信息技术安全技术信息安全管理体系审核和认证机构要求(GB-T 25067-2020).pdf

《信息技术安全技术信息安全管理体系审核和认证机构要求(GB-T 25067-2020).pdf》由会员分享，可在线阅读，更多相关《信息技术安全技术信息安全管理体系审核和认证机构要求(GB-T 25067-2020).pdf（40页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、ICS 35.040L80中中 华华 人人 民民 共共 和和 国国 国国 家家 标标 准准GB/T 25067201X/ISO/IEC 27006:2015代替 GB/T 250672016信息技术安全技术信息安全管理体系审核和认证机构的要求Information technology Security techniques Requirements for bodies providingaudit and certification of information security management systems（ISO/IEC 27006:2015，IDT）（报批稿）（本稿完成日期：

2、2018 年 9 月 25 日）XXXX-XX-XX 发布XXXX-XX-XX 实施GB/T 25067201X/ISO/IEC 27006:2015I目次前言.I引言.II1 范围.12 规范性引用文件.13 术语和定义.14 原则.15 通用要求.15.1 法律与合同事宜.15.2 公正性的管理.15.3 责任和财力.26 结构要求.27 资源要求.27.1 人员能力.27.2 参与认证活动的人员.57.3 外部审核员和外部技术专家的使用.67.4 人员记录.67.5 外包.68 信息要求.68.1 公开信息.68.2 认证文件.68.3 认证的引用和标志的使用.68.4 保密.68.5

3、认证机构与其客户间的信息交换.79 过程要求.79.1 认证前的活动.79.2 策划审核.99.3 初次认证.109.4 实施审核.119.5 认证决定.129.6 保持认证.129.7 申诉.139.8 投诉.139.9 客户的记录.1310 认证机构的管理体系要求.1310.1 可选方式.1310.2 方式 A：通用的管理体系要求.1310.3 方式 B：与 GB/T 19001 一致的管理体系要求.13附录 A（资料性附录）ISMS 审核与认证的知识与技能.14附录 B（规范性附录）审核时间.16附录 C（资料性附录）审核时间计算方法.20GB/T 25067XXXX/ISO/IEC 2

4、7006:2015II附录 D（资料性附录）对已实现的 GB/T 220802016 附录 A 的控制的评审指南.24附录 NA（资料性附录）GB/T 25067201x 与 GB/T 250672016 的条款对照关系.30参考文献.34GB/T 25067201X/ISO/IEC 27006:2015I前言本标准按照 GB/T 1.12009标准化工作导则 第 1 部分：标准的结构和编写和 GB/T 20000.22009标准化工作指南 第 2 部分：采用国际标准给出的规则起草。本标准代替 GB/T 250672016 信息技术安全技术信息安全管理体系审核和认证机构要求。与 GB/T 25

5、0672016 相比，主要技术变化如下：1）在规范性引用文件中，删除了 GB/T 19011，新增了 GB/T 29246；2）删除了术语“证书”、“认证机构”、“标志”和“组织”；3）遵从 GB/T 27021.12017 的标准结构，调整了第 9 章-过程要求的内容；4）基于 GB/T 27021.12017 的附录 A，细化了参与信息安全管理体系认证的各类人员的能力要求见 7.1.2；5）审核时间计算由资料性附录调整为规范性附录见附录B,并新增了审核时间计算示例见附录 C。本标准使用翻译法等同采用 ISO/IEC 27006:2015信息技术安全技术信息安全管理体系审核和认证机构要求。与

6、本标准中规范性引用的国际文件有一致性对应关系的我国文件如下：1)GB/T 220802016 信息技术 安全技术 信息安全管理体系 要求（ISO/IEC 27001:2013,IDT）2)GB/T 27021.12017 合格评定 管理体系审核认证机构要求 第1部分：要求（ISO/IEC17021.1:2015,IDT）3)GB/T 292462017 信息技术安全技术信息安全管理体系概述和词汇(ISO/IEC27000:2016,IDT)本标准做了如下编辑性修改：1)引言中增加了一个注解；2)增加了资料性附录 NA；3)词汇“procedure”，在针对认证机构运作管理时翻译为“程序”见 7

7、.1.2.4.1 b）、9.1.3.2、9.1.5.1.2 等，在针对客户信息安全控制管理时翻译为“规程”见 7.1.2.1.4 a）、9.2.2.2a）、9.3.1.2.1 a）等，两者意思并无差异；4)由于附录 A 只在 7.1.1 中被引用，根据国家标准起草规定，将 7.1.1 条款的注调整为标准条文；5)对表 D.1 中控制“A.13.1.3 网络隔离”的“审核的评审指南”，更正了网段和网络隔离的示例。本标准由全国信息安全标准化技术委员会（SAC/TC 260）提出并归口。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准起草单位：中国合格评定国家认可

