组的所有成员。7.2.1.1.1当为特定认证审核选择指派审核组时,认证机构应确保审核组实现各项工作的技能是适宜的。审核组应
a)针对拟认证的ISMS范围内的特定活动,具备适当的技术知识,以及适宜时,具备与这些活动相关的规程及其潜在的信息安全风险方面的技术知识(非审核员的技术专家可以履行此项职责):
b)充分理解客户组织,以便对管理客户组织活动、产品和服务的信息安全的ISMS进行可靠的认证审核:
c)适当的理解适用于客户组织的ISMS的法规要求。7.2.1.1.2需要时,审核组可以补充一些技术专家,这些专家可证实具备与审核相适宜的技术领域的特定能力。宜注意的是,对技术专家的使用不能替代ISMS审核员,但技术专家可为审核员就受审核的管理体系的技术充分性事宜提供建议。认证机构应具备规程,以便a)按照其能力、接受的培训、资格和经历选择审核员和技术专家b)在认证审核中对审核员和技术专家的行为进行初始评价,随后对审核员和技术专家的表现进行监视。
7.2.1.2决定过程的管理
管理职能应包含具备适当的技术水平和能力,以能够根据GB/T220802008的要求,对授予,维护,扩大,缩小,暂停和撤销ISMS认证的决定过程进行管理。7.2.1.3ISMS审核员必备的教育水平、工作经历、审核员培训和审核经历7.2.1.3.1以下准则适用于ISMS审核组中的每个审核员。审核员应:a)具备中等教育程度;
在信息技术方面具备至少4年的全职实际工作经历,其中具备至少2年与信息安全有关的职b)
位或职责的工作经历;
成功地完成5天的培训,培训范围应考虑合适地覆盖ISMS审核和审核管理:d)在被赋予审核员责任之前,已获得评估信息安全整个过程的经验。这种经验宜通过参与最少4次、总共天数为20天的认证审核获得,包括文件评审和风险分析,实现评估和进行审核报告:
e)具备合乎时宜的经验;
)能够以宏观的视角,从事一些复杂的操作,并理解在较大的客户组织中各单元的职能,g)通过持续的专业发展,保持信息安全和审核的知识和技能,并随时更新。技术专家应符合准则a)、b)、e)和f)。7.2.1.3.2除了7.2.1.3.1中的要求,审核组组长应满足以下要求,并应在指导和监督下通过审核予以证实:
a)具备管理认证审核过程的知识和技能;4
b)作为审核员至少参加过3次完整的ISMS审核;c)具备口头和书面的有效沟通的能力。7.3独立的外部审核员和外部技术专家的使用GB/T25067-2016/ISO/IEC27006:2011ISO/IEC17021:2011中7.3的要求适用。并且以下ISMS特定要求和指南适用。7.3.1IS7.3使用外部审核员或外部技术专家作为审核组的一部分当使用外部审核员或外部技术专家作为审核组一部分时,认证机构应确保其能够胜任并遵守本标准中适用的规定,同时应确保其不直接或通过其雇主参与对ISMS或相关管理体系的设计、实现或维护,从而避免破坏公正性。
7.3.1,1技术专家的使用
具有影响客户组织的过程、信息安全事宜和法律有关的特定知识,但不满足7.2的所有准则的技术专家,可以成为审核组的一部分。技术专家应在审核员的监督下进行工作。7.4人员记录
ISO/IEC17021:2011中7.4的要求适用。7.5外包
ISO/IEC17021:2011中7.5的要求适用8信息要求
8.1可公开获取的信息
ISO/IEC17021:2011中8.1的要求适用。并且以下ISMS特定要求和指南适用。8.1.1IS8.1授予、维护,扩大、缩小,暂停和撤销认证的规程认证机构应要求客户组织实现了文件化的ISMS,并符合GB/T22080一2008的要求和认证所需其他文件的要求
认证机构应具备形成文件的规程,以:a)依据ISO/IEC17021.2011和其他相关文件的规定,对客户组织的ISMS进行初次认证审核;b)依据ISO/IEC17021:2011,对客户组织的ISMS定期进行监督和再认证审核,以确认其持续符合相关要求,验证和记录客户组织是否对所有不符合及时采取纠正措施。8.2认证文件
ISO/IEC17021:2011中8.2的要求适用。并且,以下ISMS特定要求和指南适用。8.2.1IS8.2ISMS的认证文件
认证机构应向每个ISMS获证客户组织提供认证文件,例如由负责此项职责的人员签署的证明或认证证书。对客户组织及其认证覆盖的每个信息系统,这些文件应明确所授予的认证范围和ISMS认证所依据的标准GB/T22080-2008。此外,证书应包括引用的适用性声明的特定版本。注:适用性声明的变更如不改变认证范围中控制的覆盖范围,不需要更新认证证书。5
