國家標(biāo)準(zhǔn)《信息技術(shù)-安全技術(shù)-信息安全管理體系審核和認(rèn)證機(jī)構(gòu)的要求》（征求意見稿）編制說明

工作簡況任務(wù)來源：當(dāng)前，越來越多的組織及其信息系統(tǒng)和網(wǎng)絡(luò)面臨著包括計(jì)算機(jī)詐騙、間諜、蓄意破壞、火災(zāi)、水災(zāi)等大范圍的安全威脅，諸如計(jì)算機(jī)病毒、計(jì)算機(jī)入侵、DoS攻擊等手段造成的信息災(zāi)難已變得更加普遍,有計(jì)劃而不易被察覺。組織對信息系統(tǒng)和信息服務(wù)的依賴意味著更易受到安全威脅的破壞，公共和私人網(wǎng)絡(luò)的互連及信息資源的共享增大了實(shí)現(xiàn)訪問控制的難度。但僅僅通過使用信息安全技術(shù)手段不能杜絕所有的重大安全風(fēng)險(xiǎn)，科學(xué)的安全管理手段也越來越重要。信息安全管理體系標(biāo)準(zhǔn)ISO/IEC27001標(biāo)準(zhǔn)發(fā)布后，很多組織參照信息安全管理模型，按照ISO/IEC27001標(biāo)準(zhǔn)建立組織完整的信息安全管理體系并實(shí)施與保持，達(dá)到動態(tài)的、系統(tǒng)的、全員參與、制度化的、以預(yù)防為主的信息安全管理方式，用最低的成本，使信息風(fēng)險(xiǎn)的發(fā)生概率和結(jié)果降低到可接受水平，并采取措施保證業(yè)務(wù)不會因風(fēng)險(xiǎn)的發(fā)生而中斷。同時(shí)通過第三方認(rèn)證機(jī)構(gòu)的認(rèn)證審核，持續(xù)改進(jìn)信息安全管理水平。但實(shí)施信息安全管理體系認(rèn)證審核的機(jī)構(gòu)眾多，如何保證各機(jī)構(gòu)能一致有效的實(shí)施信息安全管理體系的認(rèn)證審核，提升第三方認(rèn)證機(jī)構(gòu)的公信力，是一個(gè)重要的問題。新的修訂版ISO/IEC27006:2011無論是從標(biāo)準(zhǔn)內(nèi)容框架還是編寫思路上，都更能體現(xiàn)這些變化與需求。因此，及早與國際標(biāo)準(zhǔn)發(fā)展保持一致，開展標(biāo)準(zhǔn)的修訂工作是十分迫切和必要的。本項(xiàng)目將修訂現(xiàn)有國家標(biāo)準(zhǔn)GB/T25067-2010《信息技術(shù)安全技術(shù)信息安全管理體系認(rèn)證審核機(jī)構(gòu)要求》，引入新版國際標(biāo)準(zhǔn)ISO/IEC27006:2011的新思路和內(nèi)容框架，使我國具有信息安全管理體系建設(shè)、管理和認(rèn)證需求的組織機(jī)構(gòu)，更加科學(xué)、全面地改善自身的信息安全管理水平，同時(shí)為保證ISMS認(rèn)證審核機(jī)構(gòu)的能力提供技術(shù)依據(jù)。工業(yè)和信息化部電子工業(yè)標(biāo)準(zhǔn)化研究院，負(fù)責(zé)該項(xiàng)目的計(jì)劃與組織管理，形成標(biāo)準(zhǔn)草案；組織對標(biāo)準(zhǔn)草案的意見征求，研究意見和完成對標(biāo)準(zhǔn)文本草案的修改,形成征求意見稿；組織對征求意見稿進(jìn)行意見匯總，修改和完成標(biāo)準(zhǔn)送審稿；針對送審稿的審查意見，組織進(jìn)一步修改完善，形成標(biāo)準(zhǔn)報(bào)批稿；牽頭組織宣貫教材的編寫等。主要工作過程：1.2013.10-2013.12成立工作組，完成標(biāo)準(zhǔn)的草稿，第一次會議，分配工作任務(wù)。2.2014.1-2014.2標(biāo)準(zhǔn)編制組內(nèi)部對標(biāo)準(zhǔn)初稿進(jìn)行集中校對，并以多種形式征求專家和相關(guān)單位意見，形成標(biāo)準(zhǔn)草案。