8、中心、中国电子技术标准化研究院、中国网络安全审查技术与认证中心、广州赛宝认证中心服务有限公司、华夏认证中心有限公司、国家认证认可监督管理委员会、山东省标准化研究院。本标准主要起草人：付志高、张强、黄俊梅、魏军、田刚、夏芳、张志国、尤其、方洁、王曙光、刘鑫。本标准所代替标准的历次版本发布情况为:GB/T 250672010；GB/T 250672016。GB/T 25067201X/ISO/IEC 27006:2015II引言GB/T 27021.12017为机构对组织的管理体系实施审核和认证建立了准则。如果这类机构按照GB/T 220802016信息技术 安全技术 信息安全管理体系 要求开展以

9、信息安全管理体系（以下简称为“ISMS”）审核和认证为目的活动，并准备依据GB/T 27021.12017获得认可，对GB/T 27021.12017补充一些要求和指南是必要的。本标准提供了这样的内容。本标准正文遵循GB/T 27021.12017的结构，针对ISMS审核和认证所增加的特定要求和指南，用字母“IS”加以标识。贯穿本标准全文，使用“应”（shall）这一术语，以表示本标准中与GB/T 27021.12017和GB/T220802016的要求相对应的条款是要求性的，认证机构必须遵循；使用“宜”（should）这一术语表示建议。本标准的主要目的是使得认可机构在应用其评审认证机构所依据

10、的标准时能更有效地协调一致。本标准中术语“管理体系”和“体系”可以互换使用。管理体系的定义见GB/T 190002008（ISO9000:2005，IDT）。请勿将本标准中使用的管理体系与其他类型的系统混淆，例如，信息技术（以下简称“IT”）系统。注：GB/T 190002008已被GB/T 190002016代替。GB/T 25067201X/ISO/IEC 27006:20151信息技术安全技术信息安全管理体系审核和认证机构的要求1范围本标准在GB/T 27021.12017和GB/T 220802016的基础上，对实施ISMS审核和认证的机构规定了要求并提供了指南。本标准的主要目的是为I

11、SMS认证机构的认可提供支持。任何提供 ISMS 认证的机构，需要在能力和可靠性方面证实其满足本标准中的要求。本标准中的指南提供了对这些要求的进一步解释。注：本标准可以作为认可、同行评审或其他审核过程的准则性文件。2规范性引用文件下列文件对于本标准的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本标准。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本标准。GB/T 220802016信息技术安全技术信息安全管理体系要求（ISO/IEC 27001:2013,IDT）GB/T 27021.12017合格评定管理体系审核认证机构要求第1部分：要求（ISO/IEC 170

12、211:2015,IDT）GB/T 29246信息技术安全技术信息安全管理体系概述和词汇（ISO/IEC 27000，IDT）3术语和定义GB/T 27021.12017和GB/T 29246中界定的以及下列术语和定义适用于本标准。3.1认证文件certification document表明客户的ISMS符合指定的ISMS标准及ISMS所要求的任何补充性文件的一类文件。4原则GB/T 27021.12017第4章的原则适用。5通用要求5.1法律与合同事宜GB/T 27021.12017中5.1的要求适用。5.2公正性的管理GB/T 27021.12017中5.2的要求适用。并且，以下要求和指

13、南适用。5.2.1IS 5.2 利益冲突认证机构可以从事以下工作，不会被视为咨询或具有潜在的利益冲突：GB/T 25067201X/ISO/IEC 27006:20152a）安排培训课程并参与讲授。如果这些课程涉及信息安全管理、有关的管理体系或审核时，认证机构应仅限于提供可公开获取的通用信息和建议，即认证机构不应针对具体公司提供那些违反下面 b)要求的建议；b）根据请求，提供或发布认证机构对认证审核标准要求的解释性信息（见 9.1.3.6）；c）审核前活动，仅以确定认证审核是否就绪为目的，但是这些活动不应导致提供违反本条款的建议和意见。认证机构应能够证实这些活动不违反本条款的要求，且没有把这些

