GB/T 25067-2020
基本信息
标准号: GB/T 25067-2020
中文名称:信息技术 安全技术 信息安全管理体系 审核和认证机构要求
标准类别:国家标准(GB)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
相关标签: 信息技术 安全 技术 信息安全 管理体系 认证 机构
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GB/T 25067-2020.Information technology-Security techniques-Requirements for bodies providing audit and certification of information security management systems.
1范围
GB/T 25067在GB/T 27021.1-2017和GB/T 22080-2016的基础上,对实施ISMS审核和认证的机构规定了要求并提供了指南。本标准的主要目的是为ISMS认证机构的认可提供支持。
任何提供ISMS认证的机构,需要在能力和可靠性方面证实其满足本标准中的要求。本标准中的指南提供了对这些要求的进一步解释。
注:本标准可以作为认可、同行评审或其他审核过程的准则性文件。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 22080-2016信息技术安全技术 信息安全管理体系 要 求(ISO/IEC 27001:2013,IDT) .
GB/T 27021.1-2017合格评定 管理体 系审核认证机构要求第 1部分:要求(ISO/IEC 17021-1:2015,IDT)
ISO/IEC 27000信息技术安全技术信息安全管理体系 概 述和词汇( Information technology一Security techniques- Information security management systems一Overview and vocabulary)
3术语和定义
GB/T 27021.1-2017和ISO/IEC 27000界定的以及下列术语和定义适用于本文件。
3.1
认证文件 certification document
表明客户的ISMS符合指定的ISMS标准及ISMS所要求的任何补充性文件的一类文件。
4原则
GB/T 27021.1-2017中第4章的原则适用。
1范围
GB/T 25067在GB/T 27021.1-2017和GB/T 22080-2016的基础上,对实施ISMS审核和认证的机构规定了要求并提供了指南。本标准的主要目的是为ISMS认证机构的认可提供支持。
任何提供ISMS认证的机构,需要在能力和可靠性方面证实其满足本标准中的要求。本标准中的指南提供了对这些要求的进一步解释。
注:本标准可以作为认可、同行评审或其他审核过程的准则性文件。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 22080-2016信息技术安全技术 信息安全管理体系 要 求(ISO/IEC 27001:2013,IDT) .
GB/T 27021.1-2017合格评定 管理体 系审核认证机构要求第 1部分:要求(ISO/IEC 17021-1:2015,IDT)
ISO/IEC 27000信息技术安全技术信息安全管理体系 概 述和词汇( Information technology一Security techniques- Information security management systems一Overview and vocabulary)
3术语和定义
GB/T 27021.1-2017和ISO/IEC 27000界定的以及下列术语和定义适用于本文件。
3.1
认证文件 certification document
表明客户的ISMS符合指定的ISMS标准及ISMS所要求的任何补充性文件的一类文件。
4原则
GB/T 27021.1-2017中第4章的原则适用。
标准图片预览
标准内容
ICS35.040
中华人民共和国国家标准
GB/T25067—2020/ISO/IEC27006:2015代替GB/T25067—2016
信息技术
安全技术
信息安全管理体系
审核和认证机构要求
Information technology-Security techniques-Requirements for bodies providingaudit and certification of information security management systems(ISO/IEC27006:2015.IDT)
