GB∕T 25067-2020∕ ISO∕ IEC 27006:2015(代替GB∕T 25067-2016) 信息技术 安全技术 信息安全管理体系审核和认证机构要求.pdf
《GB∕T 25067-2020∕ ISO∕ IEC 27006:2015(代替GB∕T 25067-2016) 信息技术 安全技术 信息安全管理体系审核和认证机构要求.pdf》由会员分享,可在线阅读,更多相关《GB∕T 25067-2020∕ ISO∕ IEC 27006:2015(代替GB∕T 25067-2016) 信息技术 安全技术 信息安全管理体系审核和认证机构要求.pdf(42页珍藏版)》请在咨信网上搜索。
1、I C S3 5.0 4 0L8 0中 华 人 民 共 和 国 国 家 标 准G B/T2 5 0 6 72 0 2 0/I S O/I E C2 7 0 0 6:2 0 1 5代替G B/T2 5 0 6 72 0 1 6信息技术 安全技术 信息安全管理体系审核和认证机构要求I n f o r m a t i o n t e c h n o l o g yS e c u r i t y t e c h n i q u e sR e q u i r e m e n t s f o rb o d i e sp r o v i d i n ga u d i t a n dc e r t i f i
2、 c a t i o no f i n f o r m a t i o ns e c u r i t ym a n a g e m e n t s y s t e m s(I S O/I E C2 7 0 0 6:2 0 1 5,I D T)2 0 2 0 - 0 4 - 2 8发布2 0 2 0 - 1 1 - 0 1实施国 家 市 场 监 督 管 理 总 局国 家 标 准 化 管 理 委 员 会发 布目 次前言引言1 范围12 规范性引用文件13 术语和定义14 原则15 通用要求1 5.1 法律与合同事宜1 5.2 公正性的管理1 5.3 责任和财力26 结构要求27 资源要求2 7.1
3、 人员能力2 7.2 参与认证活动的人员5 7.3 外部审核员和外部技术专家的使用6 7.4 人员记录6 7.5 外包68 信息要求6 8.1 公开信息6 8.2 认证文件6 8.3 认证的引用和标志的使用6 8.4 保密7 8.5 认证机构与其客户间的信息交换79 过程要求7 9.1 认证前的活动7 9.2 策划审核9 9.3 初次认证1 0 9.4 实施审核1 1 9.5 认证决定1 2 9.6 保持认证1 2 9.7 申诉1 3 9.8 投诉1 3 9.9 客户的记录1 31 0 认证机构的管理体系要求1 4 1 0.1 可选方式1 4G B/T2 5 0 6 72 0 2 0/I S
4、O/I E C2 7 0 0 6:2 0 1 5 1 0.2 方式A: 通用的管理体系要求1 4 1 0.3 方式B: 与G B/T1 9 0 0 1一致的管理体系要求1 4附录A( 资料性附录) I S M S审核与认证的知识与技能1 5附录B( 规范性附录) 审核时间1 7附录C( 资料性附录) 审核时间计算方法2 1附录D( 资料性附录) 对已实现的G B/T2 2 0 8 02 0 1 6附录A的控制的评审指南2 5附录NA( 资料性附录) G B/T2 5 0 6 72 0 2 0与G B/T2 5 0 6 72 0 1 6的条款对照关系3 2参考文献3 6G B/T2 5 0 6
5、72 0 2 0/I S O/I E C2 7 0 0 6:2 0 1 5前 言 本标准按照G B/T1.12 0 0 9给出的规则起草。本标准代替G B/T2 5 0 6 72 0 1 6 信息技术 安全技术 信息安全管理体系审核和认证机构要求 。与G B/T2 5 0 6 72 0 1 6相比, 主要技术变化如下: 在规范性引用文件中, 删除了I S O1 9 0 1 1, 新增了I S O/I E C2 7 0 0 0( 见第2章) ; 删除了术语“ 证书” “ 认证机构” “ 标志” 和“ 组织” ( 见2 0 1 6年版的第3章) ; 基于G B/T2 7 0 2 1.12 0 1
6、7的附录A, 细化了参与信息安全管理体系认证的各类人员的能力要求( 见7.1.2) ; 遵从G B/T2 7 0 2 1.12 0 1 7的标准结构, 调整了第9章过程要求的内容( 见第9章,2 0 1 6年版的第9章) ; 审核时间计算由资料性附录调整为规范性附录( 见附录B) , 并新增了审核时间计算示例( 见附录C) 。 本标准使用翻译法等同采用I S O/I E C2 7 0 0 6:2 0 1 5 信息技术 安全技术 信息安全管理体系审核和认证机构要求 。与本标准中规范性引用的国际文件有一致性对应关系的我国文件如下: G B/T2 9 2 4 62 0 1 7 信息技术 安全技术 信