GB/T25067-2016/ISO/IEC27006:20118.3获证客户名录
IS0/1EC17021:2011中8.3的要求适用。8.4认证的引用和标志的使用
ISO/IEC17021:2011中8.4的要求适用。并且以下ISMS特定要求和指南适用8.4.1IS8.4认证标志的控制
认证机构应对ISMS认证标志的所有权、使用和展示方式进行适当的控制。如果认证机构授权使用标志来表明对ISMS的认证,认证机构应确保客广组织仅使用由认证机构书面授权所规定的标志。认证机构不应授权在产品上使用这一标志,或以表示产品合格的方式使用这一标志。8.5保密性
ISO/IEC17021:2011中8.5的要求适用。并且以下ISMS特定要求和指南适用。8.5.1IS8.5组织记录的访问
在认证审核之前,认证机构应要求客户组织报告是否存在因包含保密性或敏感性信息而不能提供给审核组核查的ISMS记录。认证机构应确定ISMS是否能在缺少这些记录的情况下得到充分地审核。如果认证机构得出不对已识别的保密性或敏感性的记录进行核查就不能对ISMS进行充分审核的结论,就应告知客户组织认证审核不能进行,直至获得适当的经许可的访问安排。8.6认证机构与其客户间的信息交换ISO/1EC17021:2011中8.6的要求适用。9:过程要求
9.1通用要求
ISO/IEC17021:2011中9.1的要求适用。并且以下ISMS特定要求和指南适用。9.1.1IS 9.1.1通用ISMS审核要求9.1.1.1认证审核准则
客户组织的ISMS接受审核的准则应是ISMS标准GB/T22080—2008中提出的要求和与其所执行的业务相关的认证所需的其他文件中的要求。如果需要对上述文件在特定认证方案中的应用做出解释,这种解释应由柑关的公正性委员会或具备必要技术能力的个人给出,并由认证机构正式发布。9.1.1.2策略和规程
认证机构的文档应包括实现认证过程的策略和规程,其中包括对用于ISMS认证的文件的使用和应用的核查,也包括用于审核和认证客户组织ISMS规程的核查。9.1.1.3审核组
认证机构应正式任命审核组并为其提供相应的工作文件。审核计划和日期应得到客户组织的同意。认证机构应明确规定审核组的任务,并使客户组织知悉。该任务应要求审核组检查客户组织的结6
GB/T25067-—2016/ISO/IEC27006:2011构、策略和规程,确认其满足与认证范围相关的要求以及所实现规程的要求,从而提供对客户组织ISMS的信心。
9.1.2IS9.1.2认证范围
审核组应依据所有适用的认证要求,对包含在确定范围内的客户组织的ISMS进行审核。认证机构应确保根据客户组织的业务特点、组织、所处地理位置、资产和技术的特点清晰地定义其ISMS的范围和边界。认证机构应确认,客户组织在其ISMS范围内满足了GB/T22080—2008中1.2的要求认证机构应确保,客户组织的信息安全风险评估和风险处置正确地体现了它的活动,并像ISMS标准GB/T22080定义的那样,扩展到其活动的边界。同时,认证机构应确认这些都在客户组织的ISMS范围和适用性声明中得到体现。认证机构应确保,与不完全属于ISMS范围内的服务或活动的接口在接受认证的ISMS中得到说明,并包括在客户组织的信息安全风险评估中。例如,其他组织共享设施的情况(例如IT系统、数据库和通讯系统)。
9.1.3IS 9.1.3审核时间
认证机构应给子审核组足够的时问,开展与初次审核、监督审核或再认证审核相关的所有活动。所安排的时间应考虑以下因素:
a)ISMS范围的大小(例如,所使用的信息系统的数量、员工的数量);ISMS的复杂程度(例如信息系统的关键程度、ISMS的风险状况),见附录A;b)
在ISMS范围内开展的业务类型;c)
用于实现ISMS各部分技术的程度和多样性(例如,已实现的控制、文件和(或)过程控制、纠正d)
和(或)预防改进措施等);
场所的数量;
经证实的以往的ISMS绩效;
在ISMS范围内,所使用的外包和第三方安排的程度;h)适于认证的标准和法规
附录C对审核时间提供了指南。认证机构应能证实或证明在初次审核、监督审核和再认证审核中所用时间的合理性。
9.1.4IS9.1.4多场所
