网络安全技术 信息安全管理体系审核和认证机构要求 编制说明.docx

《网络安全技术信息安全管理体系审核和认证机构要求》

编制说明

一、工作简况

1.1任务来源

全国网络安全标准化技术委员会2024年11月下达标准立项通知，《网络安全技术信息安全管理体系审核和认证机构要求》由中国合格评定国家认可中心负责承办。本标准由全国网络安全标准化技术委员会提出并归口。

1.2修订背景

《网络安全技术信息安全管理体系审核和认证机构要求》规定了信息安全管理体系（ISMS）认证机构的通用要求。

本次是通过等同采用ISO/IEC27006-1:2024《信息安全、网络安全和隐私保护信

息安全管理体系审核和认证机构要求第1部分：通用》，对GB/T25067—2020《信息技术安全技术信息安全管理体系审核和认证机构要求》进行修订。

本次修订将解决ISMS认证审核中远程审核技术的应用、虚拟组织的认证、审核

时间计算、ISMS认证证书中引用其他标准等问题。此外，本次修订还将解决与正在制定的GB/T22080—202X《网络安全技术信息安全管理体系要求》和GB/T22081—2024《网络安全技术信息安全控制》之间协调一致的问题，以及与GB/T27021.1—2017《合格评定管理体系审核认证机构要求第1部分：要求》之间内容重复的问题。

1.3起草过程

中国合格评定国家认可中心负责组织起草，中国电子技术标准化研究院、中国网

络安全审查认证和市场监管大数据中心、北京赛西认证有限责任公司、广州赛宝认证中心服务有限公司等单位共同参与本标准的起草工作。具体起草过程如下：

1）2024年5月，项目牵头单位联合ISMS认证机构和科研单位，组建标准编制工作组，共同研讨新版标准与旧版标准的差异性，并确定任务分工，形成标准草案初稿。

2）2024年6月，本项目在南昌标准周期间通过了WG7的立项审议。

3）2024年7月，本项目通过了全国网安标委秘书处组织的标准立项专家评审；此外，项目牵头单位组织来自ISMS认证机构的专家对标准草案进行了审议，

国家标准编制说明

并对标准文本进行了完善。

4）2024年9月，标准牵头单位面向ISMS认可评审员和ISMS认证机构开展了标准草案培训，介绍了标准的修订内容。

5）2024年11月，全国网安标委下达立项通知，项目牵头单位在全国网安标委网站和微信公众号面向社会公开征集标准参编单位，完成标准编制组的组建。

6）2024年12月，标准编制组召开启动会，研讨确定标准文本、下一步编制思路、任务分工等，并征集了编制组成员对标准文本的修订意见。标准编制组邀请来自来自网络安全领域和合格评定领域的专家对标准草案进行审查，根据审查意见再次完善标准文本。WG7工作组在海口“标准周”对本项目进行了审议，同意转征求意见阶段；标准编制组根据WG7专家意见修订完善了标准文本，形成征求意见稿。

7）2025年2月，全国网安标委秘书处组织召开征求意见稿专家审查会，本项目通过评审可以发起公开征求意见。同时，标准编制组根据专家审查意见完善了标准文本。

二、标准编制原则、主要内容及其确定依据

2.1标准编制原则

本标准的研制工作遵循以下原则：

（1）一致性原则

本标准等同采用对应国际标准，与对应国际标准在语境语义等方面连贯一致，在充分理解国际标准原文的基础上进行翻译，做到准确表达原意。

（2）易读性原则

统筹兼顾ISO/IEC27000系列标准和ISO/IEC17000系列标准在我国的转标实践经验，确保标准内容翻译符合中文语境，表述通畅，具有可读性并使标准读者能够容易理解。

（3）通用性原则

本标准规定了ISMS认证机构的通用要求，转标过程中充分考虑不同类型的ISMS认证机构的运作特点，维护标准内容的普适性。

2.2主要内容及其确定依据

国家标准编制说明

《网络安全技术信息安全管理体系审核和认证机构要求》在GB/T27021.1的基础上，对ISMS审核和认证机构规定了要求并提供了指南。本次是等同采用ISO/IEC27006-1:2024对GB/T25067-2020进行修订。

本标准包括十章和五个附录。前三章是标准的通用要素，分别为：范围、规范性引用文件、术语和定义。第4章到第10章是标准的主要技术内容，分别为：通用要求、结构要求、资源要求、信息要求、过程要求、管理体系要求。附录A和C是规范性附录，分别规定了认证人员能力和审核时间的要求，附录B、D和E是资料性附录，分别阐述了能力的其他考虑因素、审核时间计算方法和信息安全控制的审核指南。

2.3修订前后技术