GB/T 27021.6-2020
标准分类号
标准ICS号:
社会学、 服务、公司(企业)的组织和管理、行政、运输>>质量>>03.120.20产品认证和机构认证、合格评定
中标分类号:综合>>标准化管理与一般规定>>A00标准化、质量管理
关联标准
采标情况:ISO/IEC TS 17021-6:2014
出版信息
出版社:中国标准出版社
页数:12页
标准价格:29.0
出版日期:2020-03-01
相关单位信息
起草人:尤其、魏军、杨哲、王轶亮、王曙光、石磊、王茜、钱英杰、史吉建、鲍旭华、苏云凤、秦峰、张明状、金利杰、李家康
起草单位:中国网络安全审查技术与认证中心、中国合格评定国家认可中心、山东省标准化研究院、中国认证认可协会、东风咨询有限公司、上海安言信息技术有限公司、奇安信科技集团股份有限公司、广东互能信息科技有限公司、云天弈(北京)信息技术公司、广东康云科技有限公司等
归口单位:全国认证认可标准化技术委员会(SAC/TC 261)
提出单位:全国认证认可标准化技术委员会(SAC/TC 261)
发布部门:国家市场监督管理总局 国家标准化管理委员会
标准简介
GB/T 27021.6-2020 合格评定 管理体系审核认证机构要求 第6部分:业务连续性管理体系审核认证能力要求
GB/T27021.6-2020
标准压缩包解压密码:www.bzxz.net
本部分对ISO/IEC 17021:2011的现有要求进行了补充。本部分包含了对业务连续性管理体系(BCMS)认证过程中所涉及人员的特定能力要求。
标准内容
ICS03.120.20
中华人民共和国国家标准
GB/T27021.6-—2020/IS0/IECTS17021-6:2014合格评定
管理体系审核认证机构要求
第6部分:业务连续性管理体系
审核认证能力要求
Conformityassessment-Requirementsforbodiesprovidingauditandcertification of managementsystems-Part 6:Competencerequirementsforauditing and certification of business continuity management systems(ISO/IECTS17021-6:2014.IDT)2020-03-31发布
国家市场监督管理总局
国家标准化管理委员会
2020-10-01实施
规范性引用文件
术语和定义
通用能力要求
GB/T27021.6—2020/IS0/IECTS17021-62014次
BCMS审核员、复核审核报告人员和做出认证决定人员的能力要求5
业务连续性管理(BCM)术语
组织环境
适用法律法规和其他要求
业务连续性管理过程中的关系
业务影响分析和风险评估
业务连续性策略
事件管理
业务连续性计划
业务连续性演练·bzxz.net
BCMS绩效评估
实施申请评审人员的能力要求,以确定审核组能力需求、选择审核组成员和确定审核时间6
BCM术语
组织环境
6.4业务连续性管理过程中的关系业务连续性管理体系审核及认证的知识附录A(资料性附录)
参考文献·
GB/T27021《合格评定
一第1部分,要求;
GB/T27021.62020/IS0/IECTS17021-6.2014前言
管理体系审核认证机构要求》分为以下7个部分一第2部分:环境管理体系审核认证能力要求:一第3部分:质量管理体系审核认证的能力要求:一第4部分:大型活动可持续性管理体系审核和认证能力要求;一第5部分:资产管理体系审核和认证能力要求;一第6部分:业务连续性管理体系审核认证能力要求;一第7部分·道路交通安全管理体系审核认证能力要求。本部分为GB/T27021的第6部分。本部分按照GB/T1.1一2009给出的规则起草。本部分使用翻译法等同采用ISO/IECTS17021-6:2014合格评定第6部分:业务连续性管理体系审核认证能力要求》。管理体系审核认证机构要求
与本部分中规范性引用的国际文件有一致性对应关系的我国文件如下:-GB/T27000合格评定词汇和通用原则(GB/T27000—2006.ISO/IEC17000:2004.IDT)-GB/T30146
公共安全业务连续性管理体系要求(GB/T30146—2013.ISO22301:2012.本部分由全国认证认可标准化技术委员会(SAC/TC261)提出并归口。请注意本文件的某些内容可能涉及专利,本文件的发布机构不承担识别这些专利的责任。本部分起草单位:中国网络安全审查技术与认证中心、中国合格评定国家认可中心、山东省标准化研究院、中国认证认可协会、东风咨询有限公司、上海安言信息技术有限公司、奇安信科技集团股份有限公司、广东互能信息科技有限公司、云天奔(北京)信息技术公司、广东康云科技有限公司、平安科技(深圳)有限公司。
