原创力文档- 1、本文档共25页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
用心、精心、决心、匠心
ISO/IEC27006:2007标准全文1/2
GB
中华人民共和国国家标准
GB/T××××—××××
IdtISO/IEC27006:2007
信息技术-安全技术
信息安全管理体系审核认证机构的要求
InformationtechnologysecuritytechnologyRequirementsforbodiesproviding
auditandcertificationofinformationsecuritymanagementsyetems
(征求意见稿)
200×-××-××发布200×-××-××实施
国家质量监督检验检疫总局发布
目录
前言
简介
1.范围
2.规范性引用文件
3.术语和定义
4.原则
5.通用要求
5.1法律和合同事宜
5.2公正性的管理
5.3责任和财力
6.结构要求
6.1组织结构和最高管理层
6.2维护公正性的委员会
7.资源要求
7.1管理层和人员的能力
7.2参与认证活动的人员
7.3外部审核员和外部技术专家的使用
7.4人员记录
7.5外包
8.信息要求
8.1可公开获取的信息
8.2认证文件
8.3获证客户名录
8.4认证的引用和标志的使用
呕心沥血整理word1
用心、精心、决心、匠心
8.5保密性
8.6认证机构和其客户间的信息交换
9.过程要求
9.1通用要求
9.2初次审核和认证
9.3监督活动
9.4再认证
9.5特殊审核
9.6暂停、撤消或缩小认证范围
9.7申诉
9.8投诉
9.9申请组织和客户记录
10.认证机构的管理体系要求
10.1可选方式
10.2方式1-GB/T19001-2000质量管理体系要求
10.3方式2-通用的管理体系要求
附录A(资料性)顾客组织复杂性和行业特定方面的分析
附录B(资料性)审核员能力范围的示例
附录C(资料性)审核时间
附录D(资料性)对已实施ISO/IEC27001:2005附录A的控制复核指南
参考书目
前言
本标准等同采用ISO/IEC27006:2007《信息技术—安全技术—信息安全管理体系审核
和认证机构的要求》。
本标准是信息安全标准族系列标准之一。
本标准由全国认证认可标准化技术委员会(SAC/TC261)和全国信息安全标准化技术委员会
(SAC/TC260)提出并归口。
本标准起草单位:
本标准参加单位:
本标准主要起草人:
本标准200×年××月××日首次发布。
本标准由××××负责解释。
呕心沥血整理word2
用心、精心、决心、匠心
简介
ISO/IEC17021是为进行组织管理体系审核和认证的机构陈述准则的国际
标准。如果这类机构根据ISO/IEC27001:2005,以审核和认证信息安全
管理体系(ISMS)为目的,将被认可为符合ISO/IEC17021,附加要求和
对ISO/IEC17021的指南是必要的。本标准负责提供。
本标准的正文采用了ISO/IEC17021的结构,附加的对信息安全管理体系
(ISMS)特定要求和关于信息安全管理体系(ISMS)认证的ISO/IEC17021
的应用指南以字母“IS”进行识别。
本标准全文使用的术语“应”用于说明反映ISO/IEC17021和ISO/IEC27001
中要求的规定是强制性的。使用的术语“宜”说明这些规定虽然是构成对
要求应用的指南,但只是期望被认证机构所采用。
本标准的目的之一是为了确保认可机构更加有效地协调针对约定的用于
评审认证机构的标准的应用。在本文中,认证机构的任何与本指南的偏离
视为例外。在认证机构向认可机构证明这种例外以其他等效的方式满足
ISO/IEC170
文档评论(0)