14、活动作为减少最终认证审核时间的理由；d）按照认可范围之外的标准或法规，实施第二方审核或第三方审核；e）在认证审核和监督审核过程中的增值活动，例如在审核过程中，当改进机会明显时，识别改进机会但不推荐具体的解决方案。认证机构不应为客户寻求认证的ISMS提供内部信息安全评审。此外，认证机构应独立于提供ISMS内部审核的机构（包括任何个人）。5.3责任和财力GB/T 27021.12017中5.3的要求适用。6结构要求GB/T 27021.12017第6章的要求适用。7资源要求7.1人员能力GB/T 27021.12017中7.1的要求适用。并且，以下要求和指南适用。7.1.1IS 7.1.1 总体考

15、虑7.1.1.1通用的能力要求认证机构应确保其具备与所评估的客户ISMS有关的、最新的技术知识和法律法规知识。认证机构应参照GB/T 27021.12017的表A.1为每项认证职能确定能力要求。认证机构应考虑GB/T 27021.12017以及本标准7.1.2和7.2.1中所规定的、与认证机构所确定的ISMS技术领域相关的所有要求。附录A提供了特定认证职能的人员能力要求的摘要。7.1.2IS 7.1.2 能力准则的确定7.1.2.1实施 ISMS 审核的能力要求7.1.2.1.1 总体要求认证机构应有验证审核组成员的背景经验、特定培训或情况说明的准则，以确保审核组至少具备：a）信息安全的知识；

16、b）与受审核的活动相关的技术知识；c）管理体系的知识；d）审核原则的知识；注：有关审核原则的进一步信息，参见GB/T 19011。GB/T 25067201X/ISO/IEC 27006:20153e）ISMS 监视、测量、分析和评价的知识。除了b)可以在作为审核组成员的审核员之间共享外，以上a）-e）适用于作为审核组成员的所有审核员。审核组应有能力将客户ISMS中信息安全事件的迹象追溯到ISMS的相应要素。审核组应有关于上述知识项的适当工作经历且实际应用过这些知识项（这不意味着一个审核员需要具有信息安全所有领域的全面的经验，但审核组整体上应对被审核的领域具备足够的认识和经验）。7.1.2.1

17、.2信息安全管理术语、原则、实践和技术审核组所有成员作为一个整体，应具有以下知识：a）ISMS 特定文件的结构、层级和相互关系；b）信息安全管理相关的工具、方法、技术及其应用；c）信息安全风险评估和风险管理；d）ISMS 适用的过程；e）当前可能与信息安全相关的或可能面临信息安全问题的技术。每个审核员应满足a）、c）和d）。7.1.2.1.3信息安全管理体系标准和规范性文件参与ISMS审核的审核员，应具有以下知识：a）GB/T 220802016的所有要求；审核组所有成员作为一个整体，应具有以下知识：b）GB/T 22081（如确定有必要，还可来源于特定行业标准）中的所有控制及其实现，这些控制

18、分为以下类别：1）信息安全策略；2）信息安全组织；3）人力资源安全；4）资产管理；5）访问控制，包括授权；6）密码；7）物理和环境安全；8）运行安全，包括IT服务；9）通信安全，包括网络安全管理和信息传输；10）系统获取、开发和维护；11）供应商关系，包括外包服务；12）信息安全事件管理；13）业务连续性管理的信息安全方面，包括冗余；14）符合性，包括信息安全评审。7.1.2.1.4业务管理实践参与ISMS审核的审核员，应具有以下知识：a）行业的信息安全最佳实践和信息安全规程；b）信息安全的策略和业务要求；c）通用业务管理的概念、实践，以及方针、目标和结果之间的相互关系；d）管理过程和相关的术

19、语。注：这些过程也包括人力资源管理、内部沟通、外部沟通和其他的相关支持过程。GB/T 25067201X/ISO/IEC 27006:201547.1.2.1.5客户的业务领域参与ISMS审核的审核员，应具有以下知识：a）特定的信息安全领域、地域和管辖范围的法律法规要求；注：具备法律法规要求的知识，不意味着要有深厚的法律背景。b）与业务领域相关的信息安全风险；c）与客户业务领域相关的通用术语、过程和技术；d）相关业务领域的实践。准则a）可在审核组内共享。7.1.2.1.6客户的产品、过程和组织审核组所有成员作为一个整体，应具有以下知识：a）组织类型、规模、治理、结构、职能和关系对ISMS的开发

