标准规范下载简介
GB/T 25067-2020 信息技术 安全技术 信息安全管理体系审核和认证机构要求简介:
GB/T 25067-2020,全称为《信息技术 安全技术 信息安全管理体系审核和认证机构要求》,是中国国家标准中关于信息安全管理体系审核和认证机构的规定。该标准详细规定了信息安全管理体系审核和认证机构应具备的专业知识、能力、程序和责任,以确保信息安全管理体系审核的公正性、客观性和有效性。
该标准涵盖了多个方面,包括但不限于:
1. 审核员和审核组的资格要求:规定了审核员应具备的信息安全专业知识和技能,以及审核组的构成和能力。
2. 审核过程:规定了信息安全管理体系审核的策划、实施、报告和改进的全过程管理。
3. 质量管理:强调了审核机构应建立和维护一个有效的质量管理过程,以确保审核的公正性和客观性。
4. 信息安全管理体系标准知识:要求审核机构熟悉和理解相关的信息安全管理体系标准,如ISO/IEC 27001等。
5. 风险管理:审核机构应能识别和评估审核过程中的风险,并采取措施进行应对。
6. 保密性和公正性:确保审核过程的保密性,防止利益冲突,以维护认证的公正性。
这个标准的目的是为了规范和提升信息安全管理体系审核和认证行业的专业水平,保障信息安全管理体系认证的质量,提高公众对信息安全的信任。
GB/T 25067-2020 信息技术 安全技术 信息安全管理体系审核和认证机构要求部分内容预览:
GB/T27021.1一2017中9.3的要求适用。并且,以下要求和指南适用
9.3.1IS9.3.1初次认证审核
JB∕T 8547-2010 液力传动用合金铸铁密封环9.3.1.1IS 9.3.1.1 第一阶段
在该审核阶段,认证机构应获取有关ISMS设计的文件,其中包括GB/T22080一2016所要求的 文件。 认证机构应充分了解在组织环境下所进行的ISMS设计、风险评估和处置(包括所确定的控制)、信 息安全方针和目标,以及特别是客户的审核准备情况。在此基础上,才能进行第二阶段的策划。
/T25067—2020/IS0/IEC27006:2015
第一阶段的结果应形成书面报告。在决定进行第二阶段之前,认证机构应审查第一阶段的审核报 告,以便为第二阶段选择具备所需能力的审核组成员。 认证机构应让客户知晓第二阶段可能需要详细检查的、更多类型的信息和记录
9.3.1.2 IS 9.3.1.2 第二阶段
.1.2.1基于第一阶段审核报告中的审核发现,认证机构制定实施第二阶段的审核计划。除了 MIS的有效实施之外,第二阶段的目的是: a)确认客户遵守自身的方针、目标和规程
GB/T27021.1—2017中9.4的 要求和指南适用。
9.4.1 IS 9.4 总则
认证机构应具备文件化的程序,以: a)依据GB/T27021.1一2017的规定,对客户的ISMS进行初次认证审核; b)依据GB/T27021.1一2017,对客户的ISMS定期进行监督审核和再认证审核,以确认其持续 符合相关要求,并验证和记录客户为纠正所有的不符合而及时采取了纠正措施。
9.4.2IS9.4ISMS审核的特定要素
认证机构,由审核组所代表,应: 要求客户证实对信息安全相关风险的评估与ISMS范围内的ISMS运行是相关的和充分的; b 确定客户识别、检查和评价信息安全相关风险的规程及其实施结果是否与客户的方针、目标和 指标相一致, 认证机构还应确定用于风险评估的规程是否健全并得到正确实施
9.4.3IS9.4审核报告
9.4.3.1除了GB/T27021.1一2017中9.4.8对审核报告的要求之外,审核报告应提供以下信息或对这 此信自的引用
9.4.3.1除了GB/T27021.1一2017中9.4.8对审核报告的要求之外,审核报告应提供以下信息或对这
信息的引用: a)审核的说明,其中包括文件评审摘要; b)对客户信息安全风险分析进行认证审核的说明:
且)审核的说明,其中包括文件评审摘要; b)对客户信息安全风险分析进行认证审核的说
T25067—2020/ISO/IEC27006:2015
c)与审核计划的偏离(例如:在某一预定的活动上花费更多或更少的时间); ISMS的范围 9.4.3.2 审核报告应足够详细,以帮助和支持认证决定。审核报告应包括: 所采用的主要审核路线和所使用的审核方法(见9.1.3.2); b)形成的观察结果,包括正面的(例如,值得注意的特征)和负面的(例如,潜在的不符合); 对客户的ISMS符合认证要求的评价意见和对不符合的清楚说明、所引用的适用性声明的版 本,以及适用时,与客户以往认证审核结果的任何有用的对照。 完成的问卷、检查清单、观察结果、日志或审核员笔记可以构成完整的审核报告的一部分。如果使 用这些方法,这些文件应作为支持认证决定的证据提供给认证机构。在审核过程中,有关被评价的样本 的信息应包含在审核报告或其他认证资料中。 报告应考虑客户所采用的内部组织和规程的充分性,以便对其ISMS建立信心。 除了GB/T27021.1一2017中9.4.8对审核报告的要求之外,报告还应包括: a)关于ISMS要求和信息安全控制的实现与有效性的、最重要的观察(正面的和负面的)的摘要; b)审核组关于客户的ISMS是否获得认证的建议,以及支持该建议的信息
