ICS35. 040 L 80 中 华 人 民 共 和 国 国 家 标 准 GB/T 25067—2020/ I SO/ IEC27006: 2015 代替 GB/T25067—2016 信息技术 安全技术 信息安全管理体系 审核和认证机构要求 I n f o rma t i o nt e c hn o l o e c u r i t e c hn i e s—Re i r eme n t sf o rb o d i e sp r o v i d i n g y—S yt qu qu g aud i tandc e r t i f i c a t i ono fi n f o rma t i ons e c u r i t emen ts s t ems ymana g y ( I SO/ IEC27006: 2015, IDT) 2020 04 28 发布 2020 11 01 实施 国家市场监督管理总局 国家标准化管理委员会 发 布 GB/T 25067—2020/I SO/IEC27006: 2015 目 次 前言 ………………………………………………………………………………………………………… Ⅲ 引言 ………………………………………………………………………………………………………… Ⅳ 1 范围 ……………………………………………………………………………………………………… 1 2 规范性引用文件 ………………………………………………………………………………………… 1 3 术语和定义 ……………………………………………………………………………………………… 1 4 原则 ……………………………………………………………………………………………………… 1 5 通用要求 ………………………………………………………………………………………………… 1 5. 1 法律与合同事宜 …………………………………………………………………………………… 1 5. 2 公正性的管理 ……………………………………………………………………………………… 1 5. 3 责任和财力 ………………………………………………………………………………………… 2 6 结构要求 ………………………………………………………………………………………………… 2 7 资源要求 ………………………………………………………………………………………………… 2 7. 1 人员能力 …………………………………………………………………………………………… 2 7. 2 参与认证活动的人员 ……………………………………………………………………………… 5 7. 3 外部审核员和外部技术专家的使用 ……………………………………………………………… 6 7. 4 人员记录 …………………………………………………………………………………………… 6 7. 5 外包 ………………………………………………………………………………………………… 6 8 信息要求 ………………………………………………………………………………………………… 6 8. 1 公开信息 …………………………………………………………………………………………… 6 8. 2 认证文件 …………………………………………………………………………………………… 6 8. 3 认证的引用和标志的使用 ………………………………………………………………………… 6 8. 4 保密 ………………………………………………………………………………………………… 7 8. 5 认证机构与其客户间的信息交换 ………………………………………………………………… 7 9 过程要求 ………………………………………………………………………………………………… 7 9. 1 认证前的活动 ……………………………………………………………………………………… 7 9. 2 策划审核 …………………………………………………………………………………………… 9 9. 3 初次认证 …………………………………………………………………………………………… 10 9. 4 实施审核 …………………………………………………………………………………………… 11 9. 5 认证决定 …………………………………………………………………………………………… 12 9. 6 保持认证 …………………………………………………………………………………………… 12 9. 7 申诉 ………………………………………………………………………………………………… 13 9. 8 投诉 ………………………………………………………………………………………………… 13 9. 9 客户的记录 ………………………………………………………………………………………… 13 10 认证机构的管理体系要求 …………………………………………………………………………… 14 10. 1 可选方式 ………………………………………………………………………………………… 14 Ⅰ GB/T 25067—2020/I SO/IEC27006: 2015 10. 2 方式 A:通用的管理体系要求 …………………………………………………………………… 14 10. 