2020-04-28发布
国家市场监督管理总局
国家标准化管理委员会
2020-11-01实施
规范性引用文件
术语和定义
通用要求
法律与合同事宜
公正性的管理
责任和财力
6结构要求
资源要求
人员能力
参与认证活动的人员
外部审核员和外部技术专家的使用人员记录
信息要求
公开信息
认证文件
认证的引用和标志的使用
认证机构与其客户间的信息交换过程要求
认证前的活动
策划审核
初次认证
实施审核
认证决定
保持认证
客户的记录
认证机构的管理体系要求
可选方式
GB/T25067—2020/IS0/IEC27006:2015M
GB/T25067—2020/IS0/IEC27006:201510.2方式A:通用的管理体系要求10.3方式B:与GB/T19001一致的管理体系要求附录A(资料性附录)ISMS审核与认证的知识与技能附录B(规范性附录)审核时间…附录C(资料性附录)审核时间计算方法….附录D(资料性附录)对已实现的GB/T22080—2016附录A的控制的评审指南…..附录NA(资料性附录)
参考文献
GB/T25067—2020与GB/T25067—2016的条款对照关系14
本标准按照GB/T1.1一2009给出的规则起草。GB/T25067—2020/IS0/IEC27006:2015本标准代替GB/T25067一2016《信息技术安全技术信息安全管理体系审核和认证机构要求》。与GB/T25067一2016相比,主要技术变化如下在规范性引用文件中,删除了ISO19011,新增了ISO/IEC27000(见第2章);一删除了术语“证书”认证机构”“标志”和“组织”(见2016年版的第3章);一基于GB/T27021.1一2017的附录A,细化了参与信息安全管理体系认证的各类人员的能力要求(见7.1.2);
遵从GB/T27021.1一2017的标准结构,调整了第9章过程要求的内容(见第9章,2016年版的第9章);
一审核时间计算由资料性附录调整为规范性附录(见附录B),并新增了审核时间计算示例(见附录C)。
本标准使用翻译法等同采用ISO/IEC27006:2015《信息技术安全技术信息安全管理体系审核和认证机构要求》。
与本标准中规范性引用的国际文件有一致性对应关系的我国文件如下:GB/T29246—2017信息技术安全技术信息安全管理体系概述和词汇(ISO/IEC27000:2016,IDT
本标准做了以下编辑性修改:
因ISO9000:2005已经废止,所以引言中管理体系的定义调整为参见GB/T19000—2016;一增加了资料性附录NA;
词汇“procedure”,在针对认证机构运作管理时翻译为\程序”[见7.1.2.4.1b)、9.1.3.2、9.1.5.1.2等」,在针对客户信息安全控制管理时翻译为“规程”[见7.1.2.1.4a)、9.2.2.2a)、9.3.1.2.1a)等.两者意思并无差异:
一由于附录A只在7.1.1中被引用,根据国家标准起草规定,将7.1.1的注调整为标准条文;一对表D.1中控制\A.13.1.3网络中的隔离”的“审核的评审指南”,更正了网段和网络隔离的示例。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:中国合格评定国家认可中心、中国电子技术标准化研究院、中国网络安全审查技术与认证中心、广州赛宝认证中心服务有限公司、华夏认证中心有限公司、国家认证认可监督管理委员会、山东省标准化研究院
本标准主要起草人:付志高、张强、黄俊梅、魏军、田刚、夏芳、张志国、尤其、方洁、王曙光、刘鑫。本标准所代替标准的历次版本发布情况为:GB/T25067—2010.GB/T25067—2016。m
GB/T25067—2020/IS0/IEC27006:2015引言
GB/T27021.1一2017为机构对组织的管理体系实施审核和认证建立了准则。如果这类机构按照GB/T22080一2016开展以信息安全管理体系(以下简称\ISMS\)审核和认证为目的活动,并准备依据GB/T27021.12017获得认可,对GB/T27021.1—2017补充一些要求和指南是必要的。本标准提供了这样的内容。
本标准正文遵循GB/T27021.1一2017的结构,针对ISMS审核和认证所增加的特定要求和指南,用字母“IS\加以标识。
本标准的主要目的是使得认可机构在应用其评审认证机构所依据的标准时能更有效地协调一致本标准中术语\管理体系”和\体系”可以互换使用。管理体系的定义见GB/T19000一2016。请不要将本标准中使用的管理体系与其他类型的系统混淆,例如,信息技术(以下简称\IT”)系统。V
1范围
GB/T25067—2020/IS0/IEC27006:2015信息技术安全技术信息安全管理体系审核和认证机构要求
