GB T 25067-2010 信息技术 安全技术 信息安全管理体系审核认证机构的要求.pdf

《GB T 25067-2010 信息技术 安全技术 信息安全管理体系审核认证机构的要求.pdf》由会员分享，可在线阅读，更多相关《GB T 25067-2010 信息技术 安全技术 信息安全管理体系审核认证机构的要求.pdf（34页珍藏版）》请在麦多课文档分享上搜索。

1、ICS 35.040 L 80 GB 中华人民圭t./、不日国国家标准数量马防伪飞GB/T 25067-20 1 O/ISO/IEC 27006 :2007 信息技术安全技术信息安全管理体系审核认证机构的要求Information technology-Security techniques Requirements for bodies providing audit and certification of information security management systems (lSO/IEC 27006: 2007 , IDT) 2010-09-02发布中华人民共和国国家质量监

2、督检验检夜总局中国国家标准化管理委员会2011-02-01实施发布GB/T 25067-201 O/ISO/IEC 27006: 2007 目次EN-1222222222234444455555558MH口口口口MUM-换用交使息的信uu家H的uu国录3司用间酣记求层f使织-E酷会力员如的组M瞅瞅管员能人部息录志户宜高委的的外信名标客证如仲剧件uuu事理最的员动和的织和其认HH或川军雪同管力和性u人活员取-组用与与如剧时式u用义u合的财构正口和证核录u获件户引构求核动核撤u萝构方引定求与性和求结公求层认审记求开文客的性机求要审活证审、组机选性和u要律咀任要织护要理与部员包要公证证证密证要用次督

3、认殊停诉诉请证可围范语则用法么责构组维源管参外人外息可认获认保认程通初监再特暂申投申认范规术原通结资信过一一口士一口1231212345123456123456789前引12345丘tt6队队71111188.8.8.8.8.8.99.9.9.9.111队队四川G/T 25067-2010/ISO/IEC 27006:2007 10.2 方式一:按照GB/T19001-2008的管理体系要求1210. 3 方式二:通用的管理体系要求. . . . . . . . . . . . . . . 12 附录A(资料性附录)客户组织复杂性和行业特定方面的分析13附录B(资料性附录)审核员能力的示例附录

4、c(资料性附录)审核时间.附录D(资料性附录)对己实施的GB/T22080-2008附录A的控制措施的评审指南21E GB/T 25067-20 1 O/ISO/IEC 27006 :2007 目IJ1=1 本标准等同采用ISO/IEC27006: 2007(信息技术安全技术信息安全管理体系审核认证机构的要求。本标准是信息安全管理体系标准族的标准之一。为了便于理解，并与GB/T27021-2007和GB/T22080-2008协调，本标准针对ISO/IEC27006: 2007做以下编辑性处理:一一针对认证机构的管理时，用词、汇程序表示procedure;针对客户组织的管理时，用词汇规程表示p

5、rocedure; 一一针对认证机构的管理时，用词汇政策表示policies;针对客户组织的管理时，用词汇策略表示policies; 一一用词汇客户组织表示client或clientorganization; 一一用词汇审核时间表示audittime或autitor time。本标准的附录A、附录B、附录C和附录D是资料性附录。本标准由全国认证认可标准化技术委员会(SAC/TC261)和全国信息安全标准化技术委员会(SAC/TC 260)提出。本标准由全国信息安全标准化技术委员会(SAC/TC260)归口。本标准起草单位:中国合格评定国家认可中心、中国电子技术标准化研究所、北京知识安全工程中心

6、、广东赛宝认证中心服务有限公司、中国信息安全认证中心、华夏认证中心有限公司、北京同方信息安全技术股份有限公司、北京北大青鸟商用信息系统有限公司、中讯软件集团股份有限公司。本标准主要起草人:刘晓红、胡啸、汪修慈、王新杰、宋红茹、闵京华、王梅、王连强、费杨、韩硕祥、赵战生、委天峰、委丹、布宁、刘宇。皿GjT 25067-2010jISOjIEC 27006 :2007 sl GBjT 27021-2007是针对实施组织管理体系审核和认证的机构提出运作准则的国家标准，它等同采用ISO/IEC17021: 2006。如果这类机构按照GB/T22080-2008开展以信息安全管理体系。SMS)审核和认证