20、与实施和认证活动的影响，包括外包；b）广义上的复杂运营；c）适用于产品或服务的法律法规要求。7.1.2.2领导 ISMS 审核组的能力要求除了7.1.2.1中的要求，审核组组长应满足以下要求，且应在有指导和监督的审核中予以证实：a）具备管理认证审核过程和审核组的知识和技能；b）具备有效的口头和书面沟通能力。7.1.2.3实施申请评审的能力要求7.1.2.3.1信息安全管理体系标准和规范性文件实施申请评审以确定所需的审核组能力、选择审核组成员并确定审核时间的人员，应具备以下知识：a）认证过程中所用的相关ISMS标准和其他规范性文件。7.1.2.3.2客户的业务领域实施申请评审以确定所需的审核组能

21、力、选择审核组成员并确定审核时间的人员，应具备以下知识：a）与客户业务领域相关的通用术语、过程、技术和风险。7.1.2.3.3客户的产品、过程和组织实施申请评审以确定所需的审核组能力、选择审核组成员并确定审核时间的人员，应具备以下知识：a）客户产品、过程、组织类型、规模、治理、结构、职能以及ISMS的开发与实施和认证活动之间的关系，包括外包的职能。7.1.2.4复核审核报告并做出认证决定的能力要求7.1.2.4.1总则复核审核报告并作出认证决定的人员应具备知识，使其能够验证认证范围的适宜性、范围的变更以及变更对审核有效性的影响，特别是识别接口与依赖关系的持续有效性和相应的风险。此外，复核审核报

22、告并作出认证决定的人员应具备以下知识：GB/T 25067201X/ISO/IEC 27006:20155a）通用的管理体系；b）审核过程和程序；c）审核原则、实践和技巧。7.1.2.4.2信息安全管理术语、原则、实践和技术复核审核报告并作出认证决定的人员，应具备以下知识：a）7.1.2.1.2中a）、c）、d）所列条目；b）与信息安全相关的法律法规要求。7.1.2.4.3信息安全管理体系标准和规范性文件复核审核报告并作出认证决定的人员，应具备以下知识：a）认证过程中所用的相关ISMS标准和其他规范性文件。7.1.2.4.4客户的业务领域复核审核报告并作出认证决定的人员，应具备以下知识：a）与

23、相关业务领域实践有关的通用术语和风险。7.1.2.4.5客户的产品、过程和组织复核审核报告并作出认证决定的人员，应具备以下知识：a）客户的产品、过程、组织类型、规模、治理、结构、职能和关系。7.2参与认证活动的人员GB/T 27021.12017中7.2的要求适用。并且，以下要求和指南适用。7.2.1IS 7.2 证实审核员的知识和经验认证机构应通过以下方面来证实审核员具备知识和经验：a）获得承认的 ISMS 特定资格；b）适用时，注册为审核员；c）参加 ISMS 培训课程并获得相关的个人证书；d）最新的持续专业发展记录；e）由另一个 ISMS 审核员见证 ISMS 审核。7.2.1.1选择审

24、核员除7.1.2.1之外，选择审核员的准则应确保每位审核员：a）具备相当于大学教育水平的专业教育或培训；b）在信息技术方面具备至少 4 年的全职实际工作经历，其中至少 2 年的工作经历来自与信息安全有关的职责或职能；c）成功地完成至少 5 天的培训，培训范围包括 ISMS 审核和审核管理；d）在被赋予审核员责任之前，已获得整个信息安全评估过程的经验。宜通过参与最少 4 次、总天数至少 20 天（其中最多 5 天可来自于监督审核）的 ISMS 认证审核（包括再认证审核和监督审核）来获得这种经验。参与审核时，应包括评审文件与风险评估，评估实施情况和报告审核情况；e）具备相关的且合乎时宜的经验；f）

25、通过持续的专业发展，保持当前在信息安全和审核方面的知识和技能是最新的。GB/T 25067201X/ISO/IEC 27006:20156技术专家应符合准则a)、b)和e)。7.2.1.2选择领导审核组的审核员除了7.1.2.2和7.2.1.1外，选择领导审核组的审核员的准则应确保该审核员：a）已经积极参与过至少 3 次 ISMS 审核的所有阶段。参与审核时，应包括初次的范围识别与策划、评审文件与风险评估、评估实施情况和正式地报告审核情况。7.3外部审核员和外部技术专家的使用GB/T 27021.12017中7.3的要求适用。并且，以下要求和指南适用。7.3.1IS 7.3 使用外部审核员或外

26、部技术专家作为审核组的一部分技术专家应在审核员的监督下进行工作。7.2.1.1 列出了技术专家的最低要求。7.4人员记录GB/T 27021.12017中7.4的要求适用。7.5外包GB/T 27021.12017 中 7.5 的要求适用。8信息要求8.1公开信息GB/T 27021.12017 中 8.1 的要求适用。8.2认证文件GB/T 27021.12017 中 8.2 的要求适用。并且，以下要求和指南适用。8.2.1IS 8.2 ISMS 认证文件认证文件应由负责此项职责的人员签署。认证文件应包括适用性声明的版本。注：如果适用性声明的变更没有改变认证范围中控制的覆盖范围，则不要求更新

