04-信息安全管理体系认证规则释义.docxVIP

—

—PAGE1—

附件4

《信息安全管理体系认证规则》释义

适用范围为规范信息安全管理体系（

适用范围

为规范信息安全管理体系（以下简称ISMS）认证活动，根据《中华人民共和国认证认可条例》和《认证机构管理办法》等法律法规，结合相关技术标准制定本规则。

本规则规定了认证机构实施ISMS认证的程序与管理的基本要求，是认证机构从事ISMS认证活动的基本依据。

在中华人民共和国境内从事ISMS认证活动应遵守《中华人民共和国认证认可条例》《认证机构管理办法》及本规则。

认证机构遵守本规则的规定，并不意味着可免除其所承

担的法律责任。

【要点与释义】

1.本规则是认证机构从事ISMS认证活动的基本依据和底线要求，认证机构可在此规则的基础上制定更加详细的ISMS认证管理制度、程序文件等。

2.本规则适用于认证机构在中国境内开展的ISMS认证活动，认证机构在境外开展的ISMS认证活动不适用本规则。

3.认证依据包含《网络安全技术信息安全管理体系要求》

（GB/T22080）和/或《Informationsecurity,cybersecurityandprivacyprotection—Informationsecuritymanagementsystems—Requirements》

（ISO/IEC27001）的ISMS认证活动，需要符合本规则的要求。

4.特定领域的信息安全管理体系认证活动（如ISO27701隐私信息管理体系认证等），认证依据不包含《信息安全管理体系要求》（GB/T22080）或《Informationsecurity,cybersecurityandprivacyprotection—Informationsecuritymanagementsystems-Requirements》（ISO/IEC27001）的，其认证活动需要符合本规则的3.9、3.10、4.2和5.12.1等条款。

5.认证机构作为经营主体，应对开展的认证活动及其他行为负责。认证机构即使遵守本规则，但若存在其他违反法律法规的行为，仍需承担相应法律责任。

2 认证依据

2 认证依据

《网络安全技术信息安全管理体系要求》（GB/T22080）/

《Informationsecurity,cybersecurityandprivacyprotection—

Information security management systems —Requirements》

（ISO/IEC27001）

【要点与释义】

1.认证依据规定了管理体系应满足的要求。认证机构开展信息安全管理体系认证活动，需持有有效版本的信息安全管理体系认证依据标准。

2.认证依据需要在管理体系认证证书中列明。认证机构发放的管理体系认证证书应列明现行有效的标准名称及标准号。如，信息安全管理体系认证所依据的现行标准为《网络安全技术信息安全管理体系要求》/《Informationsecurity,cybersecurityandprivacyprotection—Informationsecuritymanagement

systems—Requirements》，现行有效的标准号为GB/T22080-2025/ISO/IEC27001:2022。

对认证机构的基本要求获得国家认证认可监督管理委员会

对认证机构的基本要求

获得国家认证认可监督管理委员会（以下简称国家认监委）批准、取得ISMS认证领域资质。

开展ISMS认证活动，应当围绕国家经济和社会发展目标，重点服务于经济社会高质量发展，不得影响国家安全和社会公共利益，不得违背社会公序良俗。

内部管理和认证活动符合GB/T27021.1/ISO/IEC

17021—1《合格评定管理体系审核认证机构要求第1部分：要求》和GB/T25067/ISO/IEC27006—1，确保持续满足开展ISMS

认证的基本要求。

建立风险防范机制，对从事ISMS认证活动可能引发的风险和责任采取合理有效措施。认证机构应能证明其已对ISMS认证活动引发的风险进行了评估，对引发的责任作出了充分安排

（如保险或储备金）。

建立认证人员管理制度，明确认证人员的能力准则、选择条件、聘用和评价程序，以及能力提升机制。确保从事ISMS认证的人员持续具备相应职业素养和能力。

在拟开展的ISMS认证业务范围（认证业务范围分类见附录A表A），具备2名（含）以上ISMS专业领域审核员。认证机构应结合认证业务范围识别相关专业的学历和专业信息安