7、息安全管理体系 概述和词汇(I S O/I E C2 7 0 0 0:2 0 1 6,I D T)本标准做了以下编辑性修改: 因I S O9 0 0 0:2 0 0 5已经废止, 所以引言中管理体系的定义调整为参见G B/T1 9 0 0 02 0 1 6; 增加了资料性附录NA; 词汇“p r o c e d u r e” , 在针对认证机构运作管理时翻译为“ 程序” 见7 .1 .2 .4 .1b) 、9 .1 .3 .2、9 .1 .5 .1 .2等 , 在针对客户信息安全控制管理时翻译为“ 规程” 见7.1.2.1.4a) 、9.2.2.2a) 、9.3.1.2.1a)等 , 两者意思
8、并无差异; 由于附录A只在7.1.1中被引用, 根据国家标准起草规定, 将7.1.1的注调整为标准条文; 对表D.1中控制“A.1 3.1.3网络中的隔离” 的“ 审核的评审指南” , 更正了网段和网络隔离的示例。本标准由全国信息安全标准化技术委员会(S A C/T C2 6 0) 提出并归口。本标准起草单位: 中国合格评定国家认可中心、 中国电子技术标准化研究院、 中国网络安全审查技术与认证中心、 广州赛宝认证中心服务有限公司、 华夏认证中心有限公司、 国家认证认可监督管理委员会、 山东省标准化研究院。本标准主要起草人: 付志高、 张强、 黄俊梅、 魏军、 田刚、 夏芳、 张志国、 尤其、
9、方洁、 王曙光、 刘鑫。本标准所代替标准的历次版本发布情况为: G B/T2 5 0 6 72 0 1 0、G B/T2 5 0 6 72 0 1 6。G B/T2 5 0 6 72 0 2 0/I S O/I E C2 7 0 0 6:2 0 1 5引 言 G B/T2 7 0 2 1.12 0 1 7为机构对组织的管理体系实施审核和认证建立了准则。如果这类机构按照G B/T2 2 0 8 02 0 1 6开展以信息安全管理体系( 以下简称“I S M S” ) 审核和认证为目的活动, 并准备依据G B/T2 7 0 2 1.12 0 1 7获得认可, 对G B/T2 7 0 2 1.12
10、0 1 7补充一些要求和指南是必要的。本标准提供了这样的内容。本标准正文遵循G B/T2 7 0 2 1.12 0 1 7的结构, 针对I S M S审核和认证所增加的特定要求和指南,用字母“I S” 加以标识。本标准的主要目的是使得认可机构在应用其评审认证机构所依据的标准时能更有效地协调一致。本标准中术语“ 管理体系” 和“ 体系” 可以互换使用。管理体系的定义见G B/T1 9 0 0 02 0 1 6。请不要将本标准中使用的管理体系与其他类型的系统混淆, 例如, 信息技术( 以下简称“I T” ) 系统。G B/T2 5 0 6 72 0 2 0/I S O/I E C2 7 0 0 6
11、:2 0 1 5信息技术 安全技术 信息安全管理体系审核和认证机构要求1 范围本标准在G B/T2 7 0 2 1.12 0 1 7和G B/T2 2 0 8 02 0 1 6的基础上, 对实施I S M S审核和认证的机构规定了要求并提供了指南。本标准的主要目的是为I S M S认证机构的认可提供支持。任何提供I S M S认证的机构, 需要在能力和可靠性方面证实其满足本标准中的要求。本标准中的指南提供了对这些要求的进一步解释。注:本标准可以作为认可、 同行评审或其他审核过程的准则性文件。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件, 仅注日期的版本适用于本文
12、件。凡是不注日期的引用文件, 其最新版本( 包括所有的修改单) 适用于本文件。G B/T2 2 0 8 02 0 1 6 信息技术 安全技术 信息安全管理体系 要求(I S O/I E C2 7 0 0 1:2 0 1 3,I D T)G B/T2 7 0 2 1.12 0 1 7 合格评定 管理体系审核认证机构要求 第1部分: 要求(I S O/I E C1 7 0 2 1 - 1:2 0 1 5,I D T)I S O/I E C2 7 0 0 0 信息技术 安全技术 信息安全管理体系 概述和词汇(I n f o r m a t i o nt e c h n o l o -g yS e c
13、 u r i t yt e c h n i q u e sI n f o r m a t i o ns e c u r i t ym a n a g e m e n t s y s t e m sO v e r v i e wa n dv o c a b u l a r y)3 术语和定义G B/T2 7 0 2 1.12 0 1 7和I S O/I E C2 7 0 0 0界定的以及下列术语和定义适用于本文件。3.1认证文件 c e r t i f i c a t i o nd o c u m e n t表明客户的I S M S符合指定的I S M S标准及I S M S所要求的任何补充性文
