ISO／IEC+27006：2007

ISO/IEC27006：2007标准全文1/2GB中华人民共和国国家标准GB/T××××—××××IdtISO/IEC27006：2007信息技术-安全技术信息安全管理体系审核认证机构的要求Informationtechnology---securitytechnology---Requirementsforbodiesprovidingauditandcertificationofinformationsecuritymanagementsyetems(征求意见稿)200×-××-××发布200×-××-××实施国家质量监督检验检疫总局发布目录前言简介1.范围2.规范性引用文件3.术语和定义4.原则5.通用要求5.1法律和合同事宜5.2公正性的管理5.3责任和财力6.结构要求6.1组织结构和最高管理层6.2维护公正性的委员会7.资源要求7.1管理层和人员的能力7.2参与认证活动的人员7.3外部审核员和外部技术专家的使用7.4人员记录7.5外包8.信息要求8.1可公开获取的信息8.2认证文件8.3获证客户名录8.4认证的引用和标志的使用8.5保密性8.6认证机构和其客户间的信息交换9.过程要求9.1通用要求9.2初次审核和认证9.3监督活动9.4再认证9.5特殊审核9.6暂停、撤消或缩小认证范围9.7申诉9.8投诉9.9申请组织和客户记录10.认证机构的管理体系要求10.1可选方式10.2方式1-GB/T19001-2000质量管理体系要求10.3方式2-通用的管理体系要求附录A（资料性）顾客组织复杂性和行业特定方面的分析附录B（资料性）审核员能力范围的示例附录C（资料性）审核时间附录D（资料性）对已实施ISO/IEC27001：2005附录A的控制复核指南参考书目前言本标准等同采用ISO/IEC27006：2007《信息技术—安全技术—信息安全管理体系审核和认证机构的要求》。本标准是信息安全标准族系列标准之一。本标准由全国认证认可标准化技术委员会（SAC/TC261）和全国信息安全标准化技术委员会（SAC/TC260）提出并归口。本标准起草单位：本标准参加单位：本标准主要起草人：本标准200×年××月××日首次发布。本标准由××××负责解释。简介ISO/IEC17021是为进行组织管理体系审核和认证的机构陈述准则的国际标准。如果这类机构根据ISO/IEC27001：2005，以审核和认证信息安全管理体系（ISMS）为目的，将被认可为符合ISO/IEC17021，附加要求和对ISO/IEC17021的指南是必要的。本标准负责提供。本标准的正文采用了ISO/IEC17021的结构，附加的对信息安全管理体系（ISMS）特定要求和关于信息安全管理体系（ISMS）认证的ISO/IEC17021的应用指南以字母“IS”进行识别。本标准全文使用的术语“应”用于说明反映ISO/IEC17021和ISO/IEC27001中要求的规定是强制性的。使用的术语“宜”说明这些规定虽然是构成对要求应用的指南，但只是期望被认证机构所采用。本标准的目的之一是为了确保认可机构更加有效地协调针对约定的用于评审认证机构的标准的应用。在本文中，认证机构的任何与本指南的偏离视为例外。在认证机构向认可机构证明这种例外以其他等效的方式满足ISO/IEC17021，ISO/IEC27001条款的相关要求和本标准的用意，这种偏离只有在具体问题具体分析的基础上才能得到许可。注：本标准全文中的术语“管理体系”和“体系”可替换使用。管理体系的定义见ISO9000：2005。本标准中使用的管理体系不应与其他类型的体系（例如：信息技术体系）混淆。信息技术—安全技术--信息安全管理体系审核和认证机构的要求1.范围本标准对信息安全管理体系（以下简称“ISMS”）审核和认证机构规定了要求并提供了指南，以作为对ISO/IEC17021：2006和ISO/IEC27001：2005中相关要求的补充。