27、认证证书。认证文件也可以包括对所用的特定行业标准的标识。8.3认证的引用和标志的使用GB/T 27021.12017 中 8.3 的要求适用。8.4保密GB/T 27021.12017 中 8.4 的要求适用。并且，以下要求和指南适用。8.4.1IS 8.4 组织记录的获取在认证审核之前，认证机构应要求客户报告是否存在因包含保密性或敏感性信息而导致不能提供给审核组核查的 ISMS 相关信息（例如 ISMS 记录或关于控制的设计与有效性的信息）。认证机构应确定 ISMS 是否能在缺少这些信息的情况下得到充分审核。如果认证机构的结论是若不核查已识别的保密性或敏感性信息就不能对 ISMS 进行充分地

28、审核，那么认证机构则应告知客户只有在适当的访问安排获得许可后才能进行认证审核。GB/T 25067201X/ISO/IEC 27006:201578.5认证机构与其客户间的信息交换GB/T 27021.12017 中 8.5 的要求适用。9过程要求9.1 认证前的活动9.1.1申请GB/T 27021.12017 中 9.1 的要求适用。并且，以下要求和指南适用。9.1.1.1IS 9.1.1 申请准备认证机构应要求客户具有一个已文件化且已实施的、符合 GB/T 220802016 和认证所要求的其他文件的 ISMS。9.1.2申请评审GB/T 27021.12017 中 9.1.2 的要求适

29、用。9.1.3审核方案GB/T 27021.12017 中 9.1.3 的要求适用。并且，以下要求和指南适用。9.1.3.1IS 9.1.3 总则ISMS 审核的审核方案应考虑所确定的信息安全控制。9.1.3.2IS 9.1.3 审核方法认证机构的程序不应预先假定 ISMS 实施的特殊方式或文件和记录的特殊格式。认证程序应将重点放在确定客户的 ISMS 满足 GB/T 220802016 的要求和客户的策略与目标。注：ISO/IEC 27007给出了有关审核的进一步指南。9.1.3.3IS 9.1.3 初次审核的总体准备认证机构应要求客户为调阅内部审核报告和信息安全独立评审报告做出所有的必要安

30、排。在认证审核的第一阶段，客户应至少提供以下信息：a）ISMS 和其所覆盖活动的一般信息；b）GB/T 220802016 中所规定的、必要的 ISMS 文件的副本，以及必要的相关文件。9.1.3.4IS 9.1.3 评审周期如果一个 ISMS 没有至少实施过一次覆盖认证范围的管理评审和内部审核，认证机构不应对该ISMS 实施认证。9.1.3.5IS 9.1.3 认证范围审核组应根据所有适用的认证要求，对包含在确定范围内的客户 ISMS 进行审核。认证机构应确认客户在其 ISMS 范围内满足了 GB/T 220802016 中 4.3 的要求。认证机构应确保：客户的信息安全风险评估和风险处置准

31、确地体现了其活动，并延伸到认证范围内所界定的、其活动的边界。认证机构应确认这在客户的 ISMS 范围和适用性声明中得到了体现。认证机构应验证每个认证范围至少有一个适用性声明。GB/T 25067201X/ISO/IEC 27006:20158认证机构应确保：与不完全包含在 ISMS 范围内的服务或活动的接口，已在寻求认证的 ISMS 中得到说明，并已包括在客户的信息安全风险评估中。与其他机构共享设施（例如，IT 系统、数据库、通信系统或外包一项业务职能），是这类情形的一个示例。9.1.3.6IS 9.1.3 认证审核准则客户 ISMS 接受审核的准则应是 ISMS 标准 GB/T 220802

32、016。与所履行的职能相关的其他文件，可以作为认证要求。9.1.4确定审核时间GB/T 27021.12017 中 9.1.4 的要求适用。并且，以下要求和指南适用。9.1.4.1IS 9.1.4 审核时间认证机构应给予审核员足够的时间来开展与初次审核、监督审核或再认证审核相关的所有活动。总审核时间的计算，应包括报告审核情况所需的充足时间。认证机构应使用附录 B 来确定审核时间。注：附录C提供了计算审核时间的进一步指南和示例。9.1.5多场所的抽样GB/T 27021.12017 中 9.1.5 的要求适用。并且，以下要求和指南适用。9.1.5.1IS 9.1.5 多场所9.1.5.1.1 当