編寫標(biāo)準(zhǔn)草案編制說明、意見處理匯總表。3.2014.3--2014.6.30標(biāo)準(zhǔn)草案提交工作組，進(jìn)行專家審查，并在工作組成員單位范圍內(nèi)進(jìn)行標(biāo)準(zhǔn)草案投票；編制組根據(jù)反饋意見修改標(biāo)準(zhǔn)文本，形成標(biāo)準(zhǔn)征求意見稿；完善編制說明及意見處理匯總表。編制原則和主要內(nèi)容2.1編制原則本標(biāo)準(zhǔn)編制過程中遵循了以下原則：等同采用國際標(biāo)準(zhǔn)ISO/IEC27006:2011。目前信息安全管理體系（ISMS）標(biāo)準(zhǔn)在國內(nèi)不同領(lǐng)域和行業(yè)得到了廣泛的應(yīng)用和推廣，ISMS認(rèn)證在國內(nèi)發(fā)展也越來越快，因此，如何規(guī)范ISMS認(rèn)證審核機(jī)構(gòu)的管理，成為ISMS認(rèn)證認(rèn)可及認(rèn)證審核工作需要考慮的重點(diǎn)。而本標(biāo)準(zhǔn)提供了這樣的要求，對于認(rèn)可機(jī)構(gòu)以一致的方式對信息安全管理體系認(rèn)證機(jī)構(gòu)實(shí)施評審和認(rèn)可具有非常實(shí)用的指導(dǎo)意義。因此編制組經(jīng)討論，決定等同采用國際標(biāo)準(zhǔn)ISO/IEC27006:2011《信息技術(shù)安全技術(shù)信息安全管理體系審核認(rèn)證機(jī)構(gòu)的要求》。準(zhǔn)確理解國際標(biāo)準(zhǔn)內(nèi)容。本標(biāo)準(zhǔn)是對國際標(biāo)準(zhǔn)ISO/IEC27006:2011的等同轉(zhuǎn)化，因此，本標(biāo)準(zhǔn)翻譯過程中，堅(jiān)持以準(zhǔn)確理解國際標(biāo)準(zhǔn)原文及含義為準(zhǔn)繩，同時(shí)采用中文語言習(xí)慣進(jìn)行表述，使文本語言的描述盡可能順利、通暢。遵從已有的術(shù)語和定義。由于本標(biāo)準(zhǔn)與已有ISMS國家標(biāo)準(zhǔn)有密切相關(guān)性，因此，本標(biāo)準(zhǔn)在術(shù)語和定義的使用上，采用了如下原則：已有信息安全術(shù)語定義的，遵從其定義；在其他ISMS標(biāo)準(zhǔn)中已經(jīng)定義過的術(shù)語，遵從其定義。2.2主要內(nèi)容本標(biāo)準(zhǔn)對信息安全管理體系（以下簡稱“ISMS”）審核和認(rèn)證的機(jī)構(gòu)規(guī)定了要求并提供了指南，以作為對ISO/IEC17021和ISO/IEC27001中相關(guān)要求的補(bǔ)充。本標(biāo)準(zhǔn)的主要目的是為實(shí)施ISMS認(rèn)證的認(rèn)證機(jī)構(gòu)的認(rèn)可提供支持（本標(biāo)準(zhǔn)的主要目的是為ISMS認(rèn)證機(jī)構(gòu)的認(rèn)可提供支持）。任何提供ISMS認(rèn)證的機(jī)構(gòu)需要在能力和可靠性方面證實(shí)其滿足本標(biāo)準(zhǔn)的要求。本標(biāo)準(zhǔn)的指南為這些要求提供了進(jìn)一步的解釋。