近日，全國網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會發(fā)布通知，對國家標(biāo)準(zhǔn)《網(wǎng)絡(luò)安全技術(shù)　信息安全管理體系審核和認(rèn)證機(jī)構(gòu)要求》征求意見稿面向社會廣泛征求意見。本次修訂將解決信息安全管理體系(ISMS)認(rèn)證審核中遠(yuǎn)程審核技術(shù)的應(yīng)用、虛擬組織的認(rèn)證、審核時間計算、ISMS認(rèn)證證書中引用其他標(biāo)準(zhǔn)等問題。

該標(biāo)準(zhǔn)將代替GB/T 25067—2020《信息技術(shù) 安全技術(shù) 信息安全管理體系審核和認(rèn)證機(jī)構(gòu)要求》。

關(guān)于國家標(biāo)準(zhǔn)《網(wǎng)絡(luò)安全技術(shù) 信息安全管理體系審核和認(rèn)證機(jī)構(gòu)要求》征求意見稿征求意見的通知

各相關(guān)單位和專家：

經(jīng)標(biāo)準(zhǔn)編制單位的辛勤努力，現(xiàn)已形成國家標(biāo)準(zhǔn)《網(wǎng)絡(luò)安全技術(shù)　信息安全管理體系審核和認(rèn)證機(jī)構(gòu)要求》征求意見稿。為確保標(biāo)準(zhǔn)質(zhì)量，網(wǎng)安標(biāo)委秘書處面向社會廣泛征求意見。

懇切希望您對該標(biāo)準(zhǔn)提出寶貴意見。并將意見于2025年05月19日前反饋給網(wǎng)安標(biāo)委秘書處。

聯(lián)系人：王姣   13661025214   wangjiao@cesi.cn

全國網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會秘書處

2025年03月20日

相關(guān)鏈接：

1.關(guān)于國家標(biāo)準(zhǔn)《網(wǎng)絡(luò)安全技術(shù)　信息安全管理體系審核和認(rèn)證機(jī)構(gòu)要求》征求意見稿征求意見的通知

2.網(wǎng)絡(luò)安全技術(shù)　信息安全管理體系審核和認(rèn)證機(jī)構(gòu)要求-標(biāo)準(zhǔn)文本

3.網(wǎng)絡(luò)安全技術(shù)　信息安全管理體系審核和認(rèn)證機(jī)構(gòu)要求-意見匯總處理表

4.網(wǎng)絡(luò)安全技術(shù)　信息安全管理體系審核和認(rèn)證機(jī)構(gòu)要求-編制說明

國家標(biāo)準(zhǔn)《網(wǎng)絡(luò)安全技術(shù) 信息安全管理體系審核和認(rèn)證機(jī)構(gòu)要求》編制說明

一、工作簡況

1.1 任務(wù)來源

全國網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會2024年11月下達(dá)標(biāo)準(zhǔn)立項通知，《網(wǎng)絡(luò)安全技術(shù) 信息安全管理體系審核和認(rèn)證機(jī)構(gòu)要求》由中國合格評定國家認(rèn)可中心負(fù)責(zé)承辦。本標(biāo)準(zhǔn)由全國網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口。

1.2 修訂背景

《網(wǎng)絡(luò)安全技術(shù) 信息安全管理體系審核和認(rèn)證機(jī)構(gòu)要求》規(guī)定了信息安全管理體系(ISMS)認(rèn)證機(jī)構(gòu)的通用要求。

本次是通過等同采用ISO/IEC 27006-1:2024《信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)　信息安全管理體系審核和認(rèn)證機(jī)構(gòu)要求 第1部分：通用》，對GB/T 25067—2020《信息技術(shù) 安全技術(shù) 信息安全管理體系審核和認(rèn)證機(jī)構(gòu)要求》進(jìn)行修訂。

本次修訂將解決ISMS認(rèn)證審核中遠(yuǎn)程審核技術(shù)的應(yīng)用、虛擬組織的認(rèn)證、審核時間計算、ISMS認(rèn)證證書中引用其他標(biāo)準(zhǔn)等問題。此外，本次修訂還將解決與正在制定的GB/T 22080—202X《網(wǎng)絡(luò)安全技術(shù) 信息安全管理體系 要求》和GB/T 22081—2024《網(wǎng)絡(luò)安全技術(shù) 信息安全控制》之間協(xié)調(diào)一致的問題，以及與GB/T 27021.1—2017《合格評定　管理體系審核認(rèn)證機(jī)構(gòu)要求　第1部分：要求》之間內(nèi)容重復(fù)的問題。