33、客户拥有满足以下 a)至 c)的多个场所时，认证机构可以考虑使用基于抽样的方法进行多场所认证审核：a）所有的场所在同一个 ISMS 下运行且该 ISMS 实行集中统一的管理、审核和管理评审；b）所有的场所都包含在客户的 ISMS 内部审核方案中；c）所有的场所都包含在客户的 ISMS 管理评审方案中。9.1.5.1.2 认证机构使用基于抽样的方法时，应有适宜的程序以确保：a）在初次的合同评审时，最大程度地识别场所之间的差异，以便确定适当的抽样水平；b）结合以下因素，认证机构抽取具有代表性的场所：1)总部及其他场所的内部审核的结果；2)管理评审的结果；3)场所规模的差异；4)各场所业务目的的差异

34、；5)不同场所的信息系统的复杂程度；6)工作实践的差异；7)所实施的活动的差异；8)控制的设计与运行的差异；9)与关键的信息系统或处理敏感信息的信息系统之间的潜在交互；10)任何不同的法律要求；11)地域因素和文化因素；12)场所的风险状况；13)发生在特定场所的信息安全事件。GB/T 25067201X/ISO/IEC 27006:20159c）从客户 ISMS 范围内的所有场所中选择具有代表性的样本，该选择应基于一个可体现上述 b)中所列因素的判定，同时也考虑随机因素；d）在授予认证之前，认证机构审核了 ISMS 中每个具有重大风险的场所；e）根据上述要求设计审核方案，且审核方案要在三年内

35、覆盖 ISMS 认证范围内的代表性样本；f）无论是在总部还是在单个场所发现不符合，纠正措施程序的实施适用于证书所覆盖的总部和所有场所。审核应关注客户总部为确保一个单一的 ISMS 适用于所有场所并在运行层面上实施统一管理所进行的活动。审核应关注上述所有事项。9.1.6多管理体系标准GB/T 27021.12017 中 9.1.6 的要求适用。并且，以下要求和指南适用。9.1.6.1IS 9.1.6 ISMS 文件与其他管理体系文件的整合只要能够清楚地识别 ISMS 以及 ISMS 与其他管理体系的适当接口，认证机构可以接受多个管理体系文件相结合的文件（例如，信息安全、质量、健康与安全、环境）。

36、9.1.6.2IS 9.1.6 管理体系结合审核只要能够证实审核满足了 ISMS 认证的所有要求，ISMS 审核可以和其他管理体系审核相结合。在审核报告中，所有对 ISMS 重要的要素应清晰地体现并易于识别。审核的质量不应因结合审核而受到负面影响。9.2策划审核9.2.1确定审核目的、范围和准则GB/T 27021.12017 中 9.2.1 的要求适用。并且，以下要求和指南适用。9.2.1.1IS 9.2.1 审核目的审核目的应包括确定管理体系的有效性，以确保客户已根据风险评估实施了适用的控制并实现了所设立的信息安全目标。9.2.2选择和指派审核组GB/T 27021.12017 中 9.2

37、.2 的要求适用。并且，以下要求和指南适用。9.2.2.1IS 9.2.2 审核组认证机构应正式任命审核组并为其提供相应的工作文件。认证机构应明确地规定审核组的任务,并使客户知晓。审核组可以由一个人组成，只要其满足 7.1.2.1 中所规定的全部准则。9.2.2.2IS 9.2.2 审核组能力本标准 7.1.2 的要求适用。对于监督和特殊审核活动，仅与所安排的监督活动和特殊审核活动相关的那些要求适用。当为特定认证审核选择审核组时，认证机构应确保每次委派时审核组的能力是适宜的。审核组应：a）对拟认证的 ISMS 范围内的特定活动具备适当的技术知识，以及相关时，对这些活动的相关规程和其潜在信息安全

38、风险具备适当的技术知识（技术专家可以履行此项职责）；GB/T 25067201X/ISO/IEC 27006:201510b）理解客户，足以基于客户 ISMS 范围和组织环境对其 ISMS（该体系管理着客户的活动、产品和服务的信息安全）进行可靠的认证审核；c）适当地理解适用于客户 ISMS 的法律法规要求。注：适当地理解法规要求不意味着要有深厚的法律背景。9.2.3审核计划GB/T 27021.12017 中 9.2.1 的要求适用。并且，以下要求和指南适用。9.2.3.1IS 9.2.3 总则ISMS 审核计划应考虑所确定的信息安全控制。9.2.3.2IS 9.2.3 网络支持审核技术如适宜