本标准在GB/T27021.1一2017和GB/T22080一2016的基础上,对实施ISMS审核和认证的机构规定了要求并提供了指南。本标准的主要目的是为ISMS认证机构的认可提供支持任何提供ISMS认证的机构,需要在能力和可靠性方面证实其满足本标准中的要求。本标准中的指南提供了对这些要求的进一步解释。注:本标准可以作为认可、同行评审或其他审核过程的准则性文件。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T220802016信息技术安全技术信息安全管理体系要求(ISO/IEC27001:2013IDT)
GB/T27021.1—2017合格评定管理体系审核认证机构要求第1部分:要求(ISO/IEC17021-1:2015.IDT)
ISO/IEC27000信息技术安全技术信息安全管理体系概述和词汇(InformationtechnologySecuritytechniques-Information securitymanagement systems-Overviewandvocabulary)3术语和定义
GB/T27021.1一2017和ISO/IEC27000界定的以及下列术语和定义适用于本文件。3.1
certificationdocument
认证文件
表明客户的ISMS符合指定的ISMS标准及ISMS所要求的任何补充性文件的一类文件。4原则
GB/T27021.1一2017中第4章的原则适用。5通用要求
法律与合同事宜
GB/T27021.1—2017中5.1的要求适用。公正性的管理
GB/T27021.1一2017中5.2的要求适用。并且,以下要求和指南适用1www.bzxz.net
GB/T25067—2020/IS0/IEC27006:20155.2.1IS5.2利益冲突
认证机构可以从事以下工作,不会被视为咨询或具有潜在的利益冲突:a)安排培训课程并参与讲授。如果这些课程涉及信息安全管理有关的管理体系或审核时,认证机构应仅限于提供可公开获取的通用信息和建议,即认证机构不应针对具体公司提供那些违反下面b)要求的建议
b)根据请求,提供或发布认证机构对认证审核标准要求的解释性信息(见9.1.3.6)。c)
审核前活动,仅以确定认证审核是否就绪为自的,但是这些活动不应导致提供违反本条款的建议和意见。认证机构应能够证实这些活动不违反本条款的要求,且没有把这些活动作为减少最终认证审核时间的理由。
d)按照认可范围之外的标准或法规,实施第二方审核或第三方审核e)在认证审核和监督审核过程中的增值活动,例如在审核过程中,当改进机会明显时,识别改进机会但不推荐具体的解决方案
认证机构不应为客户寻求认证的ISMS提供内部信息安全评审。此外,认证机构应独立于提供ISMS内部审核的机构(包括任何个人)。5.3责任和财力
GB/T27021.1—2017中5.3的要求适用。6结构要求
GB/T27021.1一2017中第6章的要求适用。7资源要求
7.1人员能力
GB/T27021.1一2017中7.1的要求适用。并且,以下要求和指南适用7.1.1IS7.1.1总体考虑
7.1.1.1通用的能力要求
认证机构应确保其具备与所评估的客户ISMS有关的、最新的技术知识和法律法规知识认证机构应按照GB/T27021.1一2017的表A.1为每项认证职能确定能力要求。认证机构应考虑GB/T27021.1—2017规定的以及7.1.2和7.2.1中所规定的、与认证机构所确定的ISMS技术领域相关的所有要求。
附录A概括了特定认证职能的人员能力要求。7.1.2IS7.1.2能力准则的确定
7.1.2.1实施ISMS审核的能力要求7.1.2.1.1总体要求
认证机构应有验证审核组成员的背景经验、特定培训或情况说明的准则,以确保审核组至少具备:a)信息安全的知识;
b)与受审核的活动相关的技术知识;管理体系的知识;
审核原则的知识;
注:有关审核原则的进一步信息,参见ISO19011。e)ISMS监视、测量、分析和评价的知识。GB/T25067—2020/ISO/IEC27006:2015除了b)可以在作为审核组成员的审核员之间共享外,以上a)~e)适用于作为审核组成员的所有审核员。
审核组应有能力将客户ISMS中信息安全事件的迹象追溯到ISMS的相应要素。审核组应有关于上述知识项的适当工作经历且实际应用过这些知识项(这不意味着一个审核员需要具有信息安全所有领域的全面的经验,但审核组整体上应对被审核的领域具备足够的认识和经验)。7.1.2.1.2
2信息安全管理术语、原则、实践和技术审核组所有成员作为一个整体,应具有以下知识:a)ISMS特定文件的结构、层级和相互关系;b)
信息安全管理相关的工具、方法、技术及其应用:信息安全风险评估和风险管理;c)
ISMS适用的过程;
