GB/T 25067-2020 信息技术 安全技术 信息安全管理体系审核和认证机构要求
- 文档部分内容预览:
审核组所有成员作为一个整体,应具有以下知识: ISMS特定文件的结构、层级和相互关系; b 信息安全管理相关的工具、方法、技术及其应用; 信息安全风险评估和风险管理; d) ISMS适用的过程; e) 当前可能与信息安全相关的或可能面临信息安全问题的技术。 每个审核员应满足a)、c)和d)
参与ISMS审核的审核员,应具有以下知识: a)GB/T22080—2016的所有要求; 审核组所有成员作为一个整体,应具有以下知识: b)GB/T22081(如确定有必要,还可来源于特定行业标准)中的所有控制及其实现,这些控制分 为以下类别: 1)信息安全策略; 2) 信息安全组织; 人力资源安全; 4 资产管理; 访问控制,包括授权; 6) 密码; 7) 物理和环境安全; 8) 运行安全,包括IT服务; 9) 通信安全,包括网络安全管理和信息传输: 10) 系统获取、开发和维护; 11) 供应商关系,包括外包服务; 12) 信息安全事件管理; 13) 业务连续性管理的信息安全方面,包括穴余; 14) 符合性,包括信息安全评审
Z.1.2.1.4业务管理实践
参与ISMS审核的审核员,应具有以下知识:
文化标准T25067—2020/ISO/IEC27006:2015
行业的信息安全最佳实践和信息安全规程; b) 信息安全的策略和业务要求; C 通用业务管理的概念、实践,以及方针、目标和结果之间的相互关系; d) 管理过程和相关的术语。 注:这些过程也包括人力资源管理、内部沟通、外部沟通和其他的相关支持过程
7.1.2.1.5客户的业务领域
参与ISMS审核的审核员,应具有以下知识: a 特定的信息安全领域、地域和管辖范围的法律法规要求; 注:具备法律法规要求的知识,不意味着要有深厚的法律背景。 b) 与业务领域相关的信息安全风险; 与客户业务领域相关的通用术语、过程和技术; d) 相关业务领域的实践。 其中的a)可在审核组内共享
7.1.2.1.6客户的产品、过程和组织
审核组所有成员作为一个整体,应具有以下知识: a)组织类型、规模、治理、结构、职能和关系对ISMS的开发与实施和认证活动的影响,包括外包; b)广义上的复杂运营; c)适用于产品或服务的法律法规要求
除了7.1.2.1中的要求以外,审核组组长还应满足以下要求,且应在有指导和监督的审核中予以 证实: a)具备管理认证审核过程和审核组的知识和技能; b)具备有效的口头和书面沟通能力
7.1.2.3实施申请评审的能力要求
.1.2.3.1信息安全管理体系标准和规范性文件
实施审请评审以确定所需的审核组能力、选择审核组成员并确定审核时间的人员,应具备以下 知识: a)认证过程中所用的相关ISMS标准和其他规范性文件。 7.1.2.3.2客户的业务领域 实施申请评审以确定所需的审核组能力、选择审核组成员并确定审核时间的人员,应具备以下 知识: a)与客户业务领域相关的通用术语、过程、技术和风险。 7.1.2.3.3客户的产品、过程和组织 实施申请评审以确定所需的审核组能力、选择审核组成员并确定审核时间的人员,应具备以下 知识: 客户产品、过程、组织类型、规模、治理、结构、职能以及ISMS的开发与实施和认证活动之间的 关系,包括外包的职能
7.1.2.3.3客户的产品、过程和组织
7.1.2.4复核审核报告并做出认证决定的能力要求
7.1.2.4.1总则
/T25067—2020/IS0/IEC27006:2015
复核审核报告并做出认证决定的人员应具备知识,使其能够验证认证范围的适宜性、范围的变更以 及变更对审核有效性的影响,特别是识别接口与依赖关系的持续有效性和相应的风险。 此外,复核审核报告并做出认证决定的人员应具备以下知识: a)通用的管理体系; b)审核过程和程序; )审核原则、实践和技巧
7.1.2.4.2信息安全管理术语、原则、实践和技术
复核审核报告并做出认证决定的人员,应具备以下知识: a)7.1.2.1.2中a)、c)、d)所列条目; b)与信息安全相关的法律法规要求
7.1.2.4.4客户的业务领域
7.1.2.4.5客户的产品、过程和组织
7.2参与认证活动的人员