39、，审核计划应识别审核中将使用的网络支持审核技术。注：网络支持审核技术可包括：例如，电话会议、网络会议、基于网络的交互式通信和远程电子访问ISMS文件和（或）ISMS过程。对这些技术的关注重点，宜是提高审核的有效性与和效率，并支持审核过程的完整性。9.2.3.3IS 9.2.3 审核时间的选择认证机构宜与拟审核的组织就选择一个能最有效地证实其全部范围的审核时间达成一致。适当时，可考虑季度、月份、日期和班次。9.3初次认证GB/T 27021.12017 中 9.3 的要求适用。并且，以下要求和指南适用。9.3.1IS 9.3.1 初次认证审核9.3.1.1IS 9.3.1.1 第一阶段在该审核阶

40、段，认证机构应获取有关 ISMS 设计的文件，其中包括 GB/T 220802016 所要求的文件。认证机构应充分了解在组织环境下所进行的 ISMS 设计、风险评估和处置（包括所确定的控制）、信息安全方针和目标，以及特别是客户的审核准备情况。在此基础上，才能进行第二阶段的策划。第一阶段的结果应形成书面报告。在决定进行第二阶段之前，认证机构应审查第一阶段的审核报告，以便为第二阶段选择具备所需能力的审核组成员。认证机构应让客户知晓第二阶段可能需要详细检查的、更多类型的信息和记录。9.3.1.2IS 9.3.1.2 第二阶段9.3.1.2.1 基于第一阶段审核报告中的审核发现，认证机构制定实施第二阶

41、段的审核计划。除了评价ISMS 的有效实施之外，第二阶段的目的是：a）确认客户遵守自身的方针、目标和规程。9.3.1.2.2 为此，审核应重点关注客户的：a）最高管理层对信息安全方针和信息安全目标的领导和承诺；b）GB/T 220802016 中所列的文件要求；c）对与信息安全有关的风险的评估，以及在重复评估时可产生一致的、有效的和可比较的结果；d）基于风险评估和风险处置过程所确定的控制目标和控制；e）根据信息安全目标对其实施了评价的信息安全绩效和 ISMS 有效性；GB/T 25067201X/ISO/IEC 27006:201511f）所确定的控制、适用性声明和风险评估与风险处置过程的结果

42、，与信息安全方针和目标之间的一致性；g）控制的实现（见附录 D），考虑了外部环境、内部环境、相关的风险，以及组织为确定控制是否得以实现、有效且达到其所规定的信息安全目标而对信息安全过程和控制进行的监视、测量与分析；h）方案、过程、规程、记录、内部审核和对 ISMS 有效性的评审，以确保其可被追溯至管理决定、信息安全方针和信息安全目标。9.4实施审核GB/T 27021.12017 中 9.4 的要求适用。并且，以下要求和指南适用。9.4.1IS 9.4 总则认证机构应具备文件化的程序，以：a）依据 GB/T 27021.12017 的规定，对客户的 ISMS 进行初次认证审核；b）依据 GB/

43、T 27021.12017，对客户的 ISMS 定期进行监督审核和再认证审核，以确认其持续符合相关要求，并验证和记录客户为纠正所有的不符合而及时采取了纠正措施。9.4.2IS 9.4 ISMS 审核的特定要素认证机构，由审核组所代表，应：a）要求客户证实对信息安全相关风险的评估与 ISMS 范围内的 ISMS 运行是相关的和充分的；b）确定客户识别、检查和评价信息安全相关风险的规程及其实施结果是否与客户的方针、目标和指标相一致。认证机构还应确定用于风险评估的规程是否健全并得到正确实施。9.4.3IS 9.4 审核报告9.4.3.1 除了 GB/T 27021.12017 中 9.4.8 对审核

44、报告的要求之外，审核报告应提供以下信息或对这些信息的引用：a）审核的说明，其中包括文件评审摘要；b）对客户信息安全风险分析进行认证审核的说明；c）与审核计划的偏离（例如：在某一预定的活动上花费更多或更少的时间）；d）ISMS 的范围。9.4.3.2 审核报告应足够详细，以帮助和支持认证决定。审核报告应包括：a）所采用的主要审核路线和所使用的审核方法（见 9.1.3.2)；b）形成的观察结果，包括正面的（例如，值得注意的特征）和负面的（例如，潜在的不符合）；c）对客户的 ISMS 符合认证要求的评价意见和对不符合的清楚说明、所引用的适用性声明的版本，以及适用时，与客户以往认证审核结果的任何有用的