7、为目的的活动，并打算依据GB/T27021-2007获得认可，对GB/T27021-2007增加一些要求和指南是必要的。本标准提供了这样的内容。本标准正文遵循GB/T27021-2007的结构，针对ISMS审核和认证所增加的特定要求和指南，用IS加以标识。贯穿本标准全文，使用应(shall)这一术语，以表示本标准中与GB!T27021-2007和GB/T22080-2008的要求相对应的条款是要求性的，认证机构必须遵循;使用宜(shQuld)这一术语，以表示尽管本标准中与GB/T27021 Z007和GB/T22080-2008的要求相对应的条款是指南性的，构成了对这些标准中要求的应用指南，但

8、仍然期望认证机构采纳。本标准的目的之一是使得那些认可机构能够更加协调一致地应用评审认证机构所依据的标准。认证机构在贯彻本标准的指南性条款时所形成的任何不同，可视为一个例外。针对这种不同，只有当认证机构向认可机构证实那些例外以等效的方式满足GB/T27021-2007和GB/T22080-2008的相关条款要求以及本标准的意图时，并仅在具体问题具体分析的基础上才被允许。N GB/T 25067-20 1 O/ISO/IEC 27006 :2007 信息技术安全技术信息安全管理体系审核认证机构的要求1 范围本标准对实施信息安全管理体系(以下简称ISMS)审核和认证的机构提出要求并提供指南，以作为对

9、GB/T270212007和GB/T22080-2008要求的补充。制定本标准的主要意图是对实施ISMS认证的认证机构的认可提供支持。任何提供ISMS认证的机构需要在能力和可靠性方面证实其满足本标准的要求。本标准的指南性条款为这些要求提供了进一步的说明。注:本标准可以作为认可、同行评审或其他审核过程的准则性文件。2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T 19

10、011 质量和(或)环境管理体系审核指南(GB/T19011-2003 , ISO/IEC 19011: 2002 , IDT) GB/T 22080-2008信息技术安全技术信息安全管理体系要求CISO/IEC27001: 2005 , IDT) GB/T 27021-2007 合格评定管理体系审核认证机构的要求CISO/IEC17021: 2006 , IDT) 3 术语和定义GB/T 27021-2007和GB/T22080-2008中确立的以及下列术语和定义适用于本标准。3. 1 认证证书certificate 由认证机构依照认可条件颁发的，并带有认可标识或声明的一种文件。3.2 认证

11、机构certification body 按照正式发布的ISMS标准及ISMS所要求的任何补充性文件，对客户组织的ISMS进行评定和认证的第三方机构。3.3 认证文件certification document 表明客户组织的ISMS符合指定的ISMS标准及ISMS所要求的任何补充性文件的一类文件。3.4 标志mark 依法注册的商标或在认可机构或认证机构的规则下颁发的受到保护的标识，以表明对组织所运行的管理体系建立足够信心，或者表明相关的产品或人员符合指定标准的要求。3.5 组织organization 公司、集团、事务所、工厂、政府机构、科研机构、学校等，或者其部分或组合，元论其是否是法人

12、，还是公有或私有的，均具有其自身的职能和管理并能够确保实施其信息安全。1 GB/T 25067-201 O/ISO/IEC 27006: 2007 4 原则GB/T 270212007的4中的原则适用。5 通周要求5.1 法律与合同事宜GB/T 27021-2007的5.1中的要求适用。5.2 公正性的管理GB/T 27021-2007的5.2中的要求适用。并且，以下ISMS特定要求和指南适用。5.2. 1 IS 5.2利益冲突认证机构从事以下工作可不被视为咨询或具有潜在的利益冲突:a) 认证，其中包括信息南通会议、审核策划会议、文件评审、审核但不是ISMS内部审核或内部信息安全评审)和不符合

13、的跟踪。b) 作为讲师安排和参与培训课程，如果这些课程涉及信息安全管理、有关的管理体系或审核，认证机构宜仅限于提供可以公开自由获取的通用的信息和建议，例如，他们不宜针对具体公司提供那些违反下面c)要求的建议。c) 根据请求，提供或公开发布有关认证机构对认证审核标准的要求予以说明的信息。d) 仅以确定认证审核是否就结为目的的审核前活动，但是这些活动不宜导致提供违反本条款的建议和意见。认证机构需能够确认这些活动不违反这些要求，并且不能用这些活动作为缩减最终认证审核时间的理由。e) 根据标准或法规要求，实施认可范围以外的第二方或第三方审核。在认证审核和监督审核过程中的增值活动，例如，在审核过程中，当