c)与审核计划的偏离(例如:在某一预定的活动上花费更多或更少的时间); ISMS的范围。 9.4.3.2 审核报告应足够详细,以帮助和支持认证决定。审核报告应包括: 所采用的主要审核路线和所使用的审核方法(见9.1.3.2); b 形成的观察结果,包括正面的(例如,值得注意的特征)和负面的(例如,潜在的不符合); 对客户的ISMS符合认证要求的评价意见和对不符合的清楚说明、所引用的适用性声明的版 本,以及适用时,与客户以往认证审核结果的任何有用的对照。 完成的问卷、检查清单、观察结果、日志或审核员笔记可以构成完整的审核报告的一部分。如果使 用这些方法,这些文件应作为支持认证决定的证据提供给认证机构。在审核过程中,有关被评价的样本 的信息应包含在审核报告或其他认证资料中。 报告应考虑客户所采用的内部组织和规程的充分性,以便对其ISMS建立信心。 除了GB/T27021.1一2017中9.4.8对审核报告的要求之外,报告还应包括: a)关于ISMS要求和信息安全控制的实现与有效性的、最重要的观察(正面的和负面的)的摘要; b)审核组关于客户的 ISMS是 持该建议的信息
GB/T27021.1一2017中9.5的要求适用。并且,以下要求和指南适用
9.5.1IS 9.5 认证决定
除了GB/T27021.1一2017的要求外,认证决定应基于审核报告(见9.4.3)中审核组对客户的ISMS 是否通过认证的建议 通常情况下,对授予认证做出决定的人员或委员会不宜推翻审核组的负面建议。如果发生这种情 兄,认证机构应记录其做出推翻建议的决定的依据,并说明其合理性。 只有具备充分的证据证实管理评审和ISMS内部审核的安排已经实施,且是有效的并将得到保持, 才可向客户授予认证
GB/T27021.1—2017中9.6.1的要求
/T27021.1—2017中9.6.1的要求适用
27021.1一2017中9.6.2的要求适用。并且,以下
9.6.2.1IS 9.6.2 监督活动
.6.2.1.1监督审核程序,应与本标准中有关客户ISMS的认证审核的要求和指南保持一致。 监督的目的是验证已被认证的ISMS得到持续实施、考虑由客户运作变化所引起的管理体系变化 勺影响并确认与认证要求的持续符合。监督审核方案应至少包括: a 管理体系的保持要素,如信息安全风险评估与控制的维护、ISMS内部审核、管理评审和纠正 施; 根据ISMS标准GB/T22080一2016和认证所需的其他文件的要求,与来自外部各方沟通; 文件化的管理体系的变更; 发生变更的区域;
/T25067—2020/IS0/IEC27006:2015
e)所选择的GB/T22080—2016的要求; f)适宜时,其他所选择的区域。 9.6.2.1.2认证机构的每一次监督应至少审查以下方面: ISMS在实现客户信息安全方针的目标方面的有效性; b) 对与相关信息安全法律法规的符合性进行定期评价与评审的规程的运行情况; C 所确定的控制的变更,及其引起的适用性声明的变更; d)控制的实现和有效性(根据审核方案来审查)。 9.6.2.1.3认证机构应能够针对与风险相关的信息安全问题及其对客户的影响来调整监督方案,并说 明监督方案的合理性。 监督审核可以与其他管理体系的审核相结合。报告应清晰地指出与每个管理体系相关的方面。 在监督审核过程中,认证机构应检查客户提交给认证机构的申诉和投诉记录,并且在发现任何不符 合或不满足认证要求时,还应检查客户是否对其自身的ISMS和规程进行了调查并采取了适当的纠正 猎施。 特别是,监督报告应包括有关消除以往出现的不符合、适用性声明的版本和从上次审核之后发生的 重大变更的信息。监督审核报告应至少完全覆盖9.6.2.1.1和9.6.2.1.2的要求
9.6.3.1IS 9.6.3再认证审核
再认证审核程序,应与本标准中有 允许采取纠正措施的时间,应与不符合的产 度和相关的信息安全风险相一致
9.6.4.1IS9.6.4特殊情况
如果获得ISMS认证的客户对其管理体系做了重天修改,或者发生影响其获证基础的其他变更 特殊审核所必需的活动应遵从特别规定
9.6.5暂停、撤销或缩小认证范围
GB/T27021.1一2017中9.6.5的要求适用
GB/T27021.1一2017中9.6.5的要求适用
9.8.1IS 9.8 投诉
GB/T27021.1—2017中9.9的要求适用
T25067—2020/IS0/IEC27006:2015
10认证机构的管理体系要求
赣01J301 楼地面图集D.1.1IS 10.1 ISMS 实游
表A.1提供了ISMS审核与认证所要求的知识与技能的摘要。然而,表A.1是资料性的,因为它只 只别了特定认证职能所需的知识与技能的领域 本标准的正文阐述了每项认证职能的能力要求,表A.1给出了对具体要求的引用
表A.1ISMS审核与认证的知识
A.2对通用能力的考虑
有很多途径可以证实审核员的知识和经验,例如,通过使用获得承认的资格来评价知识和经验。 人证方案下的注册记录也可以用来评价所需的知识和经验。宜确定审核组所需的能力水平,使其 织的行业/技术领域和ISMS的复杂性相符
《电工术语 旋转电机 GB/T 2900.25-2008》A.3对特定知识和经验的考虑
A.3.1与ISMS相关的典型知识
除了7.1.2中的要求外,宜考虑以下要求。审核员宜具备并理解下列审核和ISMS方面的知识: 审核方案和策划; 审核类型和方法; 审核风险: