【国家标准(GB)】 信息技术 安全技术 信息安全管理体系审核认证机构的要求

ICS35.040
中华人民共和国国家标准
GB/T25067—2010/ISO/IEC27006:2007信息技术
安全技术
信息安全管理体系审核认证机构的要求Information technologySecurity techniques-Requirements for bodies providing audit and certification ofinformationsecuritymanagementsystems（ISO/IEC27006：2007,IDT）
2010-09-02发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2011-02-01实施
规范性引用文件
术语和定义
通用要求
法律与合同事宜
公正性的管理
责任和财力
结构要求
组织结构和最高管理层
维护公正性的委员会
资源要求
管理层和人员的能力
参与认证活动的人员
外部审核员和外部技术专家的使用人员记录
信息要求
可公开获取的信息
认证文件
获证客户组织名录
认证的引用和标志的使用
保密性
认证机构与其客户组织间的信息交换过程要求
通用要求
初次审核与认证
监督活动·
再认证
特殊审核·
暂停、撤销或缩小认证范围
申请组织和客户组织的记录
认证机构的管理体系要求
可选方式
GB/T25067—2010/IS0/1EC27006:200710
GB/T25067—2010/IS0/IEC27006:200710.2方式一：按照GB/T19001一2008的管理体系要求10.3方式二.通用的管理体系要求.·.......附录A（资料性附录）客户组织复杂性和行业特定方面的分析附录B（资料性附录）审核员能力的示例附录C（资料性附录）审核时间
对已实施的GB/T22080-—2008附录A的控制措施的评审指南附录D（资料性附录）
GB/T25067—2010/IS0/IEC27006：2007本标准等同采用ISO/IEC27006：2007《信息技术安全技术信息安全管理体系审核认证机构的要求》。
本标准是信息安全管理体系标准族的标准之为了便于理解，并与GB/T27021一2007和GB/T22080一2008协调，本标准针对ISO/IEC27006：2007做以下编辑性处理：
-针对认证机构的管理时，用词汇“程序”表示“procedure”；针对客户组织的管理时，用词汇“规程”表示“procedure”；
针对认证机构的管理时，用词汇“政策”表示“policies”；针对客户组织的管理时，用词汇“策略”表示“policies”；
用词汇“客户组织”表示“client”或“clientorganization”；用词汇“审核时间”表示\audittime”或“autitortime”。本标准的附录A、附录B、附录C和附录D是资料性附录。本标准由全国认证认可标准化技术委员会（SAC/TC261）和全国信息安全标准化技术委员会(SAC/TC260）提出。
本标准由全国信息安全标准化技术委员会（SAC/TC260)归口。本标准起草单位：中国合格评定国家认可中心、中国电子技术标准化研究所、北京知识安全工程中心、广东赛宝认证中心服务有限公司、中国信息安全认证中心、华夏认证中心有限公司、北京同方信息安全技术股份有限公司、北京北大青乌商用信息系统有限公司、中讯软件集团股份有限公司。本标准主要起草人：刘晓红、胡啸、汪修慈、王新杰、宋红茹、闵京华、王梅、王连强、费杨、韩硕祥、赵战生、娄天峰、娄丹、布宁、刘宇。m
GB/T25067--2010/IS0/IEC27006:2007引言
GB/T27021一2007是针对实施组织管理体系审核和认证的机构提出运作准则的国家标准，它等同采用ISO/IEC17021：2006。如果这类机构按照GB/T22080一2008开展以信息安全管理体系（ISMS)审核和认证为目的的活动，并打算依据GB/T27021一2007获得认可，对GB/T27021一2007增加一些要求和指南是必要的。本标准提供了这样的内容本标准正文遵循GB/T27021--2007的结构，针对ISMS审核和认证所增加的特定要求和指南，用“IS”加以标识。
