ICS35.040 L80 GB 中华人民共和国国家标准 GB/T25067-2016/ISO/IEC27006:2011 代替GB/T25067—2010 信息技术 安全技术 信息安全管理体系 审核和认证机构要求 Information technology-Security techniques-Requirements for bodies providing audit and certification of information security management systems (ISO/IEC27006:2011 IDT) 2016-10-13发布 2017-05-01实施 中华人民共和国国家质量监督检验检疫总局 发布 中国国家标准化管理委员会 利冰层查真伪 GB/T25067-2016/ISO/IEC27006:2011 目次 前言 I 引言 Ⅱ 1范围 1 2规范性引用文件 .1 3术语和定义1 4原则 2 5通用要求 2 6结构要求 2 7资源要求 3 8信息要求 5 9过程要求 6 10认证机构的管理体系要求 13 附录A(资料性附录)客户组织复杂性和行业特定方面的分析14 附录B(资料性附录)审核员能力的示例 17 附录C(资料性附录)审核时间 附录D(资料性附录)对已实现的GB/T22080一2008附录A的控制的评审指南24 附录NA(资料性附录)GB/T25067一2016与GB/T25067一2010的主要技术差异32 参考文献 34 GB/T25067-2016/ISO/IEC27006:2011 前言 本标准按照GB/T1.1一2009和GB/T20000.2一2009给出的规则起草. 本标准代替GB/T25067一2010《信息技术安全技术信息安全管理体系审核认证机构的要 求》. 本标准与GB/T25067一2010相比,主要技术变化如下: —新增IS7.1.2能力准则的确定; —监督方案明确为三年内的周期[见9.1.4.2e)]; —GB/T25067一2010多处“宜”的描述在本标准中改为“应”(见附录NA). 本标准使用翻译法等同采用ISO/IEC27006:2011《信息技术安全技术信息安全管理体系审核 和认证机构要求》. 与本标准中规范性引用的国际文件有一致性对应关系的我国文件如下: —GB/T19011一2013管理体系审核指南(ISO19011:2011 IDT) 本标准做了下列编辑性修改: —纠正了原文注日期引用文件不一致的问题; ——增加了资料性附录NA. 请注意本文件的某些内容可能涉及专利.本文件的发布机构不承担识别这些专利的责任. 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口. 本标准起草单位:中国电子技术标准化研究院、中国合格评定国家认可中心、广州赛宝认证中心服 务有限公司、上海质量审核中心、中国质量认证中心、中国信息安全认证中心、中国船级社质量认证公 司、华夏认证中心有限公司、黑龙江电子信息产品监督检验院. 本标准主要起草人:黄俊梅、韩硕祥、刘宇、倪文静、蔡北方、费杨、付志高、刘健、赵国祥、田刚、王军、 尹冰、刘钢、杨勇、刘佳、魏军、尤其、程瑜琦、...
GB/T 25067-2016 信息技术 安全技术 信息安全管理体系审核和认证机构要求.pdf