当前可能与信息安全相关的或可能面临信息安全问题的技术。每个审核员应满足a)、c)和d)。7.1.2.1.3
信息安全管理体系标准和规范性文件参与ISMS审核的审核员,应具有以下知识:a)GB/T22080—2016的所有要求;审核组所有成员作为一个整体,应具有以下知识:b)GB/T22081(如确定有必要,还可来源于特定行业标准)中的所有控制及其实现.这些控制分为以下类别:
1)信息安全策略;
信息安全组织;
3)人力资源安全;
资产管理;
访问控制,包括授权;
密码;
物理和环境安全;
运行安全,包括IT服务:
通信安全,包括网络安全管理和信息传输;系统获取、开发和维护;
供应商关系,包括外包服务;
信息安全事件管理;
业务连续性管理的信息安全方面,包括元余;符合性,包括信息安全评审
7.1.2.1.4业务管理实践
参与ISMS审核的审核员,应具有以下知识:3
GB/T25067—2020/IS0/IEC27006:2015行业的信息安全最佳实践和信息安全规程;a)
信息安全的策略和业务要求;
通用业务管理的概念、实践,以及方针、目标和结果之间的相互关系:c)
管理过程和相关的术语。
注:这些过程也包括人力资源管理、内部沟通、外部沟通和其他的相关支持过程。7.1.2.1.5
客户的业务领域
参与ISMS审核的审核员,应具有以下知识:特定的信息安全领域、地域和管辖范围的法律法规要求;a
注:具备法律法规要求的知识,不意味着要有深厚的法律背景。b)
与业务领域相关的信息安全风险;c)与客户业务领域相关的通用术语、过程和技术;d)相关业务领域的实践。
其中的a)可在审核组内共享。
7.1.2.1.6
客户的产品、过程和组织
审核组所有成员作为一个整体,应具有以下知识:a)
组织类型、规模、治理、结构、职能和关系对ISMS的开发与实施和认证活动的影响,包括外包b)广义上的复杂运营;
适用于产品或服务的法律法规要求。c)
领导ISMS审核组的能力要求
除了7.1.2.1中的要求以外,审核组组长还应满足以下要求,且应在有指导和监督的审核中予以证实:
具备管理认证审核过程和审核组的知识和技能;a
b)具备有效的口头和书面沟通能力7.1.2.3实施申请评审的能力要求信息安全管理体系标准和规范性文件7.1.2.3.1
实施申请评审以确定所需的审核组能力、选择审核组成员并确定审核时间的人员,应具备以下知识:
认证过程中所用的相关ISMS标准和其他规范性文件。7.1.2.3.2客户的业务领域
实施申请评审以确定所需的审核组能力、选择审核组成员并确定审核时间的人员,应具备以下知识:
a)与客户业务领域相关的通用术语、过程、技术和风险。7.1.2.3.3客户的产品、过程和组织实施申请评审以确定所需的审核组能力、选择审核组成员并确定审核时间的人员,应具备以下知识:
客户产品、过程、组织类型、规模、治理、结构、职能以及ISMS的开发与实施和认证活动之间的关系,包括外包的职能。
7.1.2.4复核审核报告并做出认证决定的能力要求7.1.2.4.1总则
GB/T250672020/ISO/1EC27006:2015复核审核报告并做出认证决定的人员应具备知识,使其能够验证认证范围的适宜性、范围的变更以及变更对审核有效性的影响,特别是识别接口与依赖关系的持续有效性和相应的风险。此外,复核审核报告并做出认证决定的人员应具备以下知识:a)通用的管理体系;
b)审核过程和程序;
c)审核原则、实践和技巧。
7.1.2.4.2信息安全管理术语、原则、实践和技术复核审核报告并做出认证决定的人员,应具备以下知识:7.1.2.1.2中a)、c)、d)所列条目;a):
b)与信息安全相关的法律法规要求7.1.2.4.3信息安全管理体系标准和规范性文件复核审核报告并做出认证决定的人员,应具备以下知识:a)认证过程中所用的相关ISMS标准和其他规范性文件。4客户的业务领域
7.1.2.4.4
复核审核报告并做出认证决定的人员,应具备以下知识:a)与相关业务领域实践有关的通用术语和风险5客户的产品、过程和组织
7.1.2.4.5
复核审核报告并做出认证决定的人员,应具备以下知识a)客户的产品、过程、组织类型、规模、治理、结构、职能和关系。7.2参与认证活动的人员
GB/T27021.1一2017中7.2的要求适用。并且,以下要求和指南适用7.2.1IS7.2证实审核员的知识和经验认证机构应通过以下方面来证实审核员具备知识和经验:a)获得承认的ISMS特定资格;
适用时,注册为审核员;
参加ISMS培训课程并获得相关的个人证书:c)
d)量
最新的持续专业发展记录;
由另一个ISMS审核员见证ISMS审核。7.2.1.1
选择审核员
除7.1.2.1之外,选择审核员的准则应确保每位审核员:a)具备相当于大学教育水平的专业教育或培训。b)在信息技术方面具备至少4年的全职实际工作经历,其中至少2年的工作经历来自与信息安GB/T25067—2020/IS0/IEC27006:2015全有关的职责或职能。