14、改进机会明显时，识别改进的机会但不推荐具体的解决方案。认证机构应独立于为其所认证的客户组织ISMS提供ISMS内部审核的机构(也包括任何个人)。5.3 责任和财力GB/T 27021-2007的5.3中的要求适用。6 结构要求6. 1 组织结构和最高管理层GB/T 27021-2007的.1中的要求适用。6.2 维护公正性的委员会GB/T 27021-2007的6.2中的要求适用。7 资源要求7. 1 管理层和人员的能力GB/T 27021-2007的7.1中的要求适用。并且，以下ISMS特定要求和指南适用。7. 1. 1 IS7.1管理层能力为实施ISMS认证，管理层的基本能力是选择、提供和

15、管理那些具备与受审核的活动和有关的信息安全事宜相适应的技能和综合能力的人员。7. 1.1. 1 能力分析和合同评审认证机构应确保具备与所评定的客户组织ISMS有关的技术和法律发展的知识。认证机构应具有一个有效的能力分析系统，以便在其运作所涉及的全部技术领域就需要具备的信息安全管理方面的能力进行分析。GB/T 25067-201 O/ISO/IEC 27006: 2007 对于每个客户组织，认证机构在实施合同评审前，应能够证实其已经针对每个有关行业的要求进行了能力分析(针对所评估出的需求进行技能评定)。然后，认证机构应以该能力分析的结果为基础，对与客户组织的合同进行评审。尤其，认证机构应能够证实

16、其具备完成以下活动的能力:a) 理解客户组织的活动领域及相关业务风险;b) 根据所识别的活动以及有关客户组织的与信息安全有关的对资产的威胁、脆弱性和影响来确定认证机构实施认证所需的能力;c) 确认具备所需的能力。7. 1.1. 2 资源认证机构的管理应包括必要的过程和资源，以使认证机构能够确定每个审核员是否有能力针对认证范围从事所要求的工作。审核员的能力可以通过经验证的背景经历和特定的培训或情况说明(参见本标准的附录B)来确定。认证机构应能与其提供服务的所有客户组织进行有效的沟通。7.2 参与认证活动的人员GB/T 27021一2007的7.2中的要求适用。并且，以下ISMS特定要求和指南适用

17、。7.2.1 IS7.2认证机构人员能力认证机构应具备胜任以下工作的人员:a) 选择并验证ISMS审核员的能力，以使审核组适合审核;b) 向ISMS审核员进行情况说明并安排必要的培训11; c) 做出授予、保持、撤销、暂停、扩大或缩小认证的决定;d) 建立和运行申诉和投诉过程。7.2. 1. 1 审核组的培训认证机构应有审核组的培训准则，以确保审核组za) 具有ISMS标准和其他相关规范性文件的知识;b) 理解信息安全;。从业务角度，理解风险评估和风险管理;d) 具有与受审核的活动相关的技术知识;e) 具有与各类ISMS相关的法规要求的通用知识;f) 具有管理体系的知识;g) 理解基于GB/T

18、19011的审核原则;h) 具有评审ISMS有效性和测量控制措施有效性的知识。以上培训要求，除了上述d)可以在审核组成员之间共享外，其余均适用于审核组的所有成员。7.2.1.1.1 当为特定认证审核选择指派审核组时，认证机构应确保审核组实施各项工作的技能是适宜的。审核组应za) 针对拟认证的ISMS范围内的特定活动，具备适当的技术知识，以及(适宜时)与这些活动相关的规程和其潜在的信息安全风险方面的技术知识(非审核员的技术专家可以履行此项职责hb) 充分理解客户组织，以便对(管理客户组织活动、产品和服务的信息安全的)ISMS进行可靠的认证审核;c) 适当地理解适用于客户组织的ISMS的法规要求。

19、7.2. 1.1. 2 需要时，审核组的能力可以通过技术专家予以补充，这些技术专家应能够证实具备与受审核方活动相应的技术领域的特定能力。值得注意的是，技术专家不能作为ISMS审核员，但可就受审核方管理体系中技术充分性事宜为审核员提供建议。认证机构应就以下活动制定程序:a) 按照其能力、所接受的培训11、资格与经历来选择审核员和技术专家;b) 在认证审核中对审核员和技术专家的素质和能力进行初始评价，而后对审核员和技术专家的表现进行监视。3 G/T 25067-201 O/ISO/IEC 27006: 2007 7.2. 1. 2 决定过程的管理管理层应具备技术能力并能够对有关授予、保持、扩大、缩

