近日,全國網絡安全標準化技術委員會發布通知,對國家標準《網絡安全技術 信息安全管理體系審核和認證機構要求》征求意見稿面向社會廣泛征求意見。本次修訂將解決信息安全管理體系(ISMS)認證審核中遠程審核技術的應用、虛擬組織的認證、審核時間計算、ISMS認證證書中引用其他標準等問題。
該標準將代替GB/T 25067—2020《信息技術 安全技術 信息安全管理體系審核和認證機構要求》。
關于國家標準《網絡安全技術 信息安全管理體系審核和認證機構要求》征求意見稿征求意見的通知
各相關單位和專家:
經標準編制單位的辛勤努力,現已形成國家標準《網絡安全技術 信息安全管理體系審核和認證機構要求》征求意見稿。為確保標準質量,網安標委秘書處面向社會廣泛征求意見。
懇切希望您對該標準提出寶貴意見。并將意見于2025年05月19日前反饋給網安標委秘書處。
聯系人:王姣 13661025214 wangjiao@cesi.cn
全國網絡安全標準化技術委員會秘書處
2025年03月20日
相關鏈接:
1.關于國家標準《網絡安全技術 信息安全管理體系審核和認證機構要求》征求意見稿征求意見的通知
2.網絡安全技術 信息安全管理體系審核和認證機構要求-標準文本
3.網絡安全技術 信息安全管理體系審核和認證機構要求-意見匯總處理表
4.網絡安全技術 信息安全管理體系審核和認證機構要求-編制說明
國家標準《網絡安全技術 信息安全管理體系審核和認證機構要求》編制說明
一、工作簡況
1.1 任務來源
全國網絡安全標準化技術委員會2024年11月下達標準立項通知,《網絡安全技術 信息安全管理體系審核和認證機構要求》由中國合格評定國家認可中心負責承辦。本標準由全國網絡安全標準化技術委員會提出并歸口。
1.2 修訂背景
《網絡安全技術 信息安全管理體系審核和認證機構要求》規定了信息安全管理體系(ISMS)認證機構的通用要求。
本次是通過等同采用ISO/IEC 27006-1:2024《信息安全、網絡安全和隱私保護 信息安全管理體系審核和認證機構要求 第1部分:通用》,對GB/T 25067—2020《信息技術 安全技術 信息安全管理體系審核和認證機構要求》進行修訂。
本次修訂將解決ISMS認證審核中遠程審核技術的應用、虛擬組織的認證、審核時間計算、ISMS認證證書中引用其他標準等問題。此外,本次修訂還將解決與正在制定的GB/T 22080—202X《網絡安全技術 信息安全管理體系 要求》和GB/T 22081—2024《網絡安全技術 信息安全控制》之間協調一致的問題,以及與GB/T 27021.1—2017《合格評定 管理體系審核認證機構要求 第1部分:要求》之間內容重復的問題。
1.3 起草過程
中國合格評定國家認可中心負責組織起草,中國電子技術標準化研究院、中國網絡安全審查認證和市場監管大數據中心、北京賽西認證有限責任公司、廣州賽寶認證中心服務有限公司等單位共同參與本標準的起草工作。具體起草過程如下:
1)2024年5月,項目牽頭單位聯合ISMS認證機構和科研單位,組建標準編制工作組,共同研討新版標準與舊版標準的差異性,并確定任務分工,形成標準草案初稿。
2)2024年6月,本項目在南昌標準周期間通過了WG7的立項審議。
3)2024年7月,本項目通過了全國網安標委秘書處組織的標準立項專家評審;此外,項目牽頭單位組織來自ISMS認證機構的專家對標準草案進行了審議,并對標準文本進行了完善。
4)2024年9月,標準牽頭單位面向ISMS認可評審員和ISMS認證機構開展了標準草案培訓,介紹了標準的修訂內容。
5)2024年11月,全國網安標委下達立項通知,項目牽頭單位在全國網安標委網站和微信公眾號面向社會公開征集標準參編單位,完成標準編制組的組建。
6)2024年12月,標準編制組召開啟動會,研討確定標準文本、下一步編制思路、任務分工等,并征集了編制組成員對標準文本的修訂意見。標準編制組邀請來自來自網絡安全領域和合格評定領域的專家對標準草案進行審查,根據審查意見再次完善標準文本。WG7工作組在海口“標準周”對本項目進行了審議,同意轉征求意見階段;標準編制組根據WG7專家意見修訂完善了標準文本,形成征求意見稿。
7)2025年2月,全國網安標委秘書處組織召開征求意見稿專家審查會,本項目通過評審可以發起公開征求意見。同時,標準編制組根據專家審查意見完善了標準文本。
二、標準編制原則、主要內容及其確定依據
2.1 標準編制原則
本標準的研制工作遵循以下原則:
(1)一致性原則
本標準等同采用對應國際標準,與對應國際標準在語境語義等方面連貫一致,在充分理解國際標準原文的基礎上進行翻譯,做到準確表達原意。
(2)易讀性原則
統籌兼顧ISO/IEC 27000系列標準和ISO/IEC 17000系列標準在我國的轉標實踐經驗,確保標準內容翻譯符合中文語境,表述通暢,具有可讀性并使標準讀者能夠容易理解。
(3)通用性原則
本標準規定了ISMS認證機構的通用要求,轉標過程中充分考慮不同類型的ISMS認證機構的運作特點,維護標準內容的普適性。