9.1.4.1在ISMS认证领域,有关多场所的抽样决定应比质量管理休系认证领域更加复杂。当客户组织拥有的多个场所满足以下a)~c)的准则时,认证机构可以考虑使用基于抽样的方法进行多场所认证审核:
所有的场所在同一ISMS下运行,并接受统一的管理、审核和管理评审;所有的场所都包含在客户组织的ISMS内部审核方案中;b)
所有的场所都包含在客户组织的ISMS管理评审方案中。认证机构使用基于抽样的方法时,应具备规程以确保:9.1.4.2
初次合同评审时,最大程度地识别场所之间的差异,以便确定适宜的抽样水平。认证机构应考虑以下因素,抽取具有代表性的场所:b)
总部和其他场所的内部审核的结果;1
管理评审的结果;
场所规模的差异;
4)各场所业务目的的差异;
GB/T25067—2016/ISO/IEC27006:2011ISMS的复杂程度;
6)不同场所信息系统的复杂程度;7)工作实践的差异;
所进行活动的差异;
9)与关键的信息系统或处理敏感信息的信息系统的潜在的交互;10)任何不同的法律要求。
从客户组织的ISMS范围内所有场所中选择具有代表性的样本,选择应基于判断以反映上述b)中所列因素,同时也应考虑随机要素。d)在授予认证前,认证机构应审核ISMS中每个有重大信息安全风险的场所。根据以上要求,设计监督审核方案,并在三年内覆盖ISMS认证范围内的代表性样本。无论是在总部还是其他单一场所发现不符合,纠正措施规程的实施适用于包括在认证范围内D
的总部和所有场所
本标准的IS9.1.5中所述的审核应关注客户组织总部为确保同一ISMS适用于所有场所,并在运行层面上实施统一管理所进行的活动。审核应处理上述所有事项。9.1.5IS9.1.5审核方法学
认证机构应具有规程来要求客户组织能够证实其已就ISMS内部审核做出日程安排,其方案和规程具有可操作性并能够展示其可操作性。认证机构的规程不应以实现ISMS的特定方式为前提或以文件和记录的特定格式为前提。认证规程应将重点放在确定客户组织的1SMS满足GB/T22080一2008的要求以及满足客户组织的策略和目标。
如适用,审核计划应识别在审核中将使用的网络支持的审核技术注:网络支持的审核技术可包括,例如电话会议,web会议、基于web的互动式沟通和远程电子访间ISMS文件和(或ISMS过程等方式。关注这种技术有助于提高审核的有效性和效率,并支持审核过程的完整性,9.1.6IS9.1.6认证审核报告
9.1.6.1认证机构的报告规程应确保:a)在离开客户组织场所前,在审核组和客户组织管理层之间召开一次会议,并提供:1)有关客户组织的ISMS是否符合特定认证要求的书面或口头说明;2)客户组织就审核发现及其根据提出间题的机会审核组向认证机构提供关于审核发现的审核报告,这些审核发现是针对客户组织的ISMS与b
所有认证要求的符合性。
审核报告应提供以下信息或对这些信息的引用:包括文件评审摘要在内的审核说明;a)
对客户组织信息安全风险分析进行认证审核的说明:所使用的全部审核时间,以及分别用于文件评审,风险分析评审、现场评审和审核报告的时间c)
约详细说明:
d)所进行的审核询问、选择的理由和所采用的方法学。审核报告应足够详细,以帮助和支持认证决定,审核报告应包括:9.1.6.3
审核覆盖的区域(例如,认证要求和接受审核的场所),包括所采用的主要审核路线和所使用的a
审核方法(见IS9.1.5);
b)获得的审核发现,包括正面的(例如,值得注意的特征)和负面的(例如:潜在的不合格);已识别的任何不符合的详细情况,包括支持不符合的客观证据和这些不符合所涉及的8
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准
GB/T25067—2016/ISO/IEC.27006:2011代替GB/T250672010
信息技术
安全技术
信息安全管理体系
审核和认证机构要求
Information technology-Security techniques-Requirements for bodies providingaudit and certification of information security management systems(ISO/IEC27006:2011,IDT)
2016-10-13发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2017-05-01实施
GB/T25067—2016/1SO/1EC27006:2011前言