20、小、暂停和撤销ISMS认证(依据GB/T 22080-2008要求)的决定过程进行管理。7.2. 1. 3 ISMS审核员在教育、工作经历、审核员培训和审核经历方面的必备条件7.2.1.3. 1 以下准则适用于ISMS审核组中的每个审核员。审核员应:a) 具备中等教育。b) 在信息技术方面具备至少4年的全职实际工作经历，其中至少2年的工作经历来自与信息安全有关的职责或职能。c) 成功地完成5天的培训，范围应包括ISMS审核和审核管理。d) 在被赋予审核员责任之前，己获得评定整个信息安全管理体系的经验。这种经验宜通过参与最少4次、总共天数至少20天的认证审核获得，其中包括文件评审、风险分析的评审

21、、现场审核和审核报告。e) 具备合乎时宜的经验。f) 能够广泛、透彻地认识复杂的运作，并理解在较大的客户组织中各单元的职能。g) 通过持续的专业发展，保持最新的信息安全和审核的知识与技能。技术专家应符合上述a)、b)、e)和f)准则。7.2. 1. 3. 2 除了7.2. 1. 3. 1中的要求，审核组组长应符合以下要求，并应通过在指导和监督下进行的审核中得到证实:a) 具备管理认证审核过程的知识和素质;b) 已经至少作为审核员实施过3次完整ISMS审核;c) 具备有效的口头和书面沟通能力。7.3 外部审核员和外部技术专家的使用GB/T 27021-2007的7.3中的要求适用。并且，以下IS

22、MS特定要求和指南适用。7.3.1 IS7.3使用外部审核员或外部技术专家作为审核组的一部分当使用外部审核员或外部技术专家作为审核组成员时，认证机构应确保其能够胜任及符合本标准适用的要求，并不以公正性可能受到威胁的方式直接或通过其雇主参与对ISMS或相关管理体系的设计、实施或维护。7.3. 1. 1 技术专家的使用具有有关影响客户组织的过程、信息安全和法律方面的特定知识，但未必满足本标准的7.2中的全部准则的技术专家，可以成为审核组成员。技术专家应在审核员的监督下进行工作。7.4 人员记录GB/T 27021-2007的7.4中的要求适用。7.5 外包GB/T 27021-2007的7.5中的

23、要求适用。8 信息要求8. 1 可公开获取的信息GB/T 27021-2007的8.1中的要求适用。并且，以下ISMS特定要求和指南适用。8. 1. 1 IS 8. 1授予、保持、扩大、缩小、暂停和撤销认证的程序认证机构应要求客户组织具有一个文件化并且已实施的符合GB/T22080-2008要求和认证所需其他文件要求的ISMSo4 认证机构应为以下活动准备形成文件的程序:a) 依据GB/T1901LGB/T 27021-2007和其他相关文件的规定，对客户组织ISMS进行初次认证审核;GB/T 25067-201 O/ISO/IEC 27006: 2007 b) 依据GB/T19011和GB/

24、T27021-2007，为确认客户组织持续符合相关要求，对其ISMS定期进行监督审核和再认证审核，并验证和记录客户组织是否对所有不符合及时采取纠正措施。8.2 认证文件GB/T 27021-2007的8.2中的要求适用。并且，以下ISMS特定要求和指南适用。8. 2. 1 IS 8. 2 ISMS的认证文件认证机构应向其ISMS被认证的客户组织提供认证文件，诸如由负责此项职责的人员签署的信函或认证证书。对于认证所覆盖的客户组织及其每个信息系统，这些文件应标明所授予认证的范围和认证所依据的标准GB/T22080一2008。此外，认证证书宜包括引用的适用性声明的特定版本。8.3 获证害户组织名录G

25、B/T 27021-2007的8.3中的要求适用。8.4 认证的引用和标志的使用GB/T 27021-2007的8.4中的要求适用。并且，以下ISMS特定要求和指南适用。8.4. 1 IS 8.4认证标志的控制认证机构应对ISMS认证标志的所有权、使用和展示方式进行适当的控制。如果认证机构授权使用标志来表明对ISMS的认证，认证机构宜确保客户组织仅使用由认证机构书面授权所规定的标志。认证机构不应授权客户组织在产品上使用这一标志，或以表示产品合格的方式使用这一标志。8.5 保密性GB/T 27021-2007的8.5中的要求适用。并且，以下ISMS特定要求和指南适用。8.5. 1 IS 8.5害