Z.2.1ISZ.2证实审核员的知识和经验
认证机构应通过以下方面来证实审核员具备知识和经验: 获得承认的ISMS特定资格; 适用时,注册为审核员; 参加ISMS培训课程并获得相关的个人证书: d 最新的持续专业发展记录; e)由另一个ISMS审核员见证ISMS审核
7.2.1.1选择审核员
除7.1.2.1之外,选择审核员的准则应确保每位审核员: a)具备相当于大学教育水平的专业教育或培训。 b)在信息技术方面具备至少4年的全职实际工作经历,其中至少2年的工作经历来自与信息
T25067—2020/IS0/IEC270062015
全有关的职责或职能。 C 成功地完成至少5天的培训,培训范围包括ISMS审核和审核管理。 d 在被赋予审核员责任之前,已获得整个信息安全评估过程的经验。宜通过参与最少4次、总天 数至少20天(其中最多5天可来自监督审核)的ISMS认证审核(包括再认证审核和监督审 核)来获得这种经验。参与审核时,应包括评审文件与风险评估,评估实施情况和报告审核 情况。 具备相关的且合乎时宜的经验。 通过持续的专业发展,保持当前在信息安全和审核方面的知识和技能是最新的。 技术专家应符合准则a)、b)和e)
7.3外部审核员和外部技术专家的使用
GB/T27021.1一2017中7.3的要求适用。并且,以下要求和指南适用
IS7.3使用外部审核员或外部技术专家作为审
GB/T27021.1一2017中7.4的要求适用
GB/T27021.1—2017中7.5的要求适用
GB/T27021.1—2017中8.1的要求适用
21.1一2017中8.2的要求适用。并且,以下要求未
8.2.1IS 8.2 ISMS 认证文件
认证文件应由负责此项职责的人员签署。认证文件应包括适用性声明的版本。 主:如果适用性声明的变更没有改变认证范围中控制的覆盖范围,则不要求更新认证证书。 认证文件也可以包括对所用的特定行业标准的标识
8.3认证的引用和标志的使用
GB/T27021.1—2017中8.3的要求适用
8.4.1IS8.4组织记录的获取
/T25067—2020/IS0/IEC27006:2015
1一2017中8.4的要求适用。并且,以下要求和指
在认证审核之前,认证机构应要求客户报告是否存在因包含保密性或敏感性信息而导致不能提供 给审核组核查的ISMS相关信息(例如ISMS记录或关于控制的设计与有效性的信息)。认证机构应确 定ISMS是否能在缺少这些信息的情况下得到充分审核。如果认证机构的结论是若不核查已识别的保 密性或敏感性信息就不能对ISMS进行充分地审核,那么认证机构则应告知客户只有在适当的访问安 排获得许可后才能进行认证审核
8.5认证机构与其客户间的信息交换
GB/T27021.1—2017中8.5的要求适用
27021.1一2017中9.1的要求适用。并且,以下要
9.1.1.1IS 9. 1.1 电请准备
GB/T27021.1一2017中9.1.3的要求适用。并且,以下要求和指南适用
9. 1.3.1 IS 9. 1.3 总则
ISMS审核的审核方案应考虑所确定的信息安全
9.1.3.2IS 9.1.3审核方法
认证机构的程序不应预先假定ISMS实施的特殊方式或文件和记录的特殊格式。认证程序应将 在确定客户的ISMS满足GB/T22080一2016的要求和客户的策略与目标。 注:ISO/IEC27007给出了有关审核的进一步指南
9.1.3.3IS9.1.3初次审核的总体准备
认证机构应要求客户为调阅内部审核报告和信息 安全独立评审报告做出所有的必要安排。在议 核的第一阶段,客户应至少提供以下信息:
T25067—2020/IS0/IEC27006:2015
b)GB/T22080一2016中所规定的、必要的ISMS文件的副本,以及必要的相关文件。
9.1.3.4IS 9. 1.3 评审周期
如果一个ISMS没有至少实施过一次覆盖认证范围的管理评审和内部审核,认证机构不应对 MS实施认证
9.1.3.5IS9.1.3认证范围
审核组应根据所有适用的认证要求,对包含在确定范围内的客户ISMS进行审核。认证机构应确 人客户在其ISMS范围内满足了GB/T22080一2016中4.3的要求。 认证机构应确保:客户的信息安全风险评估和风险处置准确地体现了其活动,并延伸到认证范围内 听界定的、其活动的边界。认证机构应确认这在客户的ISMS范围和适用性声明中得到了体现。认证 构应验证每个认证范围至少有一个适用性声明。 认证机构应确保:与不完全包含在ISMS范围内的服务或活动的接口,已在寻求认证的ISMS中得 到说明,并已包括在客户的信息安全风险评估中。与其他机构共享设施(例如,IT系统、数据库、通信系 统或外包一项业务职能),是这类情形的一个示例
[3.6IS 9. 1.3 认证审核
客户ISMS接受审核的准则应是ISMS标准GB/T22080一2016。与所履行的职能相关的其他文 件,可以作为认证要求
9.1.4确定审核时间
21.1一2017中9.1.4的要求适用。并且,以下要习
9.1.4.1IS9.1.4审核时间
认证机构应给予审核员足够的时间来开展与初次审核、监督审核或再认证审核相关的所有活动。 总审核时间的计算,应包括报告审核情况所需的充足时间。 认证机构应按照附录B来确定审核时间。 注:附录C提供了计算审核时间的进一步指南和示例
9.1.5多场所的抽样
21.1一2017中9.1.5的要求适用。并且,以下要寸
9.1.5.1IS 9.1.5多场所
9.1.5.1.1当客户拥有满足以下a)~c)的多个场所时,认证机构可以考虑使用基于抽样的方法进行多 场所认证审核: a) 所有的场所在同一个ISMS下运行且该ISMS实行集中统一的管理、审核和管理评审; b) 所有的场所都包含在客户的ISMS内部审核方案中; 所有的场所都包含在客户的ISMS管理评审方案中。 9.1.5.1.2认证机构使用基于抽样的方法时,应有适宜的程序以确保: 在初次的合同评审时,最大程度地识别场所之间的差异,以便确定适当的抽样水平。 b) 结合以下因素,认证机构抽取具有代表性的场所: 1)总部及其他场所的内部审核的结果; 2)管理评审的结果;
/T25067—2020/IS0/IEC27006:2015
9.1.6多管理体系标准
9.1.6.1IS9.1.6ISMS文件与其他管理体系文件的整合
只要能够清楚地识别ISMS以及ISMS与其他管理体系的适当接口,认证机构可以接受多个管 系文件相结合的文件(例如,信息安全、质量、健康与安全、环境)
9.1.6.2IS9.1.6管理体系结合审核
只要能够证实审核满足了ISMS认证的所有要求,ISMS审核可以和其他管理体系审核相结合。在 审核报告中,所有对ISMS重要的要素应清晰地体现并易于识别。审核的质量不应因结合审核而受到 负面影响。
9.2.1确定审核目的、范围和准则
GB/T27021.1一2017中9.2.1的要求适用。并且,以下要求和指南适用。
GB/T27021.1一2017中9.2.1的要求适用。并且,以下要求和指南适用。
9.2. 1.1 IS 9,2.1 审核目的
审核目的应包括确定管理体系的有效性,以确保客户已根据风险评估实施了适用的控制并实现、 所设立的信息安全目标,
9.2.2选择和指派审核组
GB/T27021.1一2017中9.2.2的要求适用。并且,以下要求和指南适用
T25067—2020/ISO/IEC27006:2015
9.2.2.1IS9.2.2审核组
认证机构应正式任命审核组并为其提供相应的工作文件。认证机构应明确地规定审核组的任 更客户知晓, 审核组可以由一个人组成,只要其满足7.1.2.1中所规定的全部准则
9.2.2.2IS9.2.2审核组能力
7.1.2的要求适用。对于监督和特殊审核活动,仅与所安排的监督活动和特殊审核活动相关的那些 要求适用。 当为特定认证审核选择审核组时,认证机构应确保每次委派时审核组的能力是适宜的。审核组应: a)对拟认证的ISMS范围内的特定活动具备适当的技术知识,以及相关时,对这些活动的相关规 程和其潜在信息安全风险具备适当的技术知识(技术专家可以履行此项职责); b)理解客户,足以基于客户ISMS范围和组织环境对其ISMS(该体系管理着客户的活动、产品和 服务的信息安全)进行可靠的认证审核; 适当地理解适用于客户ISMS的法律法规要求。 注,适当地理解法规要求不意味着要有深屋的法律背景
9.2.3.1IS9.2.3总则
ISMS审核计划应考虑所确定的信息安全控制。
9.2.3.2IS9.2.3网络支持审核技术
9.2.3.3IS9.2.3审核时间的选择
认证机构宜与拟审核的组织就选择一个能最有效地证实其全部范围的审核时间达成一致。适当 时,可考虑季度、月份、日期和班次
GB/T27021.1一2017中9.3的要求适用。并且,以下要求和指南适用
9.3.1IS9.3.1初次认证审核
9.3.1.1IS 9.3.1.1 第一阶段
在该审核阶段,认证机构应获取有关ISMS设计的文件,其中包括GB/T22080一2016所要求的 文件。 认证机构应充分了解在组织环境下所进行的ISMS设计、风险评估和处置(包括所确定的控制)、信 息安全方针和目标,以及特别是客户的审核准备情况。在此基础上,才能进行第二阶段的策划。
/T25067—2020/IS0/IEC27006:2015
第一阶段的结果应形成书面报告。在决定进行第二阶段之前,认证机构应审查第一阶段的审核报 告,以便为第二阶段选择具备所需能力的审核组成员。 认证机构应让客户知晓第二阶段可能需要详细检查的、更多类型的信息和记录
9.3.1.2 IS 9.3.1.2 第二阶段
.1.2.1基于第一阶段审核报告中的审核发现,认证机构制定实施第二阶段的审核计划。除了 MIS的有效实施之外,第二阶段的目的是: a)确认客户遵守自身的方针、目标和规程
GB/T27021.1—2017中9.4的 要求和指南适用。
9.4.1 IS 9.4 总则
认证机构应具备文件化的程序,以: a)依据GB/T27021.1一2017的规定,对客户的ISMS进行初次认证审核; b)依据GB/T27021.1一2017,对客户的ISMS定期进行监督审核和再认证审核,以确认其持续 符合相关要求,并验证和记录客户为纠正所有的不符合而及时采取了纠正措施。
9.4.2IS9.4ISMS审核的特定要素
认证机构,由审核组所代表,应: 要求客户证实对信息安全相关风险的评估与ISMS范围内的ISMS运行是相关的和充分的; b 确定客户识别、检查和评价信息安全相关风险的规程及其实施结果是否与客户的方针、目标和 指标相一致, 认证机构还应确定用于风险评估的规程是否健全并得到正确实施
9.4.3IS9.4审核报告
9.4.3.1除了GB/T27021.1一2017中9.4.8对审核报告的要求之外,审核报告应提供以下信息或对这 此信自的引用
9.4.3.1除了GB/T27021.1一2017中9.4.8对审核报告的要求之外,审核报告应提供以下信息或对这
信息的引用: a)审核的说明,其中包括文件评审摘要; b)对客户信息安全风险分析进行认证审核的说明:
且)审核的说明,其中包括文件评审摘要; b)对客户信息安全风险分析进行认证审核的说
T25067—2020/ISO/IEC27006:2015
c)与审核计划的偏离(例如:在某一预定的活动上花费更多或更少的时间); ISMS的范围 9.4.3.2 审核报告应足够详细,以帮助和支持认证决定。审核报告应包括: 所采用的主要审核路线和所使用的审核方法(见9.1.3.2); b)形成的观察结果,包括正面的(例如,值得注意的特征)和负面的(例如,潜在的不符合); 对客户的ISMS符合认证要求的评价意见和对不符合的清楚说明、所引用的适用性声明的版 本,以及适用时,与客户以往认证审核结果的任何有用的对照。 完成的问卷、检查清单、观察结果、日志或审核员笔记可以构成完整的审核报告的一部分。如果使 用这些方法,这些文件应作为支持认证决定的证据提供给认证机构。在审核过程中,有关被评价的样本 的信息应包含在审核报告或其他认证资料中。 报告应考虑客户所采用的内部组织和规程的充分性,以便对其ISMS建立信心。 除了GB/T27021.1一2017中9.4.8对审核报告的要求之外,报告还应包括: a)关于ISMS要求和信息安全控制的实现与有效性的、最重要的观察(正面的和负面的)的摘要; b)审核组关于客户的ISMS是否获得认证的建议,以及支持该建议的信息
c)与审核计划的偏离(例如:在某一预定的活动上花费更多或更少的时间); ISMS的范围。 9.4.3.2 审核报告应足够详细,以帮助和支持认证决定。审核报告应包括: 所采用的主要审核路线和所使用的审核方法(见9.1.3.2); b 形成的观察结果,包括正面的(例如,值得注意的特征)和负面的(例如,潜在的不符合); 对客户的ISMS符合认证要求的评价意见和对不符合的清楚说明、所引用的适用性声明的版 本,以及适用时,与客户以往认证审核结果的任何有用的对照。 完成的问卷、检查清单、观察结果、日志或审核员笔记可以构成完整的审核报告的一部分。如果使 用这些方法,这些文件应作为支持认证决定的证据提供给认证机构。在审核过程中,有关被评价的样本 的信息应包含在审核报告或其他认证资料中。 报告应考虑客户所采用的内部组织和规程的充分性,以便对其ISMS建立信心。 除了GB/T27021.1一2017中9.4.8对审核报告的要求之外,报告还应包括: a)关于ISMS要求和信息安全控制的实现与有效性的、最重要的观察(正面的和负面的)的摘要; b)审核组关于客户的 ISMS是 持该建议的信息
GB/T27021.1一2017中9.5的要求适用。并且,以下要求和指南适用
9.5.1IS 9.5 认证决定
除了GB/T27021.1一2017的要求外,认证决定应基于审核报告(见9.4.3)中审核组对客户的ISMS 是否通过认证的建议 通常情况下,对授予认证做出决定的人员或委员会不宜推翻审核组的负面建议。如果发生这种情 兄,认证机构应记录其做出推翻建议的决定的依据,并说明其合理性。 只有具备充分的证据证实管理评审和ISMS内部审核的安排已经实施,且是有效的并将得到保持, 才可向客户授予认证
GB/T27021.1—2017中9.6.1的要求
/T27021.1—2017中9.6.1的要求适用
27021.1一2017中9.6.2的要求适用。并且,以下
9.6.2.1IS 9.6.2 监督活动
.6.2.1.1监督审核程序,应与本标准中有关客户ISMS的认证审核的要求和指南保持一致。 监督的目的是验证已被认证的ISMS得到持续实施、考虑由客户运作变化所引起的管理体系变化 勺影响并确认与认证要求的持续符合。监督审核方案应至少包括: a 管理体系的保持要素,如信息安全风险评估与控制的维护、ISMS内部审核、管理评审和纠正 施; 根据ISMS标准GB/T22080一2016和认证所需的其他文件的要求,与来自外部各方沟通; 文件化的管理体系的变更; 发生变更的区域;
/T25067—2020/IS0/IEC27006:2015
e)所选择的GB/T22080—2016的要求; f)适宜时,其他所选择的区域。 9.6.2.1.2认证机构的每一次监督应至少审查以下方面: ISMS在实现客户信息安全方针的目标方面的有效性; b) 对与相关信息安全法律法规的符合性进行定期评价与评审的规程的运行情况; C 所确定的控制的变更,及其引起的适用性声明的变更; d)控制的实现和有效性(根据审核方案来审查)。 9.6.2.1.3认证机构应能够针对与风险相关的信息安全问题及其对客户的影响来调整监督方案,并说 明监督方案的合理性。 监督审核可以与其他管理体系的审核相结合。报告应清晰地指出与每个管理体系相关的方面。 在监督审核过程中,认证机构应检查客户提交给认证机构的申诉和投诉记录,并且在发现任何不符 合或不满足认证要求时,还应检查客户是否对其自身的ISMS和规程进行了调查并采取了适当的纠正 猎施。 特别是,监督报告应包括有关消除以往出现的不符合、适用性声明的版本和从上次审核之后发生的 重大变更的信息。监督审核报告应至少完全覆盖9.6.2.1.1和9.6.2.1.2的要求
9.6.3.1IS 9.6.3再认证审核
再认证审核程序,应与本标准中有 允许采取纠正措施的时间,应与不符合的产 度和相关的信息安全风险相一致
9.6.4.1IS9.6.4特殊情况
如果获得ISMS认证的客户对其管理体系做了重天修改,或者发生影响其获证基础的其他变更 特殊审核所必需的活动应遵从特别规定
9.6.5暂停、撤销或缩小认证范围
GB/T27021.1一2017中9.6.5的要求适用
GB/T27021.1一2017中9.6.5的要求适用
信息安全技术标准规范范本9.8.1IS 9.8 投诉
投诉意味着一个潜在的事件,表明可能存在不符
GB/T27021.1—2017中9.9的要求适用
T25067—2020/IS0/IEC27006:2015
医药标准10认证机构的管理体系要求
D.1.1IS 10.1 ISMS 实游
....- 认证标准
- 相关专题: 信息技术