规范性引用文件
术语和定义
通用要求
结构要求
资源要求
信息要求
过程要求
认证机构的管理体系要求
附录A(资料性附录)客户组织复杂性和行业特定方面的分析,附录B(资料性附录)审核员能力的示例附录C(资料性附录)
审核时间
附录D(资料性附录)对已实现的GB/T22080—2008附录A的控制的评审指南·附录NA(资料性附录)GB/T25067—2016与GB/T25067—2010的主要技术差异参考文献
求》。
GB/T25067—2016/ISO/IEC27006:2011本标准按照GB/T1.120C9和GB/T20000.2—2009给出的规则起草。本标准代替GB/T25067一2010《信息技术安全技术:信息安全管理体系审核认证机构的要本标准与GB/T25067—2010相比,主要技术变化如下:新增IS7.1.2能力准则的确定;
监督方案明确为三年内的周期[见9.1.4.2e)];GB/T250672010多处“宜”的描述在本标准中改为“应”(见附录NA)本标准使用翻译法等同采用ISO/IEC27006:2011《信息技术安全技术信息安全管理体系审核
和认证机构要求》。
与本标准中规范性引用的国际文件有一致性对应关系的我国文件如下:GB/T19011—2013管理体系审核指南(ISO19011:2011,IDT)本标准做了下列编辑性修改:
纠正了原文注日期引用文件不一致的问题;增加了资料性附录NA。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:中国电子技术标准化研究院、中国合格评定国家认可中心、广州赛宝认证中心服务有限公司、上海质量审核中心、中国质量认证中心、中国信息安全认证中心、中国船级社质量认证公司,华夏认证中心有限公司、黑龙江电子信息产品监督检验院本标准主要起草人:黄俊梅、韩硕祥、刘宁、倪文静、蔡北方、费杨、付志高、刘健、赵国祥、田刚、王军、尹冰、刘钢、杨勇、刘佳、魏军、尤其、程瑜琦、朱博、周召、夏芳、刘建毅、王希忠、马遥、黄俊强。本标准所代替标准的历次版本发布情况为:GB/T25067—2010。
GB/T25067—2016/ISO/IEC27006:2011引言
ISO/IEC17021为机构对组织的管理体系实施审核和认证建立了准则。如果这类机构按照GB/T22080一2008《信息技术安全技术信息安全管理体系要求》开展以信息安全管理体系(ISMS审核和认证为目的的活动,并准备依据ISO/IEC17021获得认可,对ISO/IEC17021补充一些要求和指南是必要的。本标准提供了这样的内容。本标准正文遵循ISO/IEC17021的结构,针对ISMS认证所增加的特定要求和指南,以字母“IS”进行识别。
贯穿本标准全文,使用“应”这一术语,以表示本标准中与ISO/IEC17021和GB/T220802008的要求相对应的条款是要求性的;使用“宜”这一术语表示建议。本标准的目的之一是使得认可机构能更有效地、协调一致地应用本标准,依据此标准评审认证机构。
注:本标准中“管理体系”和“体系”可以互换使用。管理体系的定义见GB/T190002008。本标准中使用的管理体系请勿与其他类型的系统混淆,例如,信息技术系统(IT系统)。1范围
GB/T25067—2016/IS0/IEC27006:2011信息技术安全技术
信息安全管理体系
审核和认证机构要求
本标准对信息安全管理体系(以下简称ISMS)审核和认证的机构规定了要求并提供了指南,以作为对ISO/IEC17021.2011和GB/T22C86ISMS认证的认证机构的认可提供支持。中相关要求的补充。本标准的主要目的是为提供08
任何提供ISMS认证的机构需要在能力和可靠性方面证实其满足本标准的要求。本标准的指南为这些要求提供了进
生一步的解释,
注:本标准可以作为认可、同行评审或其他审核过程的准则性文件。2规范性引用文件
下列文件对于本文件的应用是必不可少的件。凡是不注日期的引用文件
具最新版
GB/T22080
2008信息
ISO/IEC17021:2011
quirements for bodies providingauditISO19011
3术语和定义
(包括
全技术
凡是注日期的引用支作,权注自期的版本适用于本文单)适用于本文件
有的修
息安全管理体系
要求ISo
/IEC27001:2005DT)
审核认证
ndcert
构的要求
caionof m.
anagem
管理体系审栏指南(Guidel
inesforaudting
nformityassessment-Re-
Ssystenis
agementsystcs)
GB/T22080—2008和ISO/IEC17021:2011界定的以及下列术语和定义适用于木文件。3.1
certificate
由认证机构根据认可条件额发的,并带有认可标识或声明的一种证书。3.2
certificate body
认证机构下载标准就来标准下载网
按照正式发布的ISMS标准和该体系所要求的任何补充性文档,对客户组织的ISMS进行评估和认证的第三方机构。
认证文件certificatedocument
表明客户组织的ISMS符合指定的ISMS标准及ISMS所要求的任何补充性文档的一类文件。3.4
标志mark
在认可机构或认证机构的规则下颁发的依法注册的商标或其他受到保护的标识,表明对机构运行的体系具有足够信心,或者表明相关的产品或人员符合指定的标准的要求。1
GB/T25067—2016/ISO/IEC27006:20113.5
organization
公司、集团、事务所、工厂、政府机构、科研机构、学校等,或者其部分或组合,无论其是否为法人,还是公有或私有的,均具有其自身的职能和管理并能够确保实现其信息安全。4原则
ISO/IEC17021:2011第4章中的原则适用。5
通用要求
法律和合同事宜
ISO/IEC17021:2011中5.1的要求适用。5.2公正性的管理
ISO/1EC17021:2011中5.2的要求适用。并且,以下ISMS特定要求和指南适用。5.2.1IS.5.2利益冲突
认证机构可以从事以下工作,而不被视为咨询或具有潜在的利益冲突:a)认证,包括信息沟通会议、审核策划会议,文档检查、审核(非内部ISMS审核或内部安全评审)和不符合的跟踪;
安排并参与培训课程的讲授,提供与信息安全管理、管理体系或审核相关的课程。认证机构应b)
仅限于提供公众可以公开白由获取的一般性的信息和建议,即认证机构不应提供针对特定公同的,违反下述的要求的建议;根据请求,提供或发布认证机构对认证审核标准要求的解释性信息(见9.1.1.1);d)
审核前活动,仅以确定认证审核是否就绪为自的,但这来活动不应提供导致违反本章条款的建议或意见认证机构应能够证实这类活动不违反这些要求,也没有因为开展这些活动,作为缩减最终认证审核时间的理由;
执行第二方和第三方审核,其中按照标准或法规,而不是按照认可范围那一部分:f)增值活动,例如在认证审核和监督审核过程中,当改进机会明显时,识别改进的机会而不推荐具体的解决方案
认证机构应独立于那些为接受ISMS认证的客户提供ISMS内部审核的机构(包括任何个人)。5.3
3责任与财力
ISO/IEC17021:2011中5.3的要求适用。6结构要求
组织结构和最高管理层
ISO/IFC17021:2011中6.1的要求适用6.2维护公正性的委员会
ISO/IEC17021:2011中6.2的要求适用。2
7资源要求
7.1管理层和人员的能力
GB/T25067—2016/ISO/IEC27006:2011ISO/IEC17021:2011中7.1的要求适用。另外,以下ISMS特定要求和指南适用。7.1.1IS7.1.1通用考虑
实现ISMS认证所需的基本能力要素是选择,提供以及管理那些具备与受审核活动和相关信息安全事宜相适应的技能和综合能力的人员。7.1.1.1能力分析和合同评审
认证机构应确保其具备与所评估的客户组织的ISMS有关的技术知识和适时的法律知识。认证机构应具有
个有效的能力分析系统,以便在其运作所涉及的全部技术领域就需要具备的信息安全管理方面的能力进行分析。对于每个客户认证机构应能够证实,其在实现合同评市前,对每个相关行业的要求进行了能力分析(针对评价出的需求进行技能评估),然后,认证机构应在能力分析结果的基础上,与客户组织一起进特别地认证机构应能够证实其具备完成以主活动的能力行合同评审。
a)理解客户组织的活动领域及相关业务风隆,b)根据所识别的活动以吸与客组织信息客全有大的对资产的威胁脆弱性和影响米确定认证机构所需的能力;
证实所需能力的可角件
7.1.1.2资源
认证机构的管理层应具有必要的过程及其资源,使其能确定每个审核员在他们运行的认证范围内,是否有能力承担要求他们予以执行的任务,审核员的能方可以通过经验证的背景经历和特定的培训或情况说明(参见附录B来确定,认证机构应能够与其提供服务的所有客户进行有效地沟通7.1.2IS 7.1.2能力准则的确定
附录B提供了知识和技能的附加信息以支持ISO/IEC17021中的能力准则。7.2参与认证活动的人员
ISO/IEC17021:2011中7.2的要求适用。另外,以下ISMS特定要求和指南适用。7.2.1IS7.2认证机构人员的能力认证机构应有人员能够:
a)选择并验证审核组每个ISMS审核员的能力,以使审核组适合审核;b)
向ISMS审核员进行情况说明并安排必要的培训:做出授予、保持、撤销、暂停、扩大或缩小认证的决定;建立和运行申诉和投诉过程。
审核组的培训
认证机构应具备培训审核组的准则,以确保审核组:a)具有ISMS标准和其他相关规范性文件的知识;3
GB/T25067—2016/ISO/IEC27006:2011b)理解信息安全;
从业务角度,理解风险评估和风险管理;d)具有与受审核的活动相关的技术知识;e)具有与各类ISMS相关的法规要求的一般知识;D
具有管理体系的知识
g)理解基于ISO19011的审核原则;具有ISMS有效性评审和控制有效性测量的知识。h)
以工培训要求,除了上述d)可以在审核组成员之间共享外,其余均适用于审核组的所有成员。7.2.1.1.1当为特定认证审核选择指派审核组时,认证机构应确保审核组实现各项工作的技能是适宜的。审核组应
a)针对拟认证的ISMS范围内的特定活动,具备适当的技术知识,以及适宜时,具备与这些活动相关的规程及其潜在的信息安全风险方面的技术知识(非审核员的技术专家可以履行此项职责):
b)充分理解客户组织,以便对管理客户组织活动、产品和服务的信息安全的ISMS进行可靠的认证审核:
c)适当的理解适用于客户组织的ISMS的法规要求。7.2.1.1.2需要时,审核组可以补充一些技术专家,这些专家可证实具备与审核相适宜的技术领域的特定能力。宜注意的是,对技术专家的使用不能替代ISMS审核员,但技术专家可为审核员就受审核的管理体系的技术充分性事宜提供建议。认证机构应具备规程,以便a)按照其能力、接受的培训、资格和经历选择审核员和技术专家b)在认证审核中对审核员和技术专家的行为进行初始评价,随后对审核员和技术专家的表现进行监视。
7.2.1.2决定过程的管理
管理职能应包含具备适当的技术水平和能力,以能够根据GB/T220802008的要求,对授予,维护,扩大,缩小,暂停和撤销ISMS认证的决定过程进行管理。7.2.1.3ISMS审核员必备的教育水平、工作经历、审核员培训和审核经历7.2.1.3.1以下准则适用于ISMS审核组中的每个审核员。审核员应:a)具备中等教育程度;
在信息技术方面具备至少4年的全职实际工作经历,其中具备至少2年与信息安全有关的职b)
位或职责的工作经历;
成功地完成5天的培训,培训范围应考虑合适地覆盖ISMS审核和审核管理:d)在被赋予审核员责任之前,已获得评估信息安全整个过程的经验。这种经验宜通过参与最少4次、总共天数为20天的认证审核获得,包括文件评审和风险分析,实现评估和进行审核报告:
e)具备合乎时宜的经验;
)能够以宏观的视角,从事一些复杂的操作,并理解在较大的客户组织中各单元的职能,g)通过持续的专业发展,保持信息安全和审核的知识和技能,并随时更新。技术专家应符合准则a)、b)、e)和f)。7.2.1.3.2除了7.2.1.3.1中的要求,审核组组长应满足以下要求,并应在指导和监督下通过审核予以证实:
a)具备管理认证审核过程的知识和技能;4
b)作为审核员至少参加过3次完整的ISMS审核;c)具备口头和书面的有效沟通的能力。7.3独立的外部审核员和外部技术专家的使用GB/T25067-2016/ISO/IEC27006:2011ISO/IEC17021:2011中7.3的要求适用。并且以下ISMS特定要求和指南适用。7.3.1IS7.3使用外部审核员或外部技术专家作为审核组的一部分当使用外部审核员或外部技术专家作为审核组一部分时,认证机构应确保其能够胜任并遵守本标准中适用的规定,同时应确保其不直接或通过其雇主参与对ISMS或相关管理体系的设计、实现或维护,从而避免破坏公正性。
7.3.1,1技术专家的使用
具有影响客户组织的过程、信息安全事宜和法律有关的特定知识,但不满足7.2的所有准则的技术专家,可以成为审核组的一部分。技术专家应在审核员的监督下进行工作。7.4人员记录
ISO/IEC17021:2011中7.4的要求适用。7.5外包
ISO/IEC17021:2011中7.5的要求适用8信息要求
8.1可公开获取的信息