贯穿本标准全文，使用“应”（shall)这术语，以表示本标准中与GB/T27021一2007和GB/T22080-2008的要求相对应的条款是要求性的，认证机构必须遵循；使用“宜”（should)这一术语，以表示尽管本标准中与GB/T27021一2007和GB/T22080一2008的要求相对应的条款是指南性的，构成了对这些标准中要求的应用指南，但仍然期望认证机构采纳。本标准的目的之一是使得那些认可机构能够更加协调一致地应用评审认证机构所依据的标准。认证机构在贯彻本标准的指南性条款时所形成的任何不同，可视为一个例外。针对这种不同，只有当认证机构向认可机构证实那些例外以等效的方式满足GB/T27021--2007和GB/T22080一—2008的相关条款要求以及本标准的意图时，并仅在具体问题具体分析的基础上才被允许。V
1范围
GB/T25067—2010/IS0/1EC27006：2007信息技术安全技术
信息安全管理体系审核认证机构的要求本标准对实施信息安全管理体系（以下简称“ISMS\)审核和认证的机构提出要求并提供指南，以作为对GB/T27021一2007和GB/T22080-2008要求的补充。制定本标准的主要意图是对实施ISMS认证的认证机构的认可提供支持。任何提供ISMS认证的机构需要在能力和可靠性方面证实其满足本标准的要求。本标准的指南性条款为这些要求提供了进一步的说明。注；本标准可以作为认可、同行评审或其他审核过程的准则性文件。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T19011质量和（或）环境管理体系审核指南（GB/T19011-2003，ISO/IEC19011：2002，IDT)
GB/T22080--2008信息技术安全技术信息安全管理体系要求（ISO/IEC27001：2005，IDT)
GB/T27021一2007合格评定管理体系审核认证机构的要求（ISO/IEC17021：2006，IDT）3术语和定义
GB/T27021--2007和GB/T22080--2008中确立的以及下列术语和定义适用于本标准。3.1
认证证书certificate
由认证机构依照认可条件顾发的，并带有认可标识或声明的一种文件。3.2
认证机构
certificationbody
按照正式发布的ISMS标准及ISMS所要求的任何补充性文件，对客户组织的ISMS进行评定和认证的第三方机构。
认证文件certificationdocument表明客户组织的ISMS符合指定的ISMS标准及ISMS所要求的任何补充性文件的一类文件。3.4
标志mark
依法注册的商标或在认可机构或认证机构的规则下颁发的受到保护的标识，以表明对组织所运行的管理体系建立足够信心，或者表明相关的产品或人员符合指定标准的要求。3.5
组织organization
公司、集团、事务所、工厂、政府机构、科研机构、学校等，或者其部分或组合，无论其是否是法人，还是公有或私有的，均具有其自身的职能和管理并能够确保实施其信息安全。1
GB/T25067—2010/IS0/IEC27006:20074原则
GB/T27021一2007的4中的原则适用。5通用要求
5.1法律与合同事宜
GB/T27021--2007的5.1中的要求适用。5.2公正性的管理
GB/T27021一2007的5.2中的要求适用。并且，以下ISMS特定要求和指南适用。5.2.1IS5.2利益冲突
认证机构从事以下工作可不被视为咨询或具有潜在的利益冲突：a）认证，其中包括信息沟通会议、审核策划会议、文件评审、审核（但不是ISMS内部审核或内部信息安全评审)和不符合的跟踪。作为讲师安排和参与培训课程，如果这些课程涉及信息安全管理、有关的管理体系或审核，认b）
证机构宜仅限于提供可以公开自由获取的通用的信息和建议，例如，他们不宜针对具体公司提供那些违反下面c)要求的建议。根据请求，提供或公开发布有关认证机构对认证审核标准的要求予以说明的信息。e）
仅以确定认证审核是否就绪为目的的审核前活动，但是这些活动不宜导致提供违反本条款的d)
建议和意见。认证机构需能够确认这些活动不违反这些要求，并且不能用这些活动作为缩减最终认证审核时间的理由。
根据标准或法规要求，实施认可范围以外的第二方或第三方审核。e