本標(biāo)準(zhǔn)主要框架如下：前言 III引言 IV1范圍 12規(guī)范性引用文件 13術(shù)語和定義 14原則 25通用要求 25.1法律和合同事宜 25.2公正性的管理 25.2.1IS5.2利益沖突 25.3責(zé)任與財(cái)力 26結(jié)構(gòu)要求 26.1組織結(jié)構(gòu)和最高管理層 26.2維護(hù)公正性的委員會 27資源要求 37.1管理層和人員的能力 37.1.1IS7.1.1通用考慮 37.2參與認(rèn)證活動的人員 37.2.1IS7.2認(rèn)證機(jī)構(gòu)人員的能力 37.3獨(dú)立的外部審核員和外部專家的使用 57.3.1IS7.3使用外部審核員或外部技術(shù)專家作為審核組的一部分 57.4人員記錄 57.5外包 58信息要求 58.1可公開獲取的信息 58.1.1IS8.1授予、保持、擴(kuò)大、縮小、暫停和撤銷認(rèn)證的程序 58.2認(rèn)證文件 58.3獲證客戶名錄 68.4認(rèn)證的引用和標(biāo)志的使用 68.4.1IS8.4認(rèn)證標(biāo)志的控制 68.5保密性 68.5.1IS8.5組織記錄的訪問 68.6認(rèn)證機(jī)構(gòu)與其客戶間的信息交換 69過程要求 69.1通用要求 69.1.1IS9.1.1通用ISMS審核要求 69.1.2IS9.1.2認(rèn)證范圍 79.1.3IS9.1.3審核時(shí)間 79.1.4IS9.1.4多場所 79.1.5IS9.1.5審核方法 89.1.6IS9.1.6認(rèn)證審核報(bào)告 89.2初次審核和認(rèn)證 99.2.1IS9.2.1審核組的能力 99.2.2IS9.2.2初次審核的一般準(zhǔn)備 109.2.3IS9.2.3初次認(rèn)證審核 109.2.4IS9.2.4授予初次認(rèn)證的信息 129.2.5IS9.2.5認(rèn)證決定 129.3監(jiān)督活動 129.3.1IS9.3監(jiān)督審核 129.4再認(rèn)證 139.4.1IS再認(rèn)證審核 139.5特殊審核 139.5.1IS9.5特殊情況 139.6暫停、取消或縮小認(rèn)證范圍 139.7申訴 139.8投訴 139.8.1IS9.8投訴 139.9申請者和客戶記錄 1410認(rèn)證機(jī)構(gòu)的管理體系要求 1410.1選項(xiàng) 1410.2方式一：按照GB/T19001-2008的管理體系要求 1410.3方式二：通用的管理體系要求 1410.3.1IS10.3ISMS實(shí)施 14附錄A（資料性附錄）客戶組織復(fù)雜性和行業(yè)特定方面的分析 15附錄B（資料性附錄）審核員能力的示例 18附錄C（資料性附錄）審核時(shí)間 20附錄D（資料性附錄）對已實(shí)施的GB/T22080-2008附錄A的控制措施的評審指南25 主要試驗(yàn)（或驗(yàn)證）的分析、綜述報(bào)告，技術(shù)經(jīng)濟(jì)論證，預(yù)期的經(jīng)濟(jì)效果本標(biāo)準(zhǔn)為信息安全管理體系認(rèn)證機(jī)構(gòu)對組織的ISMS實(shí)施審核和認(rèn)證規(guī)定了要求并提供了指南，以作為對GB/T27021和GB/T22080中相關(guān)要求的補(bǔ)充。之前，我國已經(jīng)依據(jù)GB/T25067-2010《信息技術(shù)安全技術(shù)信息安全管理體系認(rèn)證審核機(jī)構(gòu)要求》開展了三年多的ISMS認(rèn)證審核機(jī)構(gòu)的認(rèn)可，各相關(guān)方對GB/T25067-2010中的術(shù)語、概念和要求已經(jīng)達(dá)成了一定程度的共識，轉(zhuǎn)化新版ISO/IEC27006:2011時(shí)面臨的主要問題是既要修訂舊版中某些術(shù)語和概念中不準(zhǔn)確的部分，又要做到舊版和新版的良好銜接。本標(biāo)準(zhǔn)不產(chǎn)生直接的經(jīng)濟(jì)效益，從國家主管部門對開展信息安全管理體系認(rèn)證的管理工作來看，本標(biāo)準(zhǔn)為提供ISMS認(rèn)證的認(rèn)證機(jī)構(gòu)的認(rèn)可提供支持。