2.2 主要內容及其確定依據
《網絡安全技術 信息安全管理體系審核和認證機構要求》在GB/T 27021.1的基礎上,對ISMS審核和認證機構規定了要求并提供了指南。本次是等同采用ISO/IEC 27006-1:2024對GB/T 25067-2020進行修訂。
本標準包括十章和五個附錄。前三章是標準的通用要素,分別為:范圍、規范性引用文件、術語和定義。第4章到第10章是標準的主要技術內容,分別為:通用要求、結構要求、資源要求、信息要求、過程要求、管理體系要求。附錄A和C是規范性附錄,分別規定了認證人員能力和審核時間的要求,附錄B、D和E是資料性附錄,分別闡述了能力的其他考慮因素、審核時間計算方法和信息安全控制的審核指南。
2.3 修訂前后技術內容的對比
與GB/T 25067—2020相比,除編輯性改動外,本次修訂的主要技術變化如下:
1)規范性引用文件中刪除ISO/IEC 27000(見第2章);
2)增加“控制”、“外部環境”、“信息安全”等術語(見第3章);
3)調整審核員的工作經歷、培訓經歷和審核經歷要求(見7.2.2.2)
4)調整技術專家的工作經歷要求(見7.2.2.3)
5)修改遠程審核的相關要求(見8.2.2、9.1.3.3、9.4.3.2、C.3.2);
6)新增認證文件中引用其他標準的要求(見8.2.3);
7)修改審核時間計算的相關要求(見C.2.1、C.3.4、C.6、C.7);
8)新增附錄A,描述了認證職能與知識域的對應關系;
9)依據GB/T 22080—202X附錄A中的信息安全控制,更新附錄E(2020版為附錄D);
10)刪除與GB/T 27021.1—2017重復的內容(見5.2、7.1.3、9.3.2.2、9.4等)。
三、試驗驗證的分析、綜述報告,技術經濟論證,預期的經濟效益、社會效益和生態效益
3.1 試驗驗證的分析、綜述報告
本標準計劃在2025年2月-6月期間,選擇ISMS認證機構管理體系建設、ISMS認證機構的內部審核、認可機構認可評審等典型應用場景開展試點驗證工作,驗證標準的適用性和可行性,并形成試點應用報告。
3.2 技術經濟論證
暫無。
3.3 預期的經濟效益、社會效益和生態效益
我國自2006年正式引用ISMS標準并組織開展認證認可工作。截止到2024年11月,有224家認證機構獲得國家認證認可監督管理委員會批準,可從事ISMS認證業務,其中獲得中國合格評定國家認可委員會(CNAS)認可的51家認證機構;有43544家組織獲得了ISMS認證證書。ISMS認證機構通過應用本標準,可進一步提升了自身的管理水平,保障ISMS審核和認證工作的質量,幫助獲證企業改善自身的網絡安全管理水平。
此外,ISMS認證機構通過尋求認可機構的認可,可增強我國ISMS認證機構認可證書和ISMS認證證書在全球市場的認可度,有助于推動貿易便利化。
四、與國際、國外同類標準技術內容的對比情況,或者與測試的國外樣品、樣機的有關數據對比情況
ISO/IEC JTC1/SC27于2024年3月發布了新版國際標準ISO/IEC 27006-1:2024《信息安全、網絡安全和隱私保護 信息安全管理體系審核和認證機構要求 第1部分:通用》。國內相關組織長期積極關注ISMS系列標準的變化,將ISO/IEC 27006-1、ISO/IEC 27001、ISO/IEC 27002、ISO/IEC 27005等國際標準最新版本及時轉化為國家標準,保障我國國家標準與國際標準的一致性。
五、以國際標準為基礎的起草情況,以及是否合規引用或者采用國際國外標準,并說明未采用國際標準的原因
本標準等同采用ISO/IEC 27006-1:2024《信息安全、網絡安全和隱私保護 信息安全管理體系審核和認證機構要求 第1部分:通用》。
六、與有關法律、行政法規及相關標準的關系
本標準符合現有法律法規的要求,并與現有GB/T 27021.1、GB/T 22080和GB/T 22081等相關標準協調一致。
七、重大分歧意見的處理經過和依據
本標準編制過程中未出現重大分歧。
八、涉及專利的有關說明
本標準不涉及專利。
九、實施國家標準的要求,以及組織措施、技術措施、過渡期和實施日期的建議等措施建議
建議本標準作為推薦性國家標準發布,從發布到實施的過渡期設置為6個月。
標準發布后,將在標準起草單位內率先開展應用,并通過標準宣貫、標準應用指南等方式,推進標準落地應用。
十、其他應當說明的事項
本標準代替GB/T 25067—2020《信息技術 安全技術 信息安全管理體系審核和認證機構要求》。
《網絡安全技術 信息安全管理體系
審核和認證機構要求》標準編制組
2025年2月
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:中國政府網、百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