任何提供ISMS认证的机构需要在能力和可靠性方面证实其满足本标准的要求。本标准的指南为这些要求提供了进一步的解释。注：本标准可以作为认可、同行评审或其他审核过程的准则性文件。2．规范性引用文件下列引用的文件是应用本标准所不可缺少的。对于标注日期的引用文件，只有引用的版本适用。对于没有标注日期的引用文件，最新版本的引用文件（包括任何修订版）适用。ISO/IEC17021：2006合格评定——管理体系审核认证机构的要求ISO/IEC27001：2005信息技术——安全技术——信息安全管理体系——要求GB/T19011-2003质量和/或环境管理体系审核指南3．术语和定义本标准采用ISO/IEC17021：2006，ISO/IEC27001：2005中和以下的术语和定义。3.1认证证书由认证机构根据其认可条件颁发的，并带有认可标识或声明的一种文件。3.2认证机构按照已发布的ISMS标准和该体系所要求的任何补充性文件，对客户组织的ISMS进行评定和认证的第三方。3.3认证文件说明客户组织的ISMS符合规定的ISMS标准和该体系所要求的任何补充性文件。3.4标志依法注册的商标或在认可机构或认证机构的规则下颁发的受到保护的标识，显示对机构运行体系具有足够信心，或相关的产品或人员符合规定标准的要求。3.5组织职责、权限和相互关系得到安排的一组人员及设施。示例：公司、集团、商行、企事业单位、研究机构、慈善机构、代理商、社团或上述组织的部分或组合。4．原则ISO/IEC17021：2006的4条款中的原则适用。5．通用要求5.1法律和合同事宜ISO/IEC17021：2006的5.1条款中的要求适用。5.2公正性的管理ISO/IEC17021：2006的5.2条款中的要求适用。另外，以下ISMS特定要求和指南适用。5.2.1利益冲突认证机构可以执行以下职责，而不被视为咨询或具有潜在的利益冲突：a)认证，包括信息会议、策划会议、文件检查、审核（非ISMS内部审核或内部安全复核）和不合格的追踪。b)作为讲师安排和参与培训课程，如果这些课程与信息安全管理、有关的管理体系或审核相关，认证机构宜仅限于提供公众领域可以免费获取的通用的信息和建议，例如：他们不宜提供针对特定公司的、违反下述c)的要求的建议；c)有要求时，提供或发布描述认证机构对认证审核标准要求有关的解释信息；d)确定认证审核就绪的审核前的活动；但是，这类活动不宜提供违反本条款的建议或意见，并且认证机构宜能够确认这类活动不违反这些要求，及不使用这些活动来证明缩减最终认证审核时间的合理性；e)根据标准或法规实施认可范围以外进行的第二方或第三方审核；f)在认证审核和监督访问过程中增值，例如在审核过程中，当改进机会明显时，通过识别改进的机会而不推荐具体的解决方案来增值。认证机构应独立于对将要认证的客户组织的ISMS提供ISMS内部审核的机构（包括任何个人）之外。5.3责任与财力ISO/IEC17021：2006的5.3条款中的要求适用。6．结构要求6.1组织结构和最高管理层ISO/IEC17021：2006的6.1条款中的要求适用。6.2维护公正性的委员会ISO/IEC17021：2006的6.2条款中的要求适用。7．资源要求7.1管理层和人员的能力ISO/IEC17021：2006的7.1条款中的要求适用。另外，以下ISMS特定要求和指南适用。7.1.1管理层能力实施ISMS认证所需能力的最基本要素是选择、提供和管理其技能和综合能力适合审核活动和相关信息安全问题的人员。7.1.1.1能力分析和合同评审认证机构应确保了解所评审的客户ISMS有关的技术和法律发展的知识。认证机构应根据其运作的全部技术领域，具备对其需提供信息安全管理能力分析的有效体系。对于每个客户，认证机构在实施合同评审前，应能够证实其对每个相关行业的要求进行了能力分析（针对所评估出需求的技能评定）。然后，认证机构应在能力分析的基础上，与客户组织一起进行合同评审。