14、件的一类文件。4 原则G B/T2 7 0 2 1.12 0 1 7中第4章的原则适用。5 通用要求5.1 法律与合同事宜G B/T2 7 0 2 1.12 0 1 7中5.1的要求适用。5.2 公正性的管理G B/T2 7 0 2 1.12 0 1 7中5.2的要求适用。并且, 以下要求和指南适用。1G B/T2 5 0 6 72 0 2 0/I S O/I E C2 7 0 0 6:2 0 1 55.2.1 I S5.2利益冲突认证机构可以从事以下工作, 不会被视为咨询或具有潜在的利益冲突:a) 安排培训课程并参与讲授。如果这些课程涉及信息安全管理、 有关的管理体系或审核时, 认证机构应仅
15、限于提供可公开获取的通用信息和建议, 即认证机构不应针对具体公司提供那些违反下面b) 要求的建议。b) 根据请求, 提供或发布认证机构对认证审核标准要求的解释性信息( 见9.1.3.6) 。c) 审核前活动, 仅以确定认证审核是否就绪为目的, 但是这些活动不应导致提供违反本条款的建议和意见。认证机构应能够证实这些活动不违反本条款的要求, 且没有把这些活动作为减少最终认证审核时间的理由。d) 按照认可范围之外的标准或法规, 实施第二方审核或第三方审核。e) 在认证审核和监督审核过程中的增值活动, 例如在审核过程中, 当改进机会明显时, 识别改进机会但不推荐具体的解决方案。认证机构不应为客户寻求认
16、证的I S M S提供内部信息安全评审。此外, 认证机构应独立于提供I S M S内部审核的机构( 包括任何个人) 。5.3 责任和财力G B/T2 7 0 2 1.12 0 1 7中5.3的要求适用。6 结构要求G B/T2 7 0 2 1.12 0 1 7中第6章的要求适用。7 资源要求7.1 人员能力G B/T2 7 0 2 1.12 0 1 7中7.1的要求适用。并且, 以下要求和指南适用。7.1.1 I S7.1.1总体考虑7.1.1.1 通用的能力要求认证机构应确保其具备与所评估的客户I S M S有关的、 最新的技术知识和法律法规知识。认证机构应按照G B/T2 7 0 2 1.
17、12 0 1 7的表A.1为每项认证职能确定能力要求。认证机构应考虑G B/T2 7 0 2 1.12 0 1 7规定的以及7.1.2和7.2.1中所规定的、 与认证机构所确定的I S M S技术领域相关的所有要求。附录A概括了特定认证职能的人员能力要求。7.1.2 I S7.1.2能力准则的确定7.1.2.1 实施I S M S审核的能力要求7.1.2.1.1 总体要求认证机构应有验证审核组成员的背景经验、 特定培训或情况说明的准则, 以确保审核组至少具备:a) 信息安全的知识;2G B/T2 5 0 6 72 0 2 0/I S O/I E C2 7 0 0 6:2 0 1 5b) 与受审
18、核的活动相关的技术知识;c) 管理体系的知识;d) 审核原则的知识;注:有关审核原则的进一步信息, 参见I S O1 9 0 1 1。e) I S M S监视、 测量、 分析和评价的知识。除了b) 可以在作为审核组成员的审核员之间共享外, 以上a)e) 适用于作为审核组成员的所有审核员。审核组应有能力将客户I S M S中信息安全事件的迹象追溯到I S M S的相应要素。审核组应有关于上述知识项的适当工作经历且实际应用过这些知识项( 这不意味着一个审核员需要具有信息安全所有领域的全面的经验, 但审核组整体上应对被审核的领域具备足够的认识和经验) 。7.1.2.1.2 信息安全管理术语、 原则、
19、 实践和技术审核组所有成员作为一个整体, 应具有以下知识:a) I S M S特定文件的结构、 层级和相互关系;b) 信息安全管理相关的工具、 方法、 技术及其应用;c) 信息安全风险评估和风险管理;d) I S M S适用的过程;e) 当前可能与信息安全相关的或可能面临信息安全问题的技术。每个审核员应满足a) 、c) 和d) 。7.1.2.1.3 信息安全管理体系标准和规范性文件参与I S M S审核的审核员, 应具有以下知识:a) G B/T2 2 0 8 02 0 1 6的所有要求;审核组所有成员作为一个整体, 应具有以下知识:b) G B/T2 2 0 8 1( 如确定有必要, 还可来