3 方式 B:与 GB/T19001 一致的管理体系要求 ………………………………………………… 14 附录 A (资料性附录) I SMS 审核与认证的知识与技能 ……………………………………………… 15 附录 B (规范性附录) 审核时间 ………………………………………………………………………… 17 附录 C (资料性附录) 审核时间计算方法 ……………………………………………………………… 21 附录 D (资料性附录) 对已实现的 GB/T22080—2016 附录 A 的控制的评审指南 ………………… 25 附录 NA (资料性附录) GB/T25067—2020 与 GB/T25067—2016 的条款对照关系 …………… 32 参考文献 …………………………………………………………………………………………………… 36 Ⅱ GB/T 25067—2020/I SO/IEC27006: 2015 前 言 本标准按照 GB/T1. 1—2009 给出的规则起草。 本标准代替 GB/T25067—2016《信息技术 安全技术 与 GB/T25067—2016 相比,主要技术变化如下: 信息安全管理体系审核和认证机构要求》。 ———在规范性引用文件中,删除了I SO19011,新增了I SO/ IEC27000(见第 2 章); ———删除了术语“证书”“认证机构”“标志”和“组织”(见 2016 年版的第 3 章); ———基于 GB/T27021. 1—2017 的附录 A,细化 了 参 与 信 息 安 全 管 理 体 系 认 证 的 各 类 人 员 的 能 力 要求(见 7. 1. 2); ———遵从 GB/T27021. 1—2017 的标准结构,调整了第 9 章 过 程 要 求 的 内 容(见 第 9 章, 2016 年 版 的第 9 章); ———审核时间计算由资料性 附 录 调 整 为 规 范 性 附 录 (见 附 录 B),并 新 增 了 审 核 时 间 计 算 示 例 (见 附录 C)。 本标准使用翻译法等同采用I SO/ IEC27006: 2015《信息技术 和认证机构要求》。 安全技术 信息安全管理体系审核 与本标准中规范性引用的国际文件有一致性对应关系的我国文件如下: ———GB/T29246—2017 信息技术 2016, IDT) 本标准做了以下编辑性修改: 安全技术 信息安全管理体系 概述和词汇( I SO/ IEC27000: ———因I SO9000: 2005 已经废止,所以引言中管理体系的定义调整为参见 GB/T19000—2016; ———增加了资料性附录 NA; ———词汇“ r o c e du r e”,在针对认证机构运作管理时翻译为“程序”[见 7. 1. 2. 4. 1b)、 9. 1. 3. 2、 9. 1. 5. 1. 2 p 等],在针对客户信息安全控制管理时翻译为“规 程”[见 7. 1. 2. 1. 4a)、 9. 2. 2. 2a)、 9. 3. 1. 2. 1a) 等],两者意思并无差异; ———由于附录 A 只在 7. 1. 1 中被引用,根据国家标准起草规定,将 7. 1. 1 的注调整为标准条文; ———对表 D. 1 中控制“ A. 13. 1. 3 网 络 中 的 隔 离”的 “审 核 的 评 审 指 南”,更 正 了 网 段 和 网 络 隔 离 的 示例。 本标准由全国信息安全标准化技术委员会( SAC/TC260)提出并归口。 本标准起草单位:中国合格评定国家认可中心、中国电子技术 标 准 化 研 究 院、中 国 网 络 安 全 审 查 技 术与认证中心、广州赛宝认证中心服务有限公司、华夏认证中心有限公 司、国 家 认 证 认 可 监 督 管 理 委 员 会、山东省标准化研究院。 本标准主要起草人:付志高、张强、黄俊梅、魏军、田刚、夏芳、张志国、尤其、方洁、王曙光、刘鑫。 本标准所代替标准的历次版本发布情况为: ———GB/T25067—2010、 GB/T25067—2016。 Ⅲ GB/T 25067—2020/I SO/IEC27006: 2015 引 言 GB/T27021. 1—2017 为机构对组织的管理体系 实 施 审 核 和 认 证 建 立 了 准 则。如 果 这 类 机 构 按 照 GB/T22080—2016 开展以信息安全管理体系(以下简称“ I SMS”)审 核 和 认 证 为 目 的 活 动,并 准 备 依 据 GB/T27021. 1—2017 获得认可,对 GB/T27021. 1—2017 补充一些要求和指南是必 要 的。本 标 准 提 供 了这样的内容。 本标准正文遵循 GB/T27021. 1—2017 的结构,针对I SMS 审核和认 证 所 增 加 的 特 定 要 求 和 指 南, ” 用字母“ 加以标识。 I S 本标准的主要目的是使得认可机构在应用其评审认证机构所依据的标准时能更有效地协调一致。 本标准中术语“管理体系”和“体系”可以互换使用。管理体系的定义见 GB/T19000—2016。请 不 要将本标准中使用的管理体系与其他类型的系统混淆,例如,信息技术(以下简称“ IT”)系统。 Ⅳ GB/