26、户组织记录的获取在认证审核之前，认证机构应要求客户组织报告是否存在不能提供给审核组的包含保密性或敏感性信息的ISMS记录。认证机构应确定ISMS是否能在缺少这些记录的情况下得到充分的审核。如果认证机构得出不对已识别的保密性或敏感性的记录进行核查就不能对ISMS进行充分审核的结论，就应告知客户组织，并只有获得适当的访问安排许可时才能进行认证审核。8.6 认证机构与其害户组织间的信息交换GB/T 27021-2007的8.6中的要求适用。9 过程要求9. 1 通用要求GB/T 27021-2007的9.1中的要求适用。并且，以下ISMS特定要求和指南适用。9. 1. 1 IS 9. 1. 1通用I

27、SMS审核要求9. 1. 1. 1 认证审核准则客户组织的ISMS接受审核的准则应是ISMS标准GB/T22080-2008所提出的要求和与其所实施的业务相关的认证所需的其他文件中的要求。如果需要对上述文件在特定认证方案中的应用做出解释，这种解释应由公正的和具备必要技术能力的相关委员会或人员给出，并由认证机构正式发布。9.1. 1. 2 政策和程序认证机构的管理体系文件应包括实施认证过程的政策和程序，其中包括对用于各类ISMS认证的那些文件的使用和应用情况的检查，也包括对用于审核和认证客户组织ISMS的那些程序的检查。9. 1. 1.3 审核组认证机构应正式任命审核组并为其提供相应的工作文件。

28、审核计划和日期应得到客户组织的同意。认证机构应明确规定且使客户组织知晓审核组的任务。该任务应要求审核组检查客户组织的结构、策略和规程，并确认其满足与认证范围相关的所有要求及其规程得到实施，从而提供对客户组织ISMS的信心。5 GB/T 25067-201 O/ISO/IEC 27006: 2007 9. 1. 2 IS 9. 1. 2认证范围审核组应针对所有适用的认证要求，对包含在确定范围内的客户组织ISMS进行审核。认证机构应确保根据客户组织的业务、组织、位置、资产和技术的特点清晰地确定其ISMS的范围和边界。认证机构应确认客户组织在其ISMS范围内满足了GB/T22080-2008中1.2

29、的要求。认证机构应确保，按照ISMS标准GB/T22080-2008的要求，客户组织的信息安全风险评估和风险处置与客户组织的活动及活动的边界相一致，并应确认这些都在客户组织的ISMS范围和适用性声明中得到体现。认证机构应确保，与不完全属于ISMS范围内的服务或活动的接口已在接受认证的ISMS中得到说明，并已包括在客户组织的信息安全风险评估中，例如，与其他机构共享设施的情况(信息技术系统、数据库和通讯系统等)。9. 1. 3 IS 9. 1. 3审核时间认证机构应给予审核员足够的时间开展涉及初次审核、监督审核或再认证审核的所有活动。所安排的时间宜以下列因素为依据:a) ISMS范围的规模(例如，

30、所使用的信息系统的数量和雇员的数量); b) ISMS的复杂程度(例如，信息系统的关键程度和ISMS的风险状况)，参见本标准的附录hc) 在ISMS范围内开展的业务类型;d) 在ISMS各部分的实施过程中，所应用的技术的水平和多样性例如，已实施的控制措施、文件和(或)过程控制，以及纠正和(或)预防措施等; e) 场所的数量;f) 经证实的以往ISMS绩效;g) 在ISMS范围内，所使用的外包和第三方安排的程度;h) 适用于认证的标准和法规。本标准的附录C对审核时间提供指南。认证机构应能证明或说明在初次审核、监督审核和再认证审核中所用时间的合理性。9. 1.4 IS 9. 1. 4多场所9. 1

31、. 4. 1 在ISMS认证领域，有关多场所的抽样决定比质量管理体系认证领域更加复杂。当客户组织拥有满足以下a)至c)的多个场所时，认证机构可以考虑使用基于抽样的方法进行多场所认证审核:a) 所有的场所在同一ISMS下运行，并接受统一的管理、内部审核和管理评审;b) 所有的场所都包含在客户组织的ISMS内部审核方案中;c) 所有的场所都包含在客户组织的ISMS管理评审方案中。9. 1. 4. 2 认证机构当使用基于抽样的方法时，应具备程序以确保:6 a) 在初次的合同评审中，最大程度地识别场所之间的差异，以便确定适宜的抽样水平。b) 结合以下因素，认证机构抽取具有代表性的场所:1) 总部及其他

