【标准】GBT 网络安全技术　信息安全管理体系审核和认证机构要求

语言	格式	评分
中文（简体）	.docx	3
概览
Cybersecurity technology — Requirements for bodies providing audit and certification of information security management systems （ISO/IEC 27006-1:2024, Information security, cybersecurity and privacy protection — Requirements for bodies providing audit and certification of information security management systems — Part 1: General, IDT）（征求意见稿）（完成日期：2025 年 2 月 27 日） XXXX - XX - XX发布 XXXX - XX - XX实施 I GB/T 25067－202X/ISO/IEC 27006-1:2024 目次前言......................................................................................................................................................I 引言.....................................................................................................................................................II 1 范围.....................................................................................................................................................1 2 规范性引用文件..................................................................................................................................1 3 术语和定义.........................................................................................................................................1 4 原则.....................................................................................................................................................4 5 通用要求.............................................................................................................................................4 5.1 法律与合同事宜.............................................................................................................................4 5.2 公正性的管理.................................................................................................................................4 5.3 责任和财力.....................................................................................................................................4 6 结构要求.............................................................................................................................................4 7 资源要求.............................................................................................................................................4 7.1 人员能力........................................................................................................................................4 7.2 参与认证活动的人员......................................................................................................................6 7.3 外部审核员和外部技术专家的使用...............................................................................................7 7.4 人员记录........................................................................................................................................7 7.5 外包................................................................................................................................................7 8 信息要求.............................................................................................................................................8 8.1 公开信息........................................................................................................................................8 8.2 认证文件........................................................................................................................................8 8.3 认证的引用和标志的使用..............................................................................................................8 8.4 保密................................................................................................................................................8 8.5 认证机构与其客户间的信息交换...................................................................................................8 9 过程要求.............................................................................................................................................8 9.1 认证前的活动.................................................................................................................................9 9.2 策划审核......................................................................................................................................11 9.3 初次认证......................................................................................................................................12 9.4 实施审核......................................................................................................................................13 9.5 认证决定......................................................................................................................................13 9.6 保持认证......................................................................................................................................14 9.7 申诉..............................................................................................................................................15 9.8 投诉..............................................................................................................................................15 9.9 客户的记录..................................................................................................................................15 10 认证机构的管理体系要求...............................................................................................................15 10.1 可选方式....................................................................................................................................15 10.2 方式 A：通用的管理体系要求...................................................................................................15 10.3 方式 B：与 ISO 9001 一致的管理体系要求..............................................................................15 附录 A（规范性）ISMS 审核与认证所需的知识和技能......................................................................16 附录 B（资料性）能力的其他考虑因素..............................................................................................17 附录 C（规范性）审核时间.................................................................................................................18 II GB/T 25067－202X/ISO/IEC 27006-1:2024 附录 D（资料性）审核时间计算方法.................................................................................................23 附录 E（资料性）对已实现的 GB/T 22080—202X 附录 A 中控制的审核指南..................................27 参考文献..............................................................................................................................................36 GB/T 25067－202X/ISO/IEC 27006-1:2024 前言本文件按照 GB/T 1.1—2020《标准化工作导则第 1 部分：标准化文件的结构和起草规则》的规定起草。本文件代替 GB/T 25067—2020《信息技术安全技术信息安全管理体系审核和认证机构要求》。与 GB/T 25067—2020 相比，主要技术变化如下： ——规范性引用文件中删除了 ISO/IEC 27000（见第 2 章）； ——增加“控制”、“外部环境”、“信息安全”等术语（见第 3 章）； ——调整审核员的工作经历、培训经历和审核经历要求（见 7.2.2.2）； ——调整技术专家的工作经历要求（见 7.2.2.3）； ——修改远程审核的相关要求（见 8.2.2、9.1.3.3、9.4.3.2、C.3.2）； ——新增认证文件中引用其他标准的要求（见 8.2.3）； ——修改审核时间计算的相关要求（见 C.2.1、C.3.4、C.6、C.7）； ——新增附录 A，描述了认证职能与知识域的对应关系； ——依据 GB/T 22080—202X 附录 A 中的信息安全控制，更新附录 E（2020 版为附录 D）； ——删除与 GB/T 27021.1—2017 重复的内容（见 5.2、7.1.3、9.3.2.2、9.4 等）。本文件使用翻译法等同采用 ISO/IEC 27006-1:2024《信息安全、网络安全和隐私保护信息安全管理体系审核和认证机构要求第 1 部分：通用》。本文件做了最小限度的编辑性改动： ——为与我国网络安全国家标准协调一致，标准名称改为《网络安全技术信息安全管理体系审核和认证机构要求》； ——因 ISO Guide 73 已废止，术语“3.10 风险”的注 3 和注 4 中删除对其的引用； ——7.1.2 中增加了关于 ISO/IEC TS 27006-2 状态的脚注。本文件由全国网络安全标准化技术委员会（SAC/TC 260）提出并归口。本文件起草单位：中国合格评定国家认可中心、中国电子技术标准化研究院、中国网络安全审查认证和市场监管大数据中心等。本文件主要起草人：付志高、张强、许玉娜、翟亚红、黄俊梅、陈艳、方洁、魏立茹、王秉政等。本文件所代替标准的历次版本发布情况为: ——2010 年首次发布为 GB/T 25067—2010，2016 年第一次修订，2020 年第二次修订； ——本次为第三次修订。 I GB/T 25067－202X/ISO/IEC 27006-1:2024 引言 GB/T 27021.1 对实施管理体系审核和认证的机构规定了要求并提供了指南。满足 GB/T 27021.1 的机构在依据 GB/T 22080 对组织的信息安全管理体系（英文缩写为“ISMS”）实施审核和认证活动时，有必要对 GB/T 27021.1 补充一些要求和指南。本文件提供了这些要求和指南。本文件对提供 ISMS 审核和认证的机构规定了要求，这类机构被称为认证机构。本文件规定了 ISMS 认证机构的通用要求。认证机构遵守这些要求，确保其以有能力、一致和公正的方式实施 ISMS 认证，这将促进国内外对这些机构及其认证结果的承认与接受。本文件正文与 GB/T 27021.1—2017 的结构保持一致。在本文件中，使用了下列助动词： —— “应”表示要求； —— “宜”表示推荐； —— “可”表示允许； —— “能”表示能力，“可能”表示可能性。 II GB/T 25067－202X/ISO/IEC 27006-1:2024 网络安全技术信息安全管理体系审核和认证机构要求 1 范围本文件在 GB/T 27021.1—2017 的基础上，对 ISMS 审核和认证机构规定了要求并提供了指南。提供 ISMS 认证的机构从能力和可靠性方面证实其满足本文件中的要求。本文件中的指南提供了对这些要求的进一步解释。注：本文件能作为认可、同行评审或其他审核过程的准则。 2