特别地，认证机构应能够证明其具备完成以下活动的能力：a)对客户组织的活动领域及相关业务风险的理解；b)根据所识别的活动和与信息安全相关的对资产的威胁、脆弱性和对客户组织的影响来确定认证机构所需的能力；c)确认所需能力的可用性。7.1.1.2资源认证机构的管理应具备必要的过程和资源，以确定每个审核员是否能够胜任在其操作的认证范围所要求的工作。审核员的能力由已验证的背景经历和具体的培训或简历（见附录B）制定。认证机构应能够与其提供服务的所有客户进行有效地沟通。7.2参与认证活动的人员ISO/IEC17021：2006的7.2条款中的要求适用。另外，以下ISMS特定要求和指南适用。7.2.1认证机构人员的能力认证机构应具备胜任以下工作的人员：a)选择和验证适合审核的审核组内的ISMS审核员的能力；b)对ISMS审核员进行简单介绍并安排必要的培训；c)决定授予、保持、撤销、暂停、扩大或缩小认证；d)建立和运行申诉和投诉过程。7.2.1.1审核组的培训认证机构应具备培训审核组的准则，以确保：a)对ISMS标准和相关规范性文件的了解；b)对信息安全的理解；c)从业务角度，对风险评估和风险管理的理解；d)对受审活动的技术知识；e)对与ISMS相关的法规要求的通用知识；f)管理体系的知识；g)对基于GB/T19011-2003的审核原则的理解；h)对ISMS有效性评审和控制措施有效性测量的知识。这些培训要求适用于审核组的所有成员，除了d)可以在审核组成员之间分享。7.2.1.1.1当为具体认证审核选择指派审核组时，认证机构应确保的各项工作的技能是适宜的。审核组应：a)具备要认证的ISMS范围内的特定活动的技术知识，以及适宜时，与这些活动相关的规程及其潜在的信息安全风险的技术知识（非审核员的技术专家可以行使此项职责）；b)充分理解客户组织，以便对其ISMS在活动、产品和服务的管理信息安全方面进行可靠的认证审核；c)对适用于客户组织的ISMS的法规要求的适当的理解。7.2.1.1.2如必要，审核组可以由能够证明在适宜于审核的技术领域具备特定能力的技术专家进行补充。值得注意的是，技术专家不能作为ISMS审核员使用，但可为审核员对正在接受审核的管理体系的技术充分性事宜提供建议。认证机构应具备程序：a)依据审核员和技术专家的能力、接受的培训、资格和经历，选择审核员和技术专家；b)在认证审核中，初次对审核员和技术专家的行为进行评审，而后对审核员和技术专家的绩效进行监视。7.2.1.2决定过程的管理管理职责应具备技术能力和根据ISO/IEC27001：2005的要求，对授予、保持、扩大、缩小、撤销和暂停ISMS认证决定过程进行管理的能力。7.2.1.3ISMS审核员必备的教育、工作经历、审核员培训和审核经历7.2.1.3.1以下准则适用于ISMS审核组中的每个审核员。审核员应：a)具备中等教育程度；b)在信息技术方面具备至少4年的全职实际工作经历，其中具备至少2年与信息安全有关的职位或职责的工作经历；c)成功地完成5天的培训，包括ISMS审核和审核管理在内的培训范围被认为是适宜的；d)在作为审核员行使职责之前，已获得评审信息安全整个过程的经验。这种经验宜通过参与最少4次、总共天数为20天认证审核获得，包括文件评审和风险分析，实施评审和审核报告；e)具备时宜的工作经历；f)能够宏观地观察复杂的运行，并理解各单元在更大的客户组织中的职能；g)通过持续的专业发展，保持信息安全和审核知识和技能的更新。技术专家应遵守准则a)，b)，e)和f)。7.2.1.3.2除了7.2.1.3.1中的要求，审核组组长应满足以下要求。这些要求应在指导和监督下进行的审核中得到证明的：a)具备管理认证审核过程的知识和素质；b)至少具有一名实施过3次完整ISMS认证审核的审核员；c)证明具备口头和书面的有效沟通的能力。7.3外部审核员和外部专家的使用ISO/IEC17021：2006的7.3条款中的要求适用。另外，以下ISMS特定要求和指南适用。7.3.1使用外部审核员或外部技术专家作为