成功地完成至少5天的培训,培训范围包括ISMS审核和审核管理。c)
d)在被赋予审核员责任之前,已获得整个信息安全评估过程的经验。宜通过参与最少4次、总天数至少20天(其中最多5天可来自监督审核)的ISMS认证审核(包括再认证审核和监督审核)来获得这种经验。参与审核时,应包括评审文件与风险评估,评估实施情况和报告审核情况。
具备相关的且合乎时宜的经验。e)
通过持续的专业发展,保持当前在信息安全和审核方面的知识和技能是最新的。f)
技术专家应符合准则a)、b)和e)。7.2.1.2选择领导审核组的审核员除了7.1.2.2和7.2.1.1外,选择领导审核组的审核员的准则应确保该审核员:已经积极参与过至少3次ISMS审核的所有阶段。参与审核时,应包括初次的范围识别与策a)
划、评审文件与风险评估、评估实施情况和正式地报告审核情况。7.3外部审核员和外部技术专家的使用GB/T27021.1一2017中7.3的要求适用。并且,以下要求和指南适用7.3.1IS7.3使用外部审核员或外部技术专家作为审核组的一部分技术专家应在审核员的监督下进行工作。7.2.1.1列出了技术专家的最低要求。7.4人员记录
GB/T27021.1—2017中7.4的要求适用。7.5外包
GB/T27021.1—2017中7.5的要求适用。8信息要求
公开信息
GB/T27021.1—2017中8.1的要求适用。8.2认证文件
GB/T27021.1一2017中8.2的要求适用。并且,以下要求和指南适用。8.2.1IS8.2ISMS认证文件
认证文件应由负责此项职责的人员签署。认证文件应包括适用性声明的版本。注:如果适用性声明的变更没有改变认证范围中控制的覆盖范围,则不要求更新认证证书。认证文件也可以包括对所用的特定行业标准的标识8.3认证的引用和标志的使用
GB/T27021.1一2017中8.3的要求适用。6
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准
GB/T25067—2020/ISO/IEC27006:2015代替GB/T25067—2016
信息技术
安全技术
信息安全管理体系
审核和认证机构要求
Information technology-Security techniques-Requirements for bodies providingaudit and certification of information security management systems(ISO/IEC27006:2015.IDT)
2020-04-28发布
国家市场监督管理总局
国家标准化管理委员会
2020-11-01实施
规范性引用文件
术语和定义
通用要求
法律与合同事宜
公正性的管理
责任和财力
6结构要求
资源要求
人员能力
参与认证活动的人员
外部审核员和外部技术专家的使用人员记录
信息要求
公开信息
认证文件
认证的引用和标志的使用
认证机构与其客户间的信息交换过程要求
认证前的活动
策划审核
初次认证
实施审核
认证决定
保持认证
客户的记录
认证机构的管理体系要求
可选方式
GB/T25067—2020/IS0/IEC27006:2015M
GB/T25067—2020/IS0/IEC27006:201510.2方式A:通用的管理体系要求10.3方式B:与GB/T19001一致的管理体系要求附录A(资料性附录)ISMS审核与认证的知识与技能附录B(规范性附录)审核时间…附录C(资料性附录)审核时间计算方法….附录D(资料性附录)对已实现的GB/T22080—2016附录A的控制的评审指南…..附录NA(资料性附录)
参考文献
GB/T25067—2020与GB/T25067—2016的条款对照关系14
本标准按照GB/T1.1一2009给出的规则起草。GB/T25067—2020/IS0/IEC27006:2015本标准代替GB/T25067一2016《信息技术安全技术信息安全管理体系审核和认证机构要求》。与GB/T25067一2016相比,主要技术变化如下在规范性引用文件中,删除了ISO19011,新增了ISO/IEC27000(见第2章);一删除了术语“证书”认证机构”“标志”和“组织”(见2016年版的第3章);一基于GB/T27021.1一2017的附录A,细化了参与信息安全管理体系认证的各类人员的能力要求(见7.1.2);
遵从GB/T27021.1一2017的标准结构,调整了第9章过程要求的内容(见第9章,2016年版的第9章);
一审核时间计算由资料性附录调整为规范性附录(见附录B),并新增了审核时间计算示例(见附录C)。