在认证审核和监督审核过程中的增值活动，例如，在审核过程中，当改进机会明显时，识别改进f
的机会但不推荐具体的解决方案。认证机构应独立于为其所认证的客户组织ISMS提供ISMS内部审核的机构（也包括任何个人）。5.3责任和财力
GB/T27021一2007的5.3中的要求适用。6结构要求
6.1组织结构和最高管理层
GB/T27021一2007的6.1中的要求适用。6.2维护公正性的委员会
GB/T27021一2007的6.2中的要求适用。资源要求
7.1管理层和人员的能力
GB/T27021---2007的7.1中的要求适用。并且，以下ISMS特定要求和指南适用。7.1.1IS7.1管理层能力
为实施ISMS认证，管理层的基本能力是选择、提供和管理那些具备与受审核的活动和有关的信息安全事宜相适应的技能和综合能力的人员。7.1.1.1能力分析和合同评审
认证机构应确保具备与所评定的客户组织ISMS有关的技术和法律发展的知识。认证机构应具有一个有效的能力分析系统，以便在其运作所涉及的全部技术领域就需要具备的信息安全管理方面的能力进行分析。2
GB/T25067—2010/IS0/IEC27006:2007对于每个客户组织，认证机构在实施合同评审前，应能够证实其已经针对每个有关行业的要求进行了能力分析（针对所评估出的需求进行技能评定）。然后，认证机构应以该能力分析的结果为基础，对与客户组织的合同进行评审。尤其，认证机构应能够证实其具备完成以下活动的能力：a）理解客户组织的活动领域及相关业务风险；b）
根据所识别的活动以及有关客户组织的与信息安全有关的对资产的威胁、脆弱性和影响来确定认证机构实施认证所需的能力；c）确认具备所需的能力。
7.1.1.2资源
认证机构的管理应包括必要的过程和资源，以使认证机构能够确定每个审核员是否有能力针对认证范围从事所要求的工作。审核员的能力可以通过经验证的背景经历和特定的培训或情况说明（参见本标准的附录B)来确定。认证机构应能与其提供服务的所有客户组织进行有效的沟通。7.2参与认证活动的人员
GB/T27021--2007的7.2中的要求适用。并且，以下ISMS特定要求和指南适用。7.2.1IS7.2认证机构人员能力
认证机构应具备胜任以下工作的人员：选择并验证ISMS审核员的能力，以使审核组适合审核；a）
向ISMS审核员进行情况说明并安排必要的培训；b)）
做出授予、保持、撤销、暂停、扩大或缩小认证的决定；c
建立和运行申诉和投诉过程。
7.2.1.1审核组的培训
认证机构应有审核组的培训准则，以确保审核组：a)
具有ISMS标准和其他相关规范性文件的知识：b）3
理解信息安全；
从业务角度，理解风险评估和风险管理；d)
具有与受审核的活动相关的技术知识；e)
具有与各类ISMS相关的法规要求的通用知识；f)
具有管理体系的知识；
理解基于GB/T19011的审核原则；h）具有评审ISMS有效性和测量控制措施有效性的知识。以上培训要求，除了上述d)可以在审核组成员之间共享外，其余均适用于审核组的所有成员。7.2.1.1.1当为特定认证审核选择指派审核组时，认证机构应确保审核组实施各项工作的技能是适宜的。审核组应：
针对拟认证的ISMS范围内的特定活动，具备适当的技术知识，以及（适宜时）与这些活动相关a)
的规程和其潜在的信息安全风险方面的技术知识(非审核员的技术专家可以履行此项职责）；b）
充分理解客户组织，以便对（管理客户组织活动、产品和服务的信息安全的）ISMS进行可靠的认证审核；
适当地理解适用于客户组织的ISMS的法规要求。7.2.1.1.2需要时，审核组的能力可以通过技术专家予以补充，这些技术专家应能够证实具备与受审核方活动相应的技术领域的特定能力。值得注意的是，技术专家不能作为ISMS审核员，但可就受审核方管理体系中技术充分性事宜为审核员提供建议。认证机构应就以下活动制定程序：a）按照其能力、所接受的培训、资格与经历来选择审核员和技术专家；在认证审核中对审核员和技术专家的素质和能力进行初始评价，而后对审核员和技术专家的b)
表现进行监视。
GB/T25067--2010/ISO/IEC27006.20077.2.1.2决定过程的管理
管理层应具备技术能力并能够对有关授予、保持、扩大、缩小、暂停和撤销ISMS认证（依据GB/T22080--2008要求）的决定过程进行管理。7.2.1.3JSMS审核员在教育、工作经历、审核员培训和审核经历方面的必备条件7.2.1.3.1以下准则适用于ISMS审核组中的每个审核员。审核员应：a）具备中等教育。
b）在信息技术方面具备至少4年的全职实际工作经历，其中至少2年的工作经历来自与信息安全有关的职责或职能。
成功地完成5天的培训，范围应包括ISMS审核和审核管理。在被赋予审核员责任之前，已获得评定整个信息安全管理体系的经验。这种经验宜通过参与d)
最少4次、总共天数至少20天的认证审核获得，其中包括文件评审、风险分析的评审、现场审核和审核报告，
具备合乎时宜的经验。
能够广泛、透彻地认识复杂的运作，并理解在较大的客户组织中各单元的职能。f)
g）通过持续的专业发展，保持最新的信息安全和审核的知识与技能。技术专家应符合上述a)、b)、e)和f)准则。7.2.1.3.2除了7.2.1.3.1中的要求，审核组组长应符合以下要求，并应通过在指导和监督下进行的审核中得到证实：
a）具备管理认证审核过程的知识和素质；b）已经至少作为审核员实施过3次完整ISMS审核；c）具备有效的口头和书面沟通能力。7.3外部审核员和外部技术专家的使用GB/T27021一-2007的7.3中的要求适用。并且，以下ISMS特定要求和指南适用。7.3.1IS7.3使用外部审核员或外部技术专家作为审核组的一部分当使用外部审核员或外部技术专家作为审核组成员时，认证机构应确保其能够胜任及符合本标准适用的要求，并不以公正性可能受到威胁的方式直接或通过其主参与对ISMS或相关管理体系的设计、实施或维护。
7.3.1.1技术专家的使用
具有有关影响客户组织的过程、信息安全和法律方面的特定知识，但未必满足本标准的7.2中的全部准则的技术专家，可以成为审核组成员。技术专家应在审核员的监督下进行工作。7.4人员记录
GB/T27021一2007的7.4中的要求适用。7.5外包
GB/T27021--2007的7.5中的要求适用。8信息要求
8.1可公开获取的信息
GB/T27021一2007的8.1中的要求适用。并且，以下ISMS特定要求和指南适用。8.1.1IS8.1授予、保持、扩大、缩小、暂停和撤销认证的程序认证机构应要求客户组织具有一个文件化并且已实施的符合GB/T22080-一2008要求和认证所需其他文件要求的ISMS。
认证机构应为以下活动准备形成文件的程序：a）依据GB/T19011、GB/T27021-—2007和其他相关文件的规定，对客户组织ISMS进行初次认证审核；
GB/T25067-—2010/1S0/1EC27006:2007b）依据GB/T19011和GB/T27021一2007，为确认客户组织持续符合相关要求，对其ISMS定期进行监督审核和再认证审核，并验证和记录客户组织是否对所有不符合及时采取纠正措施。
8.2认证文件
GB/T27021一2007的8.2中的要求适用。并且，以下ISMS特定要求和指南适用。8.2.1IS8.2ISMS的认证文件
认证机构应向其ISMS被认证的客户组织提供认证文件，诸如由负责此项职责的人员签署的信函或认证证书。对于认证所覆盖的客户组织及其每个信息系统，这些文件应标明所授予认证的范围和认证所依据的标准GB/T22080一2008。此外，认证证书宜包括引用的适用性声明的特定版本。8.3获证客户组织名录
GB/T27021--2007的8.3中的要求适用。8.4认证的引用和标志的使用
GB/T27021-2007的8.4中的要求适用。并且，以下ISMS特定要求和指南适用。8.4.1IS8.4认证标志的控制
认证机构应对ISMS认证标志的所有权、使用和展示方式进行适当的控制。如果认证机构授权使用标志来表明对ISMS的认证，认证机构宜确保客户组织仅使用由认证机构书面授权所规定的标志。认证机构不应授权客户组织在产品上使用这一标志，或以表示产品合格的方式使用这一标志。8.5保密性
GB/T27021一2007的8.5中的要求适用。并且，以下ISMS特定要求和指南适用。8.5.1IS8.5客户组织记录的获取在认证审核之前，认证机构应要求客户组织报告是否存在不能提供给审核组的包含保密性或敏感性信息的ISMS记录。认证机构应确定ISMS是否能在缺少这些记录的情况下得到充分的审核。如果认证机构得出不对已识别的保密性或敏感性的记录进行核查就不能对ISMS进行充分审核的结论，就应告知客户组织，并只有获得适当的访问安排许可时才能进行认证审核。8.6认证机构与其客户组织间的信息交换GB/T27021—2007的8.6中的要求适用。9过程要求
