标准规范下载简介
GB/T 25067-2020 信息技术 安全技术 信息安全管理体系审核和认证机构要求T25067—2020/IS0/IEC27006:2015
10认证机构的管理体系要求
D.1.1IS 10.1 ISMS 实游
表A.1提供了ISMS审核与认证所要求的知识与技能的摘要。然而,表A.1是资料性的GB/T 42219-2022 大功率LED的光学测量,因为它只 只别了特定认证职能所需的知识与技能的领域 本标准的正文阐述了每项认证职能的能力要求,表A.1给出了对具体要求的引用
表A.1ISMS审核与认证的知识
A.2对通用能力的考虑
有很多途径可以证实审核员的知识和经验,例如,通过使用获得承认的资格来评价知识和经验。 人证方案下的注册记录也可以用来评价所需的知识和经验。宜确定审核组所需的能力水平,使其 织的行业/技术领域和ISMS的复杂性相符
A.3对特定知识和经验的考虑
A.3.1与ISMS相关的典型知识
除了7.1.2中的要求外,宜考虑以下要求。审核员宜具备并理解下列审核和ISMS方面的知识: 审核方案和策划; 审核类型和方法; 审核风险:
本附录包含了与GB/T27021.1一2017中9.1有关的进一步要求。本附录为认证机构制定有关确 审核时间的程序提供了最低要求和指南,以便其在对客户涉及广泛的活动且具有不同规模和复杂度 为ISMS范围实施认证时确定所需的时间。 认证机构应针对每一个客户及其被认证的ISMS,识别初次认证、监督审核和再认证审核所需花费 审核时间。在审核策划阶段,使用本附录可以确保使用一致的方法来确定适当的审核时间。此外,可 人根据审核过程(尤其是第一阶段)的发现(如:ISMS范围的复杂度的不同评价结果,或范围中增加的 所)来调整审核时间。 本附录闸述了: 用于审核时间计算的概念(见B.2); 确定不同审核阶段所需时间的程序的要求(见B.3~B.5); 与多场所审核相关的要求(见B.6), 附录C给出了审核时间计算的示例,对附录B的应用做出了说明。 该方法的基本假设是,确定审核时间的计算方案宜: a)仅考虑那些能够被确定和证实的属性; b)足够简便,以得到认证机构的有效应用; c)足够复杂,以能够体现充分的差异。 审核时间的确定,是基于下面表B.1(“审核时间表”)所提供的数值,并应考虑调整的促成因素
B.2.1在组织控制下工作的人员的数量
临时场所是认证文件所注明的场所之外的位置,其活动在认证范围内并在规定的时间周期内实) 场所的范围可从大项目管理场所到较小的服务或安装场所。在确定对这些场所的访问需求及其 范围时,宜基于对在临时场所发生的不符合而导致没能满足信息安全目标的风险的评价。所选择
—2020/ISO/IEC27006
场所样本宜考虑活动的规模与类型和实施中的项目的不同阶段,并体现组织的能力需求和服务变化的 范围。对于一般的抽样,见 9.1.5.1,
B.3确定初次认证审核时间的程序
审核时间的计算,应遵从文件化的程序
B.3.3审核时间的计算
表B.1给出了初次审核天数平均值的起点在此处及后面的内容中,这个数值包括一次初次审核 第一阶段和第二阶段)的天数]。经验表明,对于一个覆盖了给定数量的、在组织控制下工作的人员的 ISMS范围来说,这一数值是适当的。经验还表明,对于相似规模的ISMS范围,有些需要较多的审核时 间,有些需要较少的审核时间。 表B.1提供了审核策划应使用的框架。该表基于在组织控制下工作的、所有班次的人员的总数来 确定审核时间的起点,然后根据适用于所审核的ISMS范围的重要因素来调整它,通过对每一个因素赋 予增、减权重来修正基数。使用表B.1时应考虑调整的促成因素和最大偏移的限制(见B.3.4和B.3.5)。 B.2解释了表B.1中所使用的术语,附录C提供了如何计算审核时间的示例
表 B.1审核时间表
/T25067—2020/IS0/IEC27006:2015
B.3.4调整审核时间的因素
不能孤立地使用表B.1。所安排的时间,还应考虑以下因素。这些因素与ISMS复杂程度相关,并 与ISMS审核工作量相关: a)ISMS的复杂程度(例如,信息的关键程度、ISMS的风险状况); b)I ISMS范围内所开展的业务的类型; c 以往已证实的ISMS绩效; d)在ISMS各部分的实施过程中,所应用的技术的水平和多样性[例如,不同IT平台的数量、隔 离网络的数量; ISMS范围内所使用的外包和第三方安排的程度; f) 信息系统开发的程度; 场所的数量和灾难恢复场所的数量; h) 对于监督或再认证审核:符合GB/T27021.1一2017中8.5.3要求的、与ISMS相关的变更的数 量和程度。 附录C提供了在计算审核时间时如何考虑这些不同因素的示例。 需要增加审核时间的其他因素,例如: a)复杂的后勤,在ISMS范围中涉及不止一处建筑物或地点; b 员工的语言超过一种(需要翻译或审核员个人无法独立工作),提供的文件使用了一种以上的 语言; ) 为了确认管理体系认证范围内永久场所的活动,需要访问临时场所的活动; d)适用于ISMS的标准和法规数量很多
T25067—2020/IS0/IEC270062015
允许减少审核时间的因素,例如: ) 没有风险或者低风险的产品/过程; b) 过程只涉及单一的常规活动(例如,只有服务); 在组织控制下工作的雇员大部分是从事相同的任务; 对组织已经有些了解(例如,如果组织获得了同一个认证机构的、另一个标准的认证); e) 客户的认证准备情况较好(例如,已经获得了另一个第三方认证方案的认证或承认); f 高度成熟的管理体系, 当认证客户或获证组织在临时场所提供其产品或服务时,将对这类场所的评价纳入到认证审核和 监督方案中是十分重要的 宜考虑上述因素,并根据这些因素对审核时间做出调整。这些因素可证实一次有效审核所需更多 或更少的审核时间的合理性。增加时间的因素可被减少时间的因素冲抵。在任何情况下,对审核时间 表中的时间的调整应保持足够的证据和记录来证实其变化的合理性
B.3.5对审核时间偏离的限制
为了确保能够实施有效的审核并确保可 靠和可比较的结果,对表B.1中审核时间的减 过30%。 应确定偏离审核时间表的适当理由,并形成文件
B.3.6现场审核时间
策划和编制报告一起所用的时间,通常不宜使总的现场“审核时间”减少到表B.1中“总审核时间” 的70%以下。当策划和/或编制报告需要增加时间时,这不应成为减少现场审核时间的理由。审核员 旅途时间未计在内,这应在表中所给出的审核时间的基础上另外增加。 注:70%是基于ISMS审核经验所得出的系数
B.4监督审核的审核时
在初次认证审核周期,对一个组织的监督时间宜 与初次审核时间成比例,每年用于监督审核的时间 总量大约是初次审核时间的1/3。宜时常评审所策划的监督审核时间,以考虑影响审核时间的变更 为审核ISMS的变更(例如.审核新的或发生变更的控制).应增加监督审核的时间
B.5再认证审核的审核时间
用于再认证审核的全部时间,应取决于9.4.3和GB/T27021.1一2017中9.6.3所规定的、任何以 核的结果。再认证审核所需的时间,宜与同一组织的初次认证审核所用的时间成比例,宜至少是同 识初次认证审核时间的2/3
B.6多场所的审核时间
应针对每个场所计算每个场所(包括总部)的审核人大数 可以考虑因部分审核与总部或分场所无关而减少审核时间。认证机构应记录这类减少的合理 理由
附录C (资料性附录) 审核时间计算方法
本附录为推导出审核时间计算公式提供了进一 步的指南。C.2给出了一个对因数进行分类的示 例,它可用作审核时间计算的基础。 C.3提供了 一个审核时间计算的示例
如B.3.4中a)~h)所列举的,表C.1 核时间计算因数进行分类的示例。认证机 构可以使用该分类来制定一个符合9.1.4.1 核时间计算方案
C.1审核时间计算因数
C.3审核时间计算的示例
以下示例阐述了认证机构如何使用B.3中的因数来计算审核时间。该示例中的审核时间计算,是 按照以下方法进行的: 第一步:确定与业务和组织相关的(非IT)因数:识别表C.2中每个类别的适宜分值,并对结果 求和; 第二步:确定与IT环境相关的因数:识别表C.3中每个类别的适宜分值,并对结果求和; 第三步:基于以上第一步和第二步的结果,通过选择表C.4中的适宜条目,识别这些因数对审核时 间的影响; 第四步:最终计算:将由审核时间表(表B.1)所确定审核人天数乘以第三步中得出的系数。当利用 多场所抽样时,要根据执行多场所抽样计划所需的工作量增加所计算出的审核人天。 这个结果是最终的审核人天数
/T25067—2020/IS0/IEC27006:2015
表C.2与业务和组织(非IT)相关的因数
表C.3与IT环境相关的因数
表C.4因数对审核时间的影响
示例1: 受审核的组织有700人,因此根据表B.1,其初次认证审核需要17.5人天。该组织不属于关键业务领域,从事高度 标准化和重复性的任务且刚建立ISMS。根据表C.2,可以得出与业务和组织相关的因子为1十1十3=5。该组织其有非 常少的IT平台和数据库,但大量地使用外包。该组织没有内部的或外包的开发活动。根据表C.3,可以得出与IT环境 相关的因子为1十3十1=5。利用表C.4,可以得出该审核时间无需调整。 示例2: 还是示例1中的这个组织,但其已有多个管理体系且已较好地建立了ISMS。根据表C.2,与业务和组织相关的因子 将变为:1十1十1=3。根据表C.4,将得出需要减少5%~10%的审核时间,即:审核时间将减少1到1.5人天,变为16到 16.5人天,
对已实现的GB/T22080一2016附录A的控制的评审指南
在初次认证审核的第二阶段以及监督或再认证活动[见9.3.1.2.2g)中,需要评审客户确定其 SMS所需的控制(根据适用性声明)的实现情况。 认证机构所收集的审核证据,需足以得出控制是否有效的结论。例如,在客户的规程或策略中,可 人对期望如何实施一项控制做出规定
D.2 如何使用表 D.1
表D.1为在初次认证审核和后续审核中评审GB/T22080一2016附录A所列出的控制的实现,以 及收集与控制的绩效相关的审核证据提供了指南。表D.1没有为评审GB/T22080一2016附录A之外 的控制提供指南
D.2.2“组织类控制”列与"技术类控制”列
各列中的“×”表示对应的控制是组织类控制或技术类控制。如果某些控制既是组织类的又是技术 类的,则两列中均予以标识。 组织类控制的绩效证据,可以通过核查控制的实施记录、访谈、观察和物理检查来收集。技术类控 制的绩效证据,可以通过系统测试(见下面),或者通过使用专门的审核/报告工具来收集
D.2.3 “系统测试”列
系统测试是指对信息系统的直接评申(例如,评审系统的设直或配直。对于申核员的提同,可 在系统控制台回答,也可以通过评价测试工具的结果来回答。如果客户使用了一个审核员熟悉的、基于 计算机的工具,那么可以使用该工具来支持审核,或者评审由客户(或其分包方)所实施的评价的结果 表D.1包含了两类对技术类控制的评审: ·“可能的”:系统测试对于评价控制的实现来说是可能的,但在ISMS审核中不一定是必需的。 ·“推荐的”:在ISMS审核中,系统测试通常是必需的。 注:在本附录中,除非另有所指,“系统”是指“信息系统”。
—2020/ISO/IEC27006
D.2.4“目视检验”列
.2.5“审核的评审指南”列
/T25067—2020/IS0/IEC27006:2015
T25067—2020/IS0/IEC27006:2015
/T25067—2020/IS0/IEC27006:2015
T25067—2020/IS0/IEC27006:2015
/T25067—2020/IS0/IEC27006:2015
T25067—2020/IS0/IEC27006:2015
本标准与2016版的条款对照关系列于表NA.1
GTCC-051-2018 铁路数字移动通信系统(GSM-R)模拟光纤直放站-铁路专用产品质量监督抽查检验实施细则附录NA (资料性附录) GB/T25067—2020与GB/T25067—2016的条款对照关系
/T25067—2020/IS0/IEC27006:2015
T25067—2020/IS0/IEC27006:2015
JC/T 2238-2014 水泥制品用矿渣粉应用技术规程/T25067—2020/IS0/IEC27006:2015
T25067—2020/ISO/IEC27006:2015
[1]GB/T19001—2016质量管理体系要求(ISO9001:2015,IDT) [2]GB/T22081一2016信息技术安全技术信息安全控制实践指南(ISO/IEC27002:2013, IDT) [3]ISO19011Guidelinesforauditingmanagementsystems [4J ISO/IEC 27007 Information technology—Security techniques—Guidelines for information securitymanagement systemsauditing