ISO/IEC17021:2011中8.1的要求适用。并且以下ISMS特定要求和指南适用。8.1.1IS8.1授予、维护,扩大、缩小,暂停和撤销认证的规程认证机构应要求客户组织实现了文件化的ISMS,并符合GB/T22080一2008的要求和认证所需其他文件的要求
认证机构应具备形成文件的规程,以:a)依据ISO/IEC17021.2011和其他相关文件的规定,对客户组织的ISMS进行初次认证审核;b)依据ISO/IEC17021:2011,对客户组织的ISMS定期进行监督和再认证审核,以确认其持续符合相关要求,验证和记录客户组织是否对所有不符合及时采取纠正措施。8.2认证文件
ISO/IEC17021:2011中8.2的要求适用。并且,以下ISMS特定要求和指南适用。8.2.1IS8.2ISMS的认证文件
认证机构应向每个ISMS获证客户组织提供认证文件,例如由负责此项职责的人员签署的证明或认证证书。对客户组织及其认证覆盖的每个信息系统,这些文件应明确所授予的认证范围和ISMS认证所依据的标准GB/T22080-2008。此外,证书应包括引用的适用性声明的特定版本。注:适用性声明的变更如不改变认证范围中控制的覆盖范围,不需要更新认证证书。5
GB/T25067-2016/ISO/IEC27006:20118.3获证客户名录
IS0/1EC17021:2011中8.3的要求适用。8.4认证的引用和标志的使用
ISO/IEC17021:2011中8.4的要求适用。并且以下ISMS特定要求和指南适用8.4.1IS8.4认证标志的控制
认证机构应对ISMS认证标志的所有权、使用和展示方式进行适当的控制。如果认证机构授权使用标志来表明对ISMS的认证,认证机构应确保客广组织仅使用由认证机构书面授权所规定的标志。认证机构不应授权在产品上使用这一标志,或以表示产品合格的方式使用这一标志。8.5保密性
ISO/IEC17021:2011中8.5的要求适用。并且以下ISMS特定要求和指南适用。8.5.1IS8.5组织记录的访问
在认证审核之前,认证机构应要求客户组织报告是否存在因包含保密性或敏感性信息而不能提供给审核组核查的ISMS记录。认证机构应确定ISMS是否能在缺少这些记录的情况下得到充分地审核。如果认证机构得出不对已识别的保密性或敏感性的记录进行核查就不能对ISMS进行充分审核的结论,就应告知客户组织认证审核不能进行,直至获得适当的经许可的访问安排。8.6认证机构与其客户间的信息交换ISO/1EC17021:2011中8.6的要求适用。9:过程要求
9.1通用要求
ISO/IEC17021:2011中9.1的要求适用。并且以下ISMS特定要求和指南适用。9.1.1IS 9.1.1通用ISMS审核要求9.1.1.1认证审核准则
客户组织的ISMS接受审核的准则应是ISMS标准GB/T22080—2008中提出的要求和与其所执行的业务相关的认证所需的其他文件中的要求。如果需要对上述文件在特定认证方案中的应用做出解释,这种解释应由柑关的公正性委员会或具备必要技术能力的个人给出,并由认证机构正式发布。9.1.1.2策略和规程
认证机构的文档应包括实现认证过程的策略和规程,其中包括对用于ISMS认证的文件的使用和应用的核查,也包括用于审核和认证客户组织ISMS规程的核查。9.1.1.3审核组
认证机构应正式任命审核组并为其提供相应的工作文件。审核计划和日期应得到客户组织的同意。认证机构应明确规定审核组的任务,并使客户组织知悉。该任务应要求审核组检查客户组织的结6
GB/T25067-—2016/ISO/IEC27006:2011构、策略和规程,确认其满足与认证范围相关的要求以及所实现规程的要求,从而提供对客户组织ISMS的信心。
9.1.2IS9.1.2认证范围
审核组应依据所有适用的认证要求,对包含在确定范围内的客户组织的ISMS进行审核。认证机构应确保根据客户组织的业务特点、组织、所处地理位置、资产和技术的特点清晰地定义其ISMS的范围和边界。认证机构应确认,客户组织在其ISMS范围内满足了GB/T22080—2008中1.2的要求认证机构应确保,客户组织的信息安全风险评估和风险处置正确地体现了它的活动,并像ISMS标准GB/T22080定义的那样,扩展到其活动的边界。同时,认证机构应确认这些都在客户组织的ISMS范围和适用性声明中得到体现。认证机构应确保,与不完全属于ISMS范围内的服务或活动的接口在接受认证的ISMS中得到说明,并包括在客户组织的信息安全风险评估中。例如,其他组织共享设施的情况(例如IT系统、数据库和通讯系统)。