本部分主要起草人:尤其、魏军、杨哲、王轶亮、王曙光、石磊、王茜、钱英杰、史吉建、鲍旭华、苏云凤、秦峰、张明状、金利杰、李家康。GB/T27021.6—2020/IS0/IECTS17021-6:2014引言
本部分是对ISO/IEC17021:2011的补充,特别是明确了ISO/IEC17021:2011附录A所述的认证过程涉及人员的能力要求。
ISO/IEC17021:2011的第4章的指导原则是本部分中要求的基础。认证机构对相关方(包括认证机构的客户和获得管理体系认证的组织的顾客)负有相应的责任,即确保被证实具备相应能力的审核员,才能实施业务连续性管理体系(BusinessContinuityManagementSystem;BCMS)审核。
BCMS认证人员需要具有ISO/IEC17021:2011所述的通用能力,也具有本部分所述的BCMS特定知识。
认证机构需要针对每个BCMS审核的范围识别审核组所需的特定能力。本部分中使用下列助动词:
“应”表示要求,
“宜”表示建议;
“可以”表示允许:
“能够”表示一种可能性或能力。ISO/IEC工作导则第2部分中对这些助动词做了更详细的说明。W
1范围
GB/T27021.62020/IS0/IECTS17021-6.2014合格评定
管理体系审核认证机构要求
第6部分:业务连续性管理体系
审核认证能力要求
GB/T27021的本部分对ISO/IEC17021:2011的现有要求进行了补充。本部分包含了对业务连续性管理体系(BCMS)认证过程中所涉及人员的特定能力要求。2规范性引用文件
下列文件对手本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。ISO/IEC170o0合格评定词汇和通用原则(Conformityassessment一Vocabularyandgeneralprinciples)
ISO/IEC17021:2011合格评定管理体系认证机构要求(Conformityassessment-Requirementsforbodies providing auditand certification of management systems)ISO22300公共安全术语(Societalsecurity一Terminology)ISO22301公共安全业务连续性管理体系要求(Societal security—Businesscontinuityman-agementsystem-Requirement)
3术语和定义
ISO22300、ISO22301、ISO/IEC17000和ISO/IEC17021.2011界定的术语和定义适用于本文件。
4通用能力要求
认证机构应对ISO/TEC17021:2011表A.1中的每一项认证职能定义能力要求,在定义这些能力要求时,认证机构应考ISO/IEC17021:2011中规定的所有要求,以及本部分第5章至第6章中规定的所有要求。
注1:附录A提供了对特定的认证职能所涉及人员能力要求的资料性摘要。注2:ISO19011提供了审核原则的信息。5BCMS审核员、复核审核报告人员和做出认证决定人员的能力要求5.1总则
所有BCMS审核员、复核审核报告人员和做出认证决定人员均应具备一定程度的能力,包括ISO/IEC17021:2011中所插述的道用能力.以及本部分5.25.11所描述的BCMS知识。1
GB/T27021.62020/IS0/IECTS17021-6:2014注1:审核组中的每位审核员不必具备同样的能力,然面审核组的整体能力需要足以实现审核目标。注2:尽管这些知识要求的基本要素都一样,但可以认识到对审核员、复核审核报告人员和做出认证决定人员而言,知识要求的详略程度可能不尽相同。这由各认证机构负责确定。5.2业务连续性管理(BCM)术语
审核组、复核审核报告人员和做出认证决定人员应具备BCM及风险的术语、定义和概念的知识。5.3组织环境
审核组、复核审核报告人员和做出认证决定人员应具备组织运行所处环境的知识。5.4适用法律法规和其他要求
审核组、复核审核报告人员和做出认证决定人员应具备相关知识,以确定组织是否识别并评价了适用法律和其他要求的符合性。
注1:行政规章和法规要求可以表述为法律要求,注2:其他要求可以包括自愿性的国家、国际和特定行业的协定,5.5
业务连续性管理过程中的关系
审核组、复核审核报告人员和做出认证决定人员应具备BCM各要素间相互关系的知识。业务影响分析和风险评估