45、对照。完成的问卷、检查清单、观察结果、日志或审核员笔记可以构成完整的审核报告的一部分。如果使用这些方法，这些文件应作为支持认证决定的证据提供给认证机构。在审核过程中，有关被评价的样本的信息应包含在审核报告或其他认证资料中。报告应考虑客户所采用的内部组织和规程的充分性，以便对其ISMS建立信心。除了 GB/T 27021.12017 中 9.4.8 对审核报告的要求之外，报告还应包括：a）关于 ISMS 要求和信息安全控制的实现与有效性的、最重要的观察（正面的和负面的）的摘要；b）审核组关于客户的 ISMS 是否获得认证的建议，以及支持该建议的信息。GB/T 25067201X/ISO/IEC

46、27006:2015129.5认证决定GB/T 27021.12017 中 9.5 的要求适用。并且，以下要求和指南适用。9.5.1IS 9.5 认证决定除了 GB/T 27021.12017 的要求外，认证决定应基于审核报告（见 9.4.3）中审核组对客户的ISMS 是否通过认证的建议。通常情况下，对授予认证做出决定的人员或委员会不宜推翻审核组的负面建议。如果发生这种情况，认证机构应记录其做出推翻建议的决定的依据，并说明其合理性。只有具备充分的证据证实管理评审和 ISMS 内部审核的安排已经实施，且是有效的并将得到保持，才可向客户授予认证。9.6保持认证9.6.1总则GB/T 27021.1

47、2017 中 9.6.1 的要求适用。9.6.2监督活动GB/T 27021.12017 中 9.6.2 的要求适用。并且，以下要求和指南适用。9.6.2.1IS 9.6.2 监督活动9.6.2.1.1 监督审核程序，应与本标准中有关客户 ISMS 的认证审核的要求和指南保持一致。监督的目的是验证已被认证的ISMS得到持续实施、考虑由客户运作变化所引起的管理体系变化的影响并确认与认证要求的持续符合。监督审核方案应至少包括：a）管理体系的保持要素，如信息安全风险评估与控制的维护、ISMS 内部审核、管理评审和纠正措施；b）根据 ISMS 标准 GB/T 220802016 和认证所需的其他文件的

48、要求，与来自外部各方沟通；c）文件化的管理体系的变更；d）发生变更的区域；e）所选择的 GB/T 220802016 的要求；f）适宜时，其他所选择的区域。9.6.2.1.2 认证机构的每一次监督应至少审查以下方面：a）ISMS 在实现客户信息安全方针的目标方面的有效性；b）对与相关信息安全法律法规的符合性进行定期评价与评审的规程的运行情况；c）所确定的控制的变更，及其引起的适用性声明的变更；d）控制的实现和有效性（根据审核方案来审查）。9.6.2.1.3 认证机构应能够针对与风险相关的信息安全问题及其对客户的影响来调整监督方案，并说明监督方案的合理性。监督审核可以与其他管理体系的审核相结合。

49、报告应清晰地指出与每个管理体系相关的方面。在监督审核过程中，认证机构应检查客户提交给认证机构的申诉和投诉记录，并且在发现任何不符合或不满足认证要求时，还应检查客户是否对其自身的ISMS和规程进行了调查并采取了适当的纠正措施。特别是，监督报告应包括有关消除以往出现的不符合、适用性声明的版本和从上次审核之后发生的重大变更的信息。监督审核报告应至少完全覆盖本标准的9.6.2.1.1和9.6.2.1.2的要求。9.6.3再认证GB/T 25067201X/ISO/IEC 27006:201513GB/T 27021.12017 中 9.6.3 的要求适用。并且，以下要求和指南适用。9.6.3.1IS

50、9.6.3 再认证审核再认证审核程序，应与本标准中有关客户 ISMS 的初次认证审核的要求和指南保持一致。允许采取纠正措施的时间，应与不符合的严重程度和相关的信息安全风险相一致。9.6.4特殊审核GB/T 27021.12017 中 9.6.4 的要求适用。并且，以下要求和指南适用。9.6.4.1IS 9.6.4 特殊情况如果获得ISMS认证的客户对其管理体系做了重大修改，或者发生影响其获证基础的其他变更，实施特殊审核所必需的活动应遵从特别规定。9.6.5暂停、撤销或缩小认证范围GB/T 27021.12017 中 9.6.5 的要求适用。9.7申诉GB/T 27021.12017 中 9.7