32、场所的内部审核的结果;2) 管理评审的结果;3) 场所规模的异同;4) 场所业务目的的异同;5) ISMS的复杂程度;6) 不同场所的信息系统的复杂程度;7) 工作惯例的异同;的所实施的活动的异同;9) 与关键的信息系统或处理敏感信息的信息系统之间的潜在相互作用;10) 任何不同的法律要求。GB/T 25067-2010/ISO/IEC 27006 :2007 c) 从客户组织的ISMS范围内所有场所中选择具有代表性的样本，这种选择宜基于判断以反映上述b)中所列因素，同时也考虑随机因素。d) 在授予认证之前，认证机构审核ISMS中每个有重大信息安全风险的场所。e) 根据上述要求，设计监督审核方

33、案，并在合理的时间内覆盖客户组织的所有场所或ISMS认证范围内的所有场所。f) 元论是在总部还是在某单一场所发现不符合，纠正措施规程的实施适用于包括在认证范围内的总部和所有场所。本标准的IS9. 1. 5中所述的审核应关注客户组织总部为确保同一ISMS运用于所有场所并在运行层面上实施统一管理所进行的活动。审核应处理上述所有事项。9. 1.5 IS 9. 1. 5审核方法认证机构应有程序要求客户组织证实其已就ISMS内部审核做出日程安排，且其方案与规程具备操作性并表明其可操作。认证机构的程序不宜预先假定ISMS实施的特殊方式或文件和记录的特殊格式。认证程序应将重点放在确定客户组织的ISMS满足G

34、B/T22080-2008标准的要求以及客户组织的策略与目标。如适宜，审核计划宜识别在审核中使用的网络支持的审核技术。注:网络支持的审核技术，例如，电话会议、网络会议、基于网络的互动式沟通和远程电子访问ISMS文件和(或)ISMS过程等方式。关注这些技术将有助于提高审核的有效性和效率，并支持审核过程的完整性。9. 1. 6 IS 9. 1. 6认证审核报告9. 1. 6. 1 认证机构可以采用适合其需要的报告程序，但这些程序至少应确保:a) 在离开客户组织场所前，在审核组和客户组织管理者之间召开一次会议，并提供:1) 关于客户组织ISMS与特定认证要求的符合性方面的书面或口头说明;2) 客户组

35、织就审核发现及其根据提出问题的机会。b) 审核组向认证机构提供关于审核发现的审核报告，这些审核发现是针对客户组织的ISMS与所有认证要求的符合性。9. 1.6.2 审核报告宜提供以下信息:a) 审核的说明，其中包括了文件评审摘要;b) 对客户组织信息安全风险分析进行的认证审核的说明;c) 所使用的全部审核时间和分别用于文件评审、风险分析的评审、现场审核和审核报告的时间的详细说明:d) 所进行的审核询问，及其选择的理由和所使用的方法。9. 1. 6. 3 提供给认证机构的审核报告应足够详细，以帮助和支持认证决定。审核报告应包括:a) 审核覆盖的区域(例如，认证要求和接受审核的场所)，也包括所采用

36、的主要审核路线和所使用的审核方法(见本标准的IS9. 1. 5); b) 观察结果，包括正面的(例如，值得注意的特点)和负面的(例如，潜在的不符合hc) 已识别的任何不符合的详细情况，包括支持它们的客观证据和这些不符合所涉及的ISMS标准GB/T22080-2008或认证所需的其他文件的要求;d) 有关客户组织的ISMS与认证要求的符合性方面的意见和对不符合的清楚说明，所引用的适用性声明的版本，以及适用时，与客户组织先前的认证审核结果的任何有用的对照。完成的问卷、检查清单、观察结果、日志或审核员笔记可能构成完整的审核报告的一部分。如果使用这些方法，这些文件应提供给认证机构，以此作为支持认证决定

37、的证据。在审核过程中，有关被评价样本的信息宜包含在审核报告或其他认证资料中。报告应考虑客户组织所采用的内部组织和规程的充分性，以便对其ISMS建立信心。除了在GB/T27021-2007的9.1. 10中对审核报告的要求，报告还宜包括:7 G/T 25067-201 O/ISO/IEC 27006: 2007 a) 对ISMS内部审核和管理评审的信任程度;b) 有关ISMS的实施和有效性的最重要的正面与负面观察的摘要;c) 审核组关于是否授予客户组织ISMS认证的建议，以及支持该建议的信息。9.2 初次审核与认证GB/T 27021-2007的9.2中的要求适用。并且，以下ISMS特定要求和指