9.1.3IS 9.1.3审核时间
认证机构应给子审核组足够的时问,开展与初次审核、监督审核或再认证审核相关的所有活动。所安排的时间应考虑以下因素:
a)ISMS范围的大小(例如,所使用的信息系统的数量、员工的数量);ISMS的复杂程度(例如信息系统的关键程度、ISMS的风险状况),见附录A;b)
在ISMS范围内开展的业务类型;c)
用于实现ISMS各部分技术的程度和多样性(例如,已实现的控制、文件和(或)过程控制、纠正d)
和(或)预防改进措施等);
场所的数量;
经证实的以往的ISMS绩效;
在ISMS范围内,所使用的外包和第三方安排的程度;h)适于认证的标准和法规
附录C对审核时间提供了指南。认证机构应能证实或证明在初次审核、监督审核和再认证审核中所用时间的合理性。
9.1.4IS9.1.4多场所
9.1.4.1在ISMS认证领域,有关多场所的抽样决定应比质量管理休系认证领域更加复杂。当客户组织拥有的多个场所满足以下a)~c)的准则时,认证机构可以考虑使用基于抽样的方法进行多场所认证审核:
所有的场所在同一ISMS下运行,并接受统一的管理、审核和管理评审;所有的场所都包含在客户组织的ISMS内部审核方案中;b)
所有的场所都包含在客户组织的ISMS管理评审方案中。认证机构使用基于抽样的方法时,应具备规程以确保:9.1.4.2
初次合同评审时,最大程度地识别场所之间的差异,以便确定适宜的抽样水平。认证机构应考虑以下因素,抽取具有代表性的场所:b)
总部和其他场所的内部审核的结果;1
管理评审的结果;
场所规模的差异;
4)各场所业务目的的差异;
GB/T25067—2016/ISO/IEC27006:2011ISMS的复杂程度;
6)不同场所信息系统的复杂程度;7)工作实践的差异;
所进行活动的差异;
9)与关键的信息系统或处理敏感信息的信息系统的潜在的交互;10)任何不同的法律要求。
从客户组织的ISMS范围内所有场所中选择具有代表性的样本,选择应基于判断以反映上述b)中所列因素,同时也应考虑随机要素。d)在授予认证前,认证机构应审核ISMS中每个有重大信息安全风险的场所。根据以上要求,设计监督审核方案,并在三年内覆盖ISMS认证范围内的代表性样本。无论是在总部还是其他单一场所发现不符合,纠正措施规程的实施适用于包括在认证范围内D
的总部和所有场所
本标准的IS9.1.5中所述的审核应关注客户组织总部为确保同一ISMS适用于所有场所,并在运行层面上实施统一管理所进行的活动。审核应处理上述所有事项。9.1.5IS9.1.5审核方法学
认证机构应具有规程来要求客户组织能够证实其已就ISMS内部审核做出日程安排,其方案和规程具有可操作性并能够展示其可操作性。认证机构的规程不应以实现ISMS的特定方式为前提或以文件和记录的特定格式为前提。认证规程应将重点放在确定客户组织的1SMS满足GB/T22080一2008的要求以及满足客户组织的策略和目标。
如适用,审核计划应识别在审核中将使用的网络支持的审核技术注:网络支持的审核技术可包括,例如电话会议,web会议、基于web的互动式沟通和远程电子访间ISMS文件和(或ISMS过程等方式。关注这种技术有助于提高审核的有效性和效率,并支持审核过程的完整性,9.1.6IS9.1.6认证审核报告
9.1.6.1认证机构的报告规程应确保:a)在离开客户组织场所前,在审核组和客户组织管理层之间召开一次会议,并提供:1)有关客户组织的ISMS是否符合特定认证要求的书面或口头说明;2)客户组织就审核发现及其根据提出间题的机会审核组向认证机构提供关于审核发现的审核报告,这些审核发现是针对客户组织的ISMS与b
所有认证要求的符合性。
审核报告应提供以下信息或对这些信息的引用:包括文件评审摘要在内的审核说明;a)
对客户组织信息安全风险分析进行认证审核的说明:所使用的全部审核时间,以及分别用于文件评审,风险分析评审、现场评审和审核报告的时间c)
约详细说明:
d)所进行的审核询问、选择的理由和所采用的方法学。审核报告应足够详细,以帮助和支持认证决定,审核报告应包括:9.1.6.3
审核覆盖的区域(例如,认证要求和接受审核的场所),包括所采用的主要审核路线和所使用的a
审核方法(见IS9.1.5);
b)获得的审核发现,包括正面的(例如,值得注意的特征)和负面的(例如:潜在的不合格);已识别的任何不符合的详细情况,包括支持不符合的客观证据和这些不符合所涉及的8
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。