20、源于特定行业标准) 中的所有控制及其实现, 这些控制分为以下类别:1) 信息安全策略;2) 信息安全组织;3) 人力资源安全;4) 资产管理;5) 访问控制, 包括授权;6) 密码;7) 物理和环境安全;8) 运行安全, 包括I T服务;9) 通信安全, 包括网络安全管理和信息传输;1 0) 系统获取、 开发和维护;1 1) 供应商关系, 包括外包服务;1 2) 信息安全事件管理;1 3) 业务连续性管理的信息安全方面, 包括冗余;1 4) 符合性, 包括信息安全评审。7.1.2.1.4 业务管理实践参与I S M S审核的审核员, 应具有以下知识:3G B/T2 5 0 6 72 0 2 0
21、/I S O/I E C2 7 0 0 6:2 0 1 5a) 行业的信息安全最佳实践和信息安全规程;b) 信息安全的策略和业务要求;c) 通用业务管理的概念、 实践, 以及方针、 目标和结果之间的相互关系;d) 管理过程和相关的术语。注:这些过程也包括人力资源管理、 内部沟通、 外部沟通和其他的相关支持过程。7.1.2.1.5 客户的业务领域参与I S M S审核的审核员, 应具有以下知识:a) 特定的信息安全领域、 地域和管辖范围的法律法规要求;注:具备法律法规要求的知识, 不意味着要有深厚的法律背景。b) 与业务领域相关的信息安全风险;c) 与客户业务领域相关的通用术语、 过程和技术;d
22、) 相关业务领域的实践。其中的a) 可在审核组内共享。7.1.2.1.6 客户的产品、 过程和组织审核组所有成员作为一个整体, 应具有以下知识:a) 组织类型、 规模、 治理、 结构、 职能和关系对I S M S的开发与实施和认证活动的影响, 包括外包;b) 广义上的复杂运营;c) 适用于产品或服务的法律法规要求。7.1.2.2 领导I S M S审核组的能力要求除了7.1.2.1中的要求以外, 审核组组长还应满足以下要求, 且应在有指导和监督的审核中予以证实:a) 具备管理认证审核过程和审核组的知识和技能;b) 具备有效的口头和书面沟通能力。7.1.2.3 实施申请评审的能力要求7.1.2.
23、3.1 信息安全管理体系标准和规范性文件实施申请评审以确定所需的审核组能力、 选择审核组成员并确定审核时间的人员, 应具备以下知识:a) 认证过程中所用的相关I S M S标准和其他规范性文件。7.1.2.3.2 客户的业务领域实施申请评审以确定所需的审核组能力、 选择审核组成员并确定审核时间的人员, 应具备以下知识:a) 与客户业务领域相关的通用术语、 过程、 技术和风险。7.1.2.3.3 客户的产品、 过程和组织实施申请评审以确定所需的审核组能力、 选择审核组成员并确定审核时间的人员, 应具备以下知识:a) 客户产品、 过程、 组织类型、 规模、 治理、 结构、 职能以及I S M S的
24、开发与实施和认证活动之间的关系, 包括外包的职能。4G B/T2 5 0 6 72 0 2 0/I S O/I E C2 7 0 0 6:2 0 1 57.1.2.4 复核审核报告并做出认证决定的能力要求7.1.2.4.1 总则复核审核报告并做出认证决定的人员应具备知识, 使其能够验证认证范围的适宜性、 范围的变更以及变更对审核有效性的影响, 特别是识别接口与依赖关系的持续有效性和相应的风险。此外, 复核审核报告并做出认证决定的人员应具备以下知识:a) 通用的管理体系;b) 审核过程和程序;c) 审核原则、 实践和技巧。7.1.2.4.2 信息安全管理术语、 原则、 实践和技术复核审核报告并做
25、出认证决定的人员, 应具备以下知识:a) 7.1.2.1.2中a) 、c) 、d) 所列条目;b) 与信息安全相关的法律法规要求。7.1.2.4.3 信息安全管理体系标准和规范性文件复核审核报告并做出认证决定的人员, 应具备以下知识:a) 认证过程中所用的相关I S M S标准和其他规范性文件。7.1.2.4.4 客户的业务领域复核审核报告并做出认证决定的人员, 应具备以下知识:a) 与相关业务领域实践有关的通用术语和风险。7.1.2.4.5 客户的产品、 过程和组织复核审核报告并做出认证决定的人员, 应具备以下知识:a) 客户的产品、 过程、 组织类型、 规模、 治理、 结构、 职能和关系。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- GBT 25067-2020 ISO IEC 27006:2015代替GBT 25067-2016 信息技术 安全技术 信息安全管理体系审核和认证机构要求 GB 25067 2020 ISO
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【wen****ei】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【wen****ei】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
链接地址:https://www.zixin.com.cn/doc/68232.html