38、南适用。9.2. 1 IS 9.2. 1审核组的能力除了7.2所列的要求之外，以下要求适用于认证审核。对于监督活动，仅仅与已安排的监督活动有关的要求适用。以下要求适用于整个审核组。a) 在以下每个方面，至少应有一名审核组成员满足认证机构能力准则并在审核组内承担相应责任:1) 管理审核组;2) 与ISMS相关的管理体系和过程的知识;3) 在特定的信息安全领域中的法律和法规要求的知识;4) 识别与信息安全有关的威胁和事件趋势;5) 识别客户组织的脆弱性并理解其被利用的可能性和所造成的影响，以及对其的减缓和控制;6) ISMS的控制措施及其实施的知识;7) ISMS有效性的评审和控制措施有效性的测量

39、方面的知识;的有关和或)相关的ISMS标准、行业先进经验、安全策略和规程;9) 事件处理方法和业务连续性的知识;10) 有关有形和元形信息资产及其影响分析的知识;11) 有关可能涉及安全或可能陶成安全问题的当前技术的知识;12) 风险管理过程和方法的知识。b) 审核组应有能力将客户组织ISMS中的安全事件现象追溯到ISMS的相应要素;c) 审核组应有关于上述项目的适当工作经历和应用实践(这不意味着审核员需要信息安全所有领域的全面的经验，但审核组整体上宜对被审核的领域具备足够的认识和经验)。审核组可以由一名审核员组成，如果其满足上述川的所有准则D9. 2. 1. 1 IS 9. 2. 1. 1审

40、核员的能力证实审核员应能够证实其具备上述知识和经验，如通过:a) 经承认的、ISMS特定的资格;b) 注册为审核员;c) 经批准的ISMS课程培训11; d) 最新的持续专业发展记录;e) 对审核员在实际客户组织ISMS的审核过程的见证予以证实。9. 2. 2 IS 9. 2. 2初次审核的准备认证机构应要求客户组织为认证审核的实施做出所有必要的安排，这些安排中包括:为了认证审核、再认证审核和解决投诉问题而提供接受检查的文件，以及访问所有区域、记录(包括内部审核报告和信息安全独立评审报告)和人员。在现场认证审核之前，客户组织至少应提供以下信息:a) ISMS和其所覆盖活动的一般信息;b) GB

41、/T 220802008的4.3.1中所要求的ISMS文件的副本，及必要的相关文件。9. 2. 3 IS 9. 2. 3初次认证审核9. 2. 3. 1 IS 9. 2. 3. 1第一阶段审核在该审核阶段，认证机构应获取设计ISMS的文件，其中包括GB/T22080-2008的4.3.1中所要8 GB/T 25067-201 O/ISO/IEC 27006: 2007 求的文件。第一阶段审核的目的是，结合客户组织ISMS方针和目标，了解其ISMS，特别是客户组织的审核准备状态，为策划第二阶段的审核提供重点。第一阶段审核包括，但不宜仅限于文件评审。认证机构应与客户组织就文件评审的时间和地点达成一

42、致。在任何情况下，文件评审应在第二阶段审核开始前完成。第一阶段审核结果应形成书面报告。认证机构应在决定进行第二阶段审核前，对第一阶段的审核报告进行核查，以便选择具有所需能力的第二阶段的审核组成员。认证机构应让客户组织意识到在第二阶段的审核中，可能需要进一步提供信息和记录以供详细检查。9.2.3.2 IS 9.2.3.2第二阶段审核9.2.3.2. 1 第二阶段审核在客户组织的场所进行。认证机构以第一阶段的审核报告中的形成文件的审核发现为基础，起草实施第二阶段审核的审核计划。第二阶段审核的目标是:a) 确认客户组织遵守自身的策略和规程;b) 确认客户组织的ISMS符合规范性ISMS标准GB/T2

43、2080-2008的所有要求，并正在实现客户组织依据方针所制定的目标。9.2.3.2.2 为此，审核应重点关注客户组织的:a) 与信息安全有关的风险评估，及评估能产生可比较和可再现的结果;b) 符合GB/T22080-2008的4.3.1中所列要求的文件;c) 基于风险评估与风险处置过程，对控制目标与控制措施的选择;d) ISMS有效性的评审和信息安全控制措施有效性的测量，以及对照ISMS目标进行的报告和评审;e) ISMS内部审核和管理评审;f) 针对信息安全方针的管理职责;g) 所选择和实施的控制措施、适用性声明及风险评估和风险处置过程的结果相互之间的一致性，以及它们与ISMS方针和目标之

44、间的一致性;h) 控制措施的实施(参见本标准的附录D)，考虑客户组织对控制措施的有效性的测量见上述d汀，以确定控制措施是否得以实施并在达到所声明的目标方面是有效的;i) 方案、过程、规程、记录、内部审核和对ISMS有效性的评审，以确保其可被追溯至管理决定和ISMS方针与目标。9.2.3.3 IS 9.2.3.3 ISMS审核的特定要素认证机构的职责是确定客户组织在制定和保持规程方面是否始终如一，特别是识别、检查和评价有关客户组织的与信息安全有关的资产威胁、脆弱性及影响的规程。认证机构应za) 要求客户组织证实对信息安全威胁的分析与组织的运行是相应和充分的;注2客户组织负责确定它的与信息安全有关

45、的重大风险的识别准则，并制定实施的规程。b) 确定客户组织识别、检查和评价与信息安全有关的资产威胁、脆弱性和影响的规程以及应用的结果是否与客户组织的方针、目标和指标保持一致。认证机构也应确定用于重大风险分析的规程是否健全并正确实施。如果有关客户组织的与信息安全有关的资产威胁、脆弱性或影响被识别为重大时，则应纳入ISMS管理之中。9.2.3.3. 1 法律和法规的符合性法律法规符合性的保持和评价是客户组织的责任。认证机构应通过检查和抽样的方式对ISMS在客户组织的合规性方面的作用建立信心。认证机构应验证客户组织所具有的管理体系使其达到符合有关信息安全风险和影响的法律法规。9 GB/T 25067

46、-201 O/ISO/IEC 27006: 2007 9.2.3.3.2 ISS文件与其他管理体系文件的整合只要ISMS以及与其他管理体系的适当接口能够清楚地被识别，客户组织可以将ISMS文件与其他管理体系文件(例如，质量、环境和健康与安全)相结合。9.2.3.3.3 管理体系结合审核认证机构可以仅提供ISMS认证服务，或结合ISMS认证提供其他管理体系认证服务。ISMS审核可以和其他管理体系的审核相结合。这种结合只有在证实审核满足ISMS认证所有要求时才有可能。在审核报告中，所有对ISMS重要的要素应清晰地体现并易于识别。审核的质量不应由于结合审核受到负面影响。注:GB/T 19011为实施

47、管理体系的结合审核提供指南。9.2.4 IS 9.2.4授予初次认证的信息为给认证决定提供依据，认证机构应要求审核组向其提供含有支持认证决定的充足信息的清晰报告。要求审核组在认证审核的各个阶段向认证机构提供报告。结合存档信息，报告至少宜包括本标准的IS9. 1. 6中要求的信息。9.2.5 IS 9.2.5认证决定在认证机构中，决定授予和(或)撤销认证的实体(可能是个人)宜在各方面具备相应的知识和经验，以能够评价审核过程和由审核组提供的相关建议。是否授予客户组织ISMS认证的决定是由认证机构以认证过程中收集的信息和其他相关信息为基础做出的。负责做出认证决定的人员不应参与审核。认证决定应以审核组

48、审核报告(见本标准的IS 9. 1.的中提供的审核发现和推荐认证的建议，以及认证机构可获得的任何其他相关信息为基础。通常情况下，负责做出授予认证决定的实体不宜推翻审核组的负面建议。如果出现这种情况，认证机构应记录和说明做出推翻建议的决定的依据。对认证决定而言，GB/T27021一2007未对客户组织ISMS至少进行一次完整的内部审核和一次管理评审的周期做出具体规定。认证机构可以规定该周期。兀论认证机构是否选择规定最低频次的方式，认证机构都应制定措施，以确保容户组织的ISMS管理评审和内部审核过程的有效性。只有具备充分的证据证实ISMS管理评审和内部市核的安排得以实施，并是有效的和将得到保持，才可对客户组织授予认证。9.3 监督活动GB/T 27021-2007的9.3中的要求适用。并且，以下ISMS特定要求和指南适用。9.3. 1 IS 9.3监督活动9. 3. 1. 1 监督审核程序应与本标准提出的有关客户组织ISMS的认证审核的要求和指南保持一致。监督的目的是验证已被认证的ISMS的持续实施，考虑由于客户组织运作的变化所造成的管理体系变化，以及确认与认证要求的持续符合。监督方案通常宜包括:a) ISMS内部审核、管理评审和预防与纠正措施