本标准使用翻译法等同采用ISO/IEC27006:2015《信息技术安全技术信息安全管理体系审核和认证机构要求》。
与本标准中规范性引用的国际文件有一致性对应关系的我国文件如下:GB/T29246—2017信息技术安全技术信息安全管理体系概述和词汇(ISO/IEC27000:2016,IDT
本标准做了以下编辑性修改:
因ISO9000:2005已经废止,所以引言中管理体系的定义调整为参见GB/T19000—2016;一增加了资料性附录NA;
词汇“procedure”,在针对认证机构运作管理时翻译为\程序”[见7.1.2.4.1b)、9.1.3.2、9.1.5.1.2等」,在针对客户信息安全控制管理时翻译为“规程”[见7.1.2.1.4a)、9.2.2.2a)、9.3.1.2.1a)等.两者意思并无差异:
一由于附录A只在7.1.1中被引用,根据国家标准起草规定,将7.1.1的注调整为标准条文;一对表D.1中控制\A.13.1.3网络中的隔离”的“审核的评审指南”,更正了网段和网络隔离的示例。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:中国合格评定国家认可中心、中国电子技术标准化研究院、中国网络安全审查技术与认证中心、广州赛宝认证中心服务有限公司、华夏认证中心有限公司、国家认证认可监督管理委员会、山东省标准化研究院
本标准主要起草人:付志高、张强、黄俊梅、魏军、田刚、夏芳、张志国、尤其、方洁、王曙光、刘鑫。本标准所代替标准的历次版本发布情况为:GB/T25067—2010.GB/T25067—2016。m
GB/T25067—2020/IS0/IEC27006:2015引言
GB/T27021.1一2017为机构对组织的管理体系实施审核和认证建立了准则。如果这类机构按照GB/T22080一2016开展以信息安全管理体系(以下简称\ISMS\)审核和认证为目的活动,并准备依据GB/T27021.12017获得认可,对GB/T27021.1—2017补充一些要求和指南是必要的。本标准提供了这样的内容。
本标准正文遵循GB/T27021.1一2017的结构,针对ISMS审核和认证所增加的特定要求和指南,用字母“IS\加以标识。
本标准的主要目的是使得认可机构在应用其评审认证机构所依据的标准时能更有效地协调一致本标准中术语\管理体系”和\体系”可以互换使用。管理体系的定义见GB/T19000一2016。请不要将本标准中使用的管理体系与其他类型的系统混淆,例如,信息技术(以下简称\IT”)系统。V
1范围
GB/T25067—2020/IS0/IEC27006:2015信息技术安全技术信息安全管理体系审核和认证机构要求
本标准在GB/T27021.1一2017和GB/T22080一2016的基础上,对实施ISMS审核和认证的机构规定了要求并提供了指南。本标准的主要目的是为ISMS认证机构的认可提供支持任何提供ISMS认证的机构,需要在能力和可靠性方面证实其满足本标准中的要求。本标准中的指南提供了对这些要求的进一步解释。注:本标准可以作为认可、同行评审或其他审核过程的准则性文件。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T220802016信息技术安全技术信息安全管理体系要求(ISO/IEC27001:2013IDT)
GB/T27021.1—2017合格评定管理体系审核认证机构要求第1部分:要求(ISO/IEC17021-1:2015.IDT)
ISO/IEC27000信息技术安全技术信息安全管理体系概述和词汇(InformationtechnologySecuritytechniques-Information securitymanagement systems-Overviewandvocabulary)3术语和定义
GB/T27021.1一2017和ISO/IEC27000界定的以及下列术语和定义适用于本文件。3.1
certificationdocument
认证文件
表明客户的ISMS符合指定的ISMS标准及ISMS所要求的任何补充性文件的一类文件。4原则
GB/T27021.1一2017中第4章的原则适用。5通用要求
法律与合同事宜
GB/T27021.1—2017中5.1的要求适用。公正性的管理
GB/T27021.1一2017中5.2的要求适用。并且,以下要求和指南适用1www.bzxz.net
GB/T25067—2020/IS0/IEC27006:20155.2.1IS5.2利益冲突
认证机构可以从事以下工作,不会被视为咨询或具有潜在的利益冲突:a)安排培训课程并参与讲授。如果这些课程涉及信息安全管理有关的管理体系或审核时,认证机构应仅限于提供可公开获取的通用信息和建议,即认证机构不应针对具体公司提供那些违反下面b)要求的建议
b)根据请求,提供或发布认证机构对认证审核标准要求的解释性信息(见9.1.3.6)。c)
审核前活动,仅以确定认证审核是否就绪为自的,但是这些活动不应导致提供违反本条款的建议和意见。认证机构应能够证实这些活动不违反本条款的要求,且没有把这些活动作为减少最终认证审核时间的理由。
d)按照认可范围之外的标准或法规,实施第二方审核或第三方审核e)在认证审核和监督审核过程中的增值活动,例如在审核过程中,当改进机会明显时,识别改进机会但不推荐具体的解决方案
认证机构不应为客户寻求认证的ISMS提供内部信息安全评审。此外,认证机构应独立于提供ISMS内部审核的机构(包括任何个人)。5.3责任和财力
GB/T27021.1—2017中5.3的要求适用。6结构要求
GB/T27021.1一2017中第6章的要求适用。7资源要求
7.1人员能力
GB/T27021.1一2017中7.1的要求适用。并且,以下要求和指南适用7.1.1IS7.1.1总体考虑
7.1.1.1通用的能力要求
认证机构应确保其具备与所评估的客户ISMS有关的、最新的技术知识和法律法规知识认证机构应按照GB/T27021.1一2017的表A.1为每项认证职能确定能力要求。认证机构应考虑GB/T27021.1—2017规定的以及7.1.2和7.2.1中所规定的、与认证机构所确定的ISMS技术领域相关的所有要求。
附录A概括了特定认证职能的人员能力要求。7.1.2IS7.1.2能力准则的确定
7.1.2.1实施ISMS审核的能力要求7.1.2.1.1总体要求
认证机构应有验证审核组成员的背景经验、特定培训或情况说明的准则,以确保审核组至少具备:a)信息安全的知识;
b)与受审核的活动相关的技术知识;管理体系的知识;
审核原则的知识;
注:有关审核原则的进一步信息,参见ISO19011。e)ISMS监视、测量、分析和评价的知识。GB/T25067—2020/ISO/IEC27006:2015除了b)可以在作为审核组成员的审核员之间共享外,以上a)~e)适用于作为审核组成员的所有审核员。
审核组应有能力将客户ISMS中信息安全事件的迹象追溯到ISMS的相应要素。审核组应有关于上述知识项的适当工作经历且实际应用过这些知识项(这不意味着一个审核员需要具有信息安全所有领域的全面的经验,但审核组整体上应对被审核的领域具备足够的认识和经验)。7.1.2.1.2
2信息安全管理术语、原则、实践和技术审核组所有成员作为一个整体,应具有以下知识:a)ISMS特定文件的结构、层级和相互关系;b)
信息安全管理相关的工具、方法、技术及其应用:信息安全风险评估和风险管理;c)
ISMS适用的过程;
当前可能与信息安全相关的或可能面临信息安全问题的技术。每个审核员应满足a)、c)和d)。7.1.2.1.3
信息安全管理体系标准和规范性文件参与ISMS审核的审核员,应具有以下知识:a)GB/T22080—2016的所有要求;审核组所有成员作为一个整体,应具有以下知识:b)GB/T22081(如确定有必要,还可来源于特定行业标准)中的所有控制及其实现.这些控制分为以下类别:
1)信息安全策略;
信息安全组织;
3)人力资源安全;
资产管理;
访问控制,包括授权;
密码;
物理和环境安全;
运行安全,包括IT服务:
通信安全,包括网络安全管理和信息传输;系统获取、开发和维护;
供应商关系,包括外包服务;
信息安全事件管理;
业务连续性管理的信息安全方面,包括元余;符合性,包括信息安全评审
7.1.2.1.4业务管理实践
参与ISMS审核的审核员,应具有以下知识:3
GB/T25067—2020/IS0/IEC27006:2015行业的信息安全最佳实践和信息安全规程;a)
信息安全的策略和业务要求;
通用业务管理的概念、实践,以及方针、目标和结果之间的相互关系:c)
管理过程和相关的术语。
注:这些过程也包括人力资源管理、内部沟通、外部沟通和其他的相关支持过程。7.1.2.1.5
客户的业务领域
参与ISMS审核的审核员,应具有以下知识:特定的信息安全领域、地域和管辖范围的法律法规要求;a
注:具备法律法规要求的知识,不意味着要有深厚的法律背景。b)
与业务领域相关的信息安全风险;c)与客户业务领域相关的通用术语、过程和技术;d)相关业务领域的实践。
其中的a)可在审核组内共享。
7.1.2.1.6
客户的产品、过程和组织
审核组所有成员作为一个整体,应具有以下知识:a)
组织类型、规模、治理、结构、职能和关系对ISMS的开发与实施和认证活动的影响,包括外包b)广义上的复杂运营;
适用于产品或服务的法律法规要求。c)
领导ISMS审核组的能力要求
除了7.1.2.1中的要求以外,审核组组长还应满足以下要求,且应在有指导和监督的审核中予以证实:
具备管理认证审核过程和审核组的知识和技能;a
