《信息技术 安全技术 信息安全管理体系审核认证机构的要求》.docVIP

ICS?FORMTEXT35.040

FORMTEXTL80

中华人民共和国国家标准

GB/TFORMTEXT25067—FORMTEXTXXXX

FORMTEXT?????

FORMTEXT信息技术安全技术

信息安全管理体系审核认证机构的要求

FORMTEXTInformationtechnology—Securitytechniques—Requirementsforbodiesprovidingauditandcertificationofinformationsecuritymanagementsystems

FORMTEXTISO/IEC27006:2011，IDT

FORMDROPDOWN

FORMTEXT?????

FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX发布

FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX实施

GB/TXXXXX—XXXX

PAGEIII

信息技术安全技术信息安全管理体系审核认证机构的要求

范围

本标准对信息安全管理体系（以下简称“ISMS”）审核和认证的机构规定了要求并提供了指南，以作为对ISO/IEC17021和GB/T22080中相关要求的补充。本标准的主要目的是为提供ISMS认证的认证机构的认可提供支持。

任何提供ISMS认证的机构需要在能力和可靠性方面证实其满足本标准的要求。本标准的指南为这些要求提供了进一步的解释。

本标准可以作为认可、同行评审或其他审核过程的准则性文件。

规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

ISO/IEC17021:2011合格评定管理体系审核认证机构的要求

GB/T22080—2008信息技术安全技术信息安全管理体系要求（ISO/IEC27001:2005，IDT）

ISO19011管理体系审核指南

术语和定义

ISO/IEC17021，GB/T22080中界定的以及下列术语和定义适用于本标准。

认证证书certificate

由认证机构根据认可条件颁发的，并带有认可标识或声明的一种证书。

认证机构certificatebody

按照正式发布的ISMS标准和该体系所要求的任何补充性文档，对客户组织的ISMS进行评估和认证的第三方机构。

认证文件certificatedocument

表明客户组织的ISMS符合指定的ISMS标准及ISMS所要求的任何补充性文档的一类文件。

标志mark

在认可机构或认证机构的规则下颁发的受到保护的标识，或依法注册的商标，表明对机构运行的体系具有足够信心，或者表明相关的产品或人员符合指定的标准的要求。

组织organization

公司、集团、事务所、工厂、政府机构、科研机构、学校等，或者其部分或组合，无论其是否为法人，还是公有或私有的，均具有其自身的职能和管理并能够确保实施其信息安全。

原则

ISO/IEC17021:2011的4条款中的原则适用。

通用要求

法律和合同事宜

ISO/IEC17021:2011的5.1条款中的要求适用。

公正性的管理

ISO/IEC17021:2011的5.2条款中的要求适用。并且，以下ISMS特定要求和指南适用。

IS5.2利益冲突

认证机构可以从事以下工作，而不被视为咨询或具有潜在的利益冲突：

认证，包括信息沟通会议、审核策划会议、文件评审、审核（非ISMS内部审核或内部安全评审）和不符合的跟踪；

作为讲师安排和参与培训课程，如果这些课程与信息安全管理、有关的管理体系或审核相关，认证机构应仅限于提供公众可以公开自由获取的、通用的信息和建议，例如：认证机构不应提供针对特定公司的、违反下述c)的要求的建议；

根据请求，提供或发布认证机构对认证审核标准要求的解释性信息（见9.1.1.1）；

审核前活动，仅以确定认证审核是否就绪为目的，但这类活动不应提供导致违反本条款的建议或意见。认证机构应能够确认这类活动不违反这些要求，并且不使用这些活动作为缩减最终认证审核时间的理由；

按照标准或法规，而不只是按照认可范围那一部分的要求，执行第二方和第三方审核；

在认证审核和监督审核过程中的增值活动，例如在审核过程中，当改进机会明显时，识别改进的机会而不推荐具体的解决方案。

认证机构应独立于那些为接受ISMS认证的客户提供ISMS内部审核的机构（包括任何个人）。

责任与财力

ISO/IEC17021:2011的5.3条款中的要求适用。