信息安全管理体系认证规则释义.pdfVIP

附件4

《信息安全管理体系认证规则》释义

【规则条款】

1适用范围

1.1为规范信息安全管理体系（以下简称ISMS）认证活动，

根据《中华人民共和国认证认可条例》和《认证机构管理办法》

等法律法规，结合相关技术标准制定本规则。

1.2本规则规定了认证机构实施ISMS认证的程序与管理的

基本要求，是认证机构从事ISMS认证活动的基本依据。

1.3在中华人民共和国境内从事ISMS认证活动应遵守《中

华人民共和国认证认可条例》《认证机构管理办法》及本规则。

1.4认证机构遵守本规则的规定，并不意味着可免除其所承

担的法律责任。

【要点与释义】

1.本规则是认证机构从事ISMS认证活动的基本依据和底线

要求，认证机构可在此规则的基础上制定更加详细的ISMS认证

管理制度、程序文件等。

2.本规则适用于认证机构在中国境内开展的ISMS认证活动，

认证机构在境外开展的ISMS认证活动不适用本规则。

1

——

3.认证依据包含《网络安全技术信息安全管理体系要求》

（GB/T22080）和/或《Informationsecurity,cybersecurityandprivacy

protection—Informationsecuritymanagementsystems—Requirements》

（ISO/IEC27001）的ISMS认证活动，需要符合本规则的要求。

4.特定领域的信息安全管理体系认证活动（如ISO27701隐

私信息管理体系认证等），认证依据不包含《信息安全管理体系

要求》（GB/T22080）或《Informationsecurity,cybersecurityand

privacyprotection—Informationsecuritymanagement

systems-Requirements》（ISO/IEC27001）的，其认证活动需要符

合本规则的3.9、3.10、4.2和5.12.1等条款。

5.认证机构作为经营主体，应对开展的认证活动及其他行为

负责。认证机构即使遵守本规则，但若存在其他违反法律法规的

行为，仍需承担相应法律责任。

【规则条款】

2认证依据

《网络安全技术信息安全管理体系要求》（GB/T22080）/

《Informationsecurity,cybersecurityandprivacyprotection—

Informationsecuritymanagementsystems—Requirements》

（ISO/IEC27001）

【要点与释义】

2

——

1.认证依据规定了管理体系应满足的要求。认证机构开展信息

安全管理体系认证活动，需持有有效版本的信息安全管理体系认证

依据标准。

2.认证依据需要在管理体系认证证书中列明。认证机构发放

的管理体系认证证书应列明现行有效的标准名称及标准号。如，

信息安全管理体系认证所依据的现行标准为《网络安全技术信

息安全管理体系要求》/《Informationsecurity,cybersecurityand

privacyprotection—Informationsecuritymanagement

systems—Requirements》，现行有效的标准号为GB/T22080-2025/

ISO/IEC27001:2022。

【规则条款】

3对认证机构的基本要求

3.1获得国家认证认可监督管理委员会（以下简称国家认监

委）批准、取得ISMS认证领域资质。

3.2开展ISMS认证活动，应当围绕国家经济和社会发展目

标，重点服务于经济社会高质量发展，不得影响国家安全和社会

公共利益，不得违背社会公序良俗。

3.3内部管理和认证活动符合GB/T2