b)具备有效的口头和书面沟通能力7.1.2.3实施申请评审的能力要求信息安全管理体系标准和规范性文件7.1.2.3.1
实施申请评审以确定所需的审核组能力、选择审核组成员并确定审核时间的人员,应具备以下知识:
认证过程中所用的相关ISMS标准和其他规范性文件。7.1.2.3.2客户的业务领域
实施申请评审以确定所需的审核组能力、选择审核组成员并确定审核时间的人员,应具备以下知识:
a)与客户业务领域相关的通用术语、过程、技术和风险。7.1.2.3.3客户的产品、过程和组织实施申请评审以确定所需的审核组能力、选择审核组成员并确定审核时间的人员,应具备以下知识:
客户产品、过程、组织类型、规模、治理、结构、职能以及ISMS的开发与实施和认证活动之间的关系,包括外包的职能。
7.1.2.4复核审核报告并做出认证决定的能力要求7.1.2.4.1总则
GB/T250672020/ISO/1EC27006:2015复核审核报告并做出认证决定的人员应具备知识,使其能够验证认证范围的适宜性、范围的变更以及变更对审核有效性的影响,特别是识别接口与依赖关系的持续有效性和相应的风险。此外,复核审核报告并做出认证决定的人员应具备以下知识:a)通用的管理体系;
b)审核过程和程序;
c)审核原则、实践和技巧。
7.1.2.4.2信息安全管理术语、原则、实践和技术复核审核报告并做出认证决定的人员,应具备以下知识:7.1.2.1.2中a)、c)、d)所列条目;a):
b)与信息安全相关的法律法规要求7.1.2.4.3信息安全管理体系标准和规范性文件复核审核报告并做出认证决定的人员,应具备以下知识:a)认证过程中所用的相关ISMS标准和其他规范性文件。4客户的业务领域
7.1.2.4.4
复核审核报告并做出认证决定的人员,应具备以下知识:a)与相关业务领域实践有关的通用术语和风险5客户的产品、过程和组织
7.1.2.4.5
复核审核报告并做出认证决定的人员,应具备以下知识a)客户的产品、过程、组织类型、规模、治理、结构、职能和关系。7.2参与认证活动的人员
GB/T27021.1一2017中7.2的要求适用。并且,以下要求和指南适用7.2.1IS7.2证实审核员的知识和经验认证机构应通过以下方面来证实审核员具备知识和经验:a)获得承认的ISMS特定资格;
适用时,注册为审核员;
参加ISMS培训课程并获得相关的个人证书:c)
d)量
最新的持续专业发展记录;
由另一个ISMS审核员见证ISMS审核。7.2.1.1
选择审核员
除7.1.2.1之外,选择审核员的准则应确保每位审核员:a)具备相当于大学教育水平的专业教育或培训。b)在信息技术方面具备至少4年的全职实际工作经历,其中至少2年的工作经历来自与信息安GB/T25067—2020/IS0/IEC27006:2015全有关的职责或职能。
成功地完成至少5天的培训,培训范围包括ISMS审核和审核管理。c)
d)在被赋予审核员责任之前,已获得整个信息安全评估过程的经验。宜通过参与最少4次、总天数至少20天(其中最多5天可来自监督审核)的ISMS认证审核(包括再认证审核和监督审核)来获得这种经验。参与审核时,应包括评审文件与风险评估,评估实施情况和报告审核情况。
具备相关的且合乎时宜的经验。e)
通过持续的专业发展,保持当前在信息安全和审核方面的知识和技能是最新的。f)
技术专家应符合准则a)、b)和e)。7.2.1.2选择领导审核组的审核员除了7.1.2.2和7.2.1.1外,选择领导审核组的审核员的准则应确保该审核员:已经积极参与过至少3次ISMS审核的所有阶段。参与审核时,应包括初次的范围识别与策a)
划、评审文件与风险评估、评估实施情况和正式地报告审核情况。7.3外部审核员和外部技术专家的使用GB/T27021.1一2017中7.3的要求适用。并且,以下要求和指南适用7.3.1IS7.3使用外部审核员或外部技术专家作为审核组的一部分技术专家应在审核员的监督下进行工作。7.2.1.1列出了技术专家的最低要求。7.4人员记录
GB/T27021.1—2017中7.4的要求适用。7.5外包
GB/T27021.1—2017中7.5的要求适用。8信息要求
公开信息
GB/T27021.1—2017中8.1的要求适用。8.2认证文件
GB/T27021.1一2017中8.2的要求适用。并且,以下要求和指南适用。8.2.1IS8.2ISMS认证文件
认证文件应由负责此项职责的人员签署。认证文件应包括适用性声明的版本。注:如果适用性声明的变更没有改变认证范围中控制的覆盖范围,则不要求更新认证证书。认证文件也可以包括对所用的特定行业标准的标识8.3认证的引用和标志的使用
GB/T27021.1一2017中8.3的要求适用。6
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。