采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)的程度，以及與國際、國外同類標(biāo)準(zhǔn)水平的對比情況，或與測試的國外樣品、樣機(jī)的有關(guān)數(shù)據(jù)對比情況本標(biāo)準(zhǔn)等同采用國際標(biāo)準(zhǔn)ISO/IEC27006:2011。與有關(guān)的現(xiàn)行法律、法規(guī)和強(qiáng)制性國家標(biāo)準(zhǔn)的關(guān)系本標(biāo)準(zhǔn)符合現(xiàn)有法律法規(guī)。本標(biāo)準(zhǔn)與現(xiàn)有國家標(biāo)準(zhǔn)GB/T22080:2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》、GB/T22081:2008《信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則》都屬于信息安全管理體系標(biāo)準(zhǔn)族標(biāo)準(zhǔn)。GB/T22080:2008提供了建立信息安全管理體系的模型及每個(gè)過程的具體活動，可供用戶建立和實(shí)施滿足自身業(yè)務(wù)需求和安全需要的信息安全管理體系。GB/T22081:2008提供了一套通用的安全控制目標(biāo)和最佳實(shí)踐控制措施，可指導(dǎo)用戶選擇和實(shí)施控制措施以實(shí)現(xiàn)信息安全。本標(biāo)準(zhǔn)為依據(jù)GB/T22080:2008實(shí)施ISMS認(rèn)證審核的機(jī)構(gòu)規(guī)定了要求并提供了指南。另外本標(biāo)準(zhǔn)與GB/T27021《合格評定管理體系審核認(rèn)證機(jī)構(gòu)的要求》都屬于認(rèn)可標(biāo)準(zhǔn)。GB/T27021規(guī)定了管理體系認(rèn)證機(jī)構(gòu)的要求，貫徹這些要求旨在確保認(rèn)證機(jī)構(gòu)以有能力、一致和公正的方式實(shí)施管理體系認(rèn)證。本標(biāo)準(zhǔn)在GB/T27021標(biāo)準(zhǔn)要求的基礎(chǔ)了，補(bǔ)充了ISMS認(rèn)證機(jī)構(gòu)的要求。重大分歧意見的處理經(jīng)過和依據(jù)在標(biāo)準(zhǔn)修訂工作進(jìn)行中未出現(xiàn)重大分歧意見,具體內(nèi)容見標(biāo)準(zhǔn)報(bào)批稿意見匯總處理表。國家標(biāo)準(zhǔn)作為強(qiáng)制性國家標(biāo)準(zhǔn)或推薦性國家標(biāo)準(zhǔn)的建議建議本標(biāo)準(zhǔn)作為推薦性國家標(biāo)準(zhǔn)發(fā)布實(shí)施。貫徹國家標(biāo)準(zhǔn)的要求和措施建議（包括組織措施、技術(shù)措施、過渡辦法等內(nèi)容）本標(biāo)準(zhǔn)為信息安全管理體系認(rèn)證機(jī)構(gòu)對組織的信息安全管理體系實(shí)施審核和認(rèn)證規(guī)定了要求并提供了指南，以作為對GB/T27021《合格評定管理體系審核認(rèn)證機(jī)構(gòu)的要求》和GB/T22080《信息技術(shù)安全技術(shù)信息安全管理體系要求》中相關(guān)要求的補(bǔ)充。因此，本標(biāo)準(zhǔn)貫徹實(shí)施時(shí)，應(yīng)與上述兩個(gè)標(biāo)準(zhǔn)結(jié)合在一起進(jìn)行。其他事項(xiàng)說明本標(biāo)準(zhǔn)與國家標(biāo)準(zhǔn)GB/T27021《合格評定管理體系審核認(rèn)證機(jī)構(gòu)的要求》都屬于認(rèn)可要求標(biāo)準(zhǔn)，標(biāo)準(zhǔn)內(nèi)容相關(guān)性強(qiáng)。本標(biāo)準(zhǔn)正文遵循GB/T27021的結(jié)構(gòu)，且在標(biāo)準(zhǔn)文本中大量引用GB/T270