审核组、复核审核报告人员和做出认证决定人员应具备业务影响分析(BIA)的知识,包括:一方法学和技术;
一对产品和服务交付活动的识别;一对时间推移产生的影响进行评估,识别何时会变为不可接受;一为重启设置优先级:
对依赖及支持资源的识别。
审核组、复核审核报告并做出认证决定的人员应具备风险评估和风险管理的知识,包括,一方法学和技术:
中断事件相关风险的识别、分析和评价;一现有控制措施的有效性;
一对适当的风险处置的识别。
5.7业务连续性策略
审核组、复核审核报告人员和做出认证决定人员应具备降低中断事件影响和可能性的策略和方法学方面的知识,包括:
策略制定:
一准备措施:
一替代策略的选择;
一连续性策略的成本收益分析:一和外部相关方的协调方法;
一事件响应:
一沟通:
一命令和控制:
一响应组织的协调;
一恢复和重建。
5.8事件管理
GB/T27021.62020/IS0/IECTS17021-6.2014审核组、复核审核报告人员和做出认证决定人员应具备事件管理措施的知识,以确定组织是否识别了对中断事件的适当响应,包括预警和沟通需求。审核组、复核审核报告人员和做出认证决定人员应具备相关知识以评价组织测试其事件管理能力的有效性。
业务连续性计划
审核组、复核审核报告人员和做出认证决定人员应具备业务连续性计划的知识,包业务连续性计划的建立、开发、维护、目的、格式、结构以及程序细节。5.10业务连续性演练
审核组、复核审核报告人员和做出认证决定人员应具备策划和执行业务连续性演练的知识,包括业务连续性演练的类型、过程、技巧以及评价组织满足其恢复优先级别与恢复目标的能力的准则。5.11BCMS绩效评估
审核组、复核审核报告人员和做出认证决定人员应具备BCMS绩效评价的知识,包括指标和绩效测量的知识,以确定组织的BCMS绩效是否实现其管理层确定的目的和目标。6实施申请评审人员的能力要求,以确定审核组能力需求、选择审核组成员和确定审核时间6.1总则
其他认证职能的小组或个人应具备的能力包括ISO/IEC17021:2011中描述的通用能力,以及本部分6.2和6.3描述的BCMS知识。6.2BCM术语
其他认证职能涉及的小组或个人应具备BCM术语的知识。6.3组织环境
其他认证职能涉及的小组或个人应具备组织运行所处环境的知识。6.4业务连续性管理过程中的关系其他认证职能涉及的小组或个人应具备BCM要素间相互关系的知识。3
GB/T27021.62020/IS0/IECTS17021-6:2014附录A
(资料性附录)
业务连续性管理体系审核及认证的知识表A.1提供了BCMS审核及认证所需知识的摘要,该表是资料性的,因为仅识别了特定认证功能所需的知识域。
每个认证职能的能力要求见本部分正文。表A1中,“V表示认证机构宜对知识的准则和程度进行确定。表A.1知识表
认证职能
业务连续性管理术语
组织环境
适用法律法规和其他要求
业务连续性管理过程中的关系
业务影响分析和风险评估
业务连续性和恢复策略
事件管理
业务连续性计划
业务连续性演练
BCMS绩效评价
实施申请评审以确定所需
的审核组能力、选择审核
组成员并确定审核时间
V(见6.2)
V(见6.3)
V(见6.4)
复核审核报告
并做出认证决定
(见5.2)
V(见5.3)
V(见5.4)
(见5.5)
(见5.6)
V(见5.7)
V(见5.8)
V(见5.9)
V(见5.10)
V(见5.11)
审核及领导审核组
V(见5.2)
V(见5.3)
V(见5.5)
(5.6)
V(见5.7)
V(见5.9)
V(见5.10)
V(见5.11)
审核组宜具有专业的知识和技能,或在必要时由技术专家补充。当审核由一个审核组实施时,宜由审核组整体具备所需的技能水平相应程度的必备技能,而不必要求组内每个成员具备这些技能。4
GB/T27021.6—2020/IS0/IECTS17021-6:2014参考文献
ISO19011 Guidelines for auditing managementsystemsISO22313
ISO22398
ISO31000
Societal security-Business continuity management system-GuidanceSocietal security-Guidelines for exercisesRisk management-Principles and guidelinesISOGuide73
IEC31010
Riskmanagement-Vocabulary
Risk management-Risk assessment techniques
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。