9.1通用要求
GB/T27021一2007的9.1中的要求适用。并且，以下ISMS特定要求和指南适用。9.1.1IS9.1.1通用ISMS审核要求9.1.1.1认证审核准则
客户组织的ISMS接受审核的准则应是ISMS标准GB/T22080一2008所提出的要求和与其所实施的业务相关的认证所需的其他文件中的要求。如果需要对上述文件在特定认证方案中的应用做出解释，这种解释应由公正的和具备必要技术能力的相关委员会或人员给出，并由认证机构正式发布。9.1.1.2政策和程序
认证机构的管理体系文件应包括实施认证过程的政策和程序，其中包括对用于各类ISMS认证的那些文件的使用和应用情况的检查，也包括对用于审核和认证客户组织ISMS的那些程序的检查。9.1.1.3审核组
认证机构应正式任命审核组并为其提供相应的工作文件。审核计划和日期应得到客户组织的同意。认证机构应明确规定且使客户组织知晓审核组的任务。该任务应要求审核组检查客户组织的结构、策略和规程，并确认其满足与认证范围相关的所有要求及其规程得到实施，从而提供对客户组织ISMS的信心。
GB/T25067—2010/IS0/IEC27006:20079.1.2IS9.1.2认证范围
审核组应针对所有适用的认证要求，对包含在确定范围内的客户组织ISMS进行审核。认证机构应确保根据客户组织的业务、组织、位置、资产和技术的特点清晰地确定其ISMS的范围和边界。认证机构应确认客户组织在其ISMS范围内满足了GB/T22080一2008中1.2的要求。认证机构应确保，按照ISMS标准GB/T22080一2008的要求，客户组织的信息安全风险评估和风险处置与客户组织的活动及活动的边界相一致，并应确认这些都在客户组织的ISMS范围和适用性声明中得到体现。
认证机构应确保，与不完全属于ISMS范围内的服务或活动的接口已在接受认证的ISMS中得到说明，并已包括在客户组织的信息安全风险评估中，例如，与其他机构共享设施的情况（信息技术系统、数据库和通讯系统等）。
9.1.3IS9.1.3审核时间
认证机构应给予审核员足够的时间开展涉及初次审核、监督审核或再认证审核的所有活动。所安排的时间宜以下列因素为依据：a）ISMS范围的规模（例如，所使用的信息系统的数量和雇员的数量）；ISMS的复杂程度（例如，信息系统的关键程度和ISMS的风险状况），参见本标准的附录A；b）
在ISMS范围内开展的业务类型；c）
在ISMS各部分的实施过程中，所应用的技术的水平和多样性[例如，已实施的控制措施、文件d)
和(或)过程控制，以及纠正和(或)预防措施等丁；场所的数量；
经证实的以往ISMS绩效；
在ISMS范围内，所使用的外包和第三方安排的程度；h）
适用于认证的标准和法规。
本标准的附录C对审核时间提供指南。认证机构应能证明或说明在初次审核、监督审核和再认证审核中所用时间的合理性。
9.1.4IS9.1.4多场所
9.1.4.1在ISMS认证领域，有关多场所的抽样决定比质量管理体系认证领域更加复杂。当客户组织拥有满足以下a)至c)的多个场所时，认证机构可以考虑使用基于抽样的方法进行多场所认证审核：a）所有的场所在同一ISMS下运行，并接受统一的管理、内部审核和管理评审；b）
所有的场所都包含在客户组织的ISMS内部审核方案中；e）免费标准bzxz.net
所有的场所都包含在客户组织的ISMS管理评审方案中，9.1.4.2认证机构当使用基于抽样的方法时，应具备程序以确保：在初次的合同评审中，最大程度地识别场所之间的差异，以便确定适宜的抽样水平。a）
结合以下因素，认证机构抽取具有代表性的场所：b）
总部及其他场所的内部审核的结果；2）
管理评审的结果；
场所规模的异同；
场所业务目的的异同；
ISMS的复杂程度；
不同场所的信息系统的复杂程度；7）
工作惯例的异同；
所实施的活动的异同；
与关键的信息系统或处理敏感信息的信息系统之间的潜在相互作用；任何不同的法律要求。
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。