1.3 起草過程

中國合格評定國家認(rèn)可中心負(fù)責(zé)組織起草，中國電子技術(shù)標(biāo)準(zhǔn)化研究院、中國網(wǎng)絡(luò)安全審查認(rèn)證和市場監(jiān)管大數(shù)據(jù)中心、北京賽西認(rèn)證有限責(zé)任公司、廣州賽寶認(rèn)證中心服務(wù)有限公司等單位共同參與本標(biāo)準(zhǔn)的起草工作。具體起草過程如下：

1)2024年5月，項目牽頭單位聯(lián)合ISMS認(rèn)證機(jī)構(gòu)和科研單位，組建標(biāo)準(zhǔn)編制工作組，共同研討新版標(biāo)準(zhǔn)與舊版標(biāo)準(zhǔn)的差異性，并確定任務(wù)分工，形成標(biāo)準(zhǔn)草案初稿。

2)2024年6月，本項目在南昌標(biāo)準(zhǔn)周期間通過了WG7的立項審議。

3)2024年7月，本項目通過了全國網(wǎng)安標(biāo)委秘書處組織的標(biāo)準(zhǔn)立項專家評審;此外，項目牽頭單位組織來自ISMS認(rèn)證機(jī)構(gòu)的專家對標(biāo)準(zhǔn)草案進(jìn)行了審議，并對標(biāo)準(zhǔn)文本進(jìn)行了完善。

4)2024年9月，標(biāo)準(zhǔn)牽頭單位面向ISMS認(rèn)可評審員和ISMS認(rèn)證機(jī)構(gòu)開展了標(biāo)準(zhǔn)草案培訓(xùn)，介紹了標(biāo)準(zhǔn)的修訂內(nèi)容。

5)2024年11月，全國網(wǎng)安標(biāo)委下達(dá)立項通知，項目牽頭單位在全國網(wǎng)安標(biāo)委網(wǎng)站和微信公眾號面向社會公開征集標(biāo)準(zhǔn)參編單位，完成標(biāo)準(zhǔn)編制組的組建。

6)2024年12月，標(biāo)準(zhǔn)編制組召開啟動會，研討確定標(biāo)準(zhǔn)文本、下一步編制思路、任務(wù)分工等，并征集了編制組成員對標(biāo)準(zhǔn)文本的修訂意見。標(biāo)準(zhǔn)編制組邀請來自來自網(wǎng)絡(luò)安全領(lǐng)域和合格評定領(lǐng)域的專家對標(biāo)準(zhǔn)草案進(jìn)行審查，根據(jù)審查意見再次完善標(biāo)準(zhǔn)文本。WG7工作組在海口“標(biāo)準(zhǔn)周”對本項目進(jìn)行了審議，同意轉(zhuǎn)征求意見階段;標(biāo)準(zhǔn)編制組根據(jù)WG7專家意見修訂完善了標(biāo)準(zhǔn)文本，形成征求意見稿。

7)2025年2月，全國網(wǎng)安標(biāo)委秘書處組織召開征求意見稿專家審查會，本項目通過評審可以發(fā)起公開征求意見。同時，標(biāo)準(zhǔn)編制組根據(jù)專家審查意見完善了標(biāo)準(zhǔn)文本。

二、標(biāo)準(zhǔn)編制原則、主要內(nèi)容及其確定依據(jù)

2.1 標(biāo)準(zhǔn)編制原則

本標(biāo)準(zhǔn)的研制工作遵循以下原則：

(1)一致性原則

本標(biāo)準(zhǔn)等同采用對應(yīng)國際標(biāo)準(zhǔn)，與對應(yīng)國際標(biāo)準(zhǔn)在語境語義等方面連貫一致，在充分理解國際標(biāo)準(zhǔn)原文的基礎(chǔ)上進(jìn)行翻譯，做到準(zhǔn)確表達(dá)原意。

(2)易讀性原則

統(tǒng)籌兼顧ISO/IEC 27000系列標(biāo)準(zhǔn)和ISO/IEC 17000系列標(biāo)準(zhǔn)在我國的轉(zhuǎn)標(biāo)實踐經(jīng)驗，確保標(biāo)準(zhǔn)內(nèi)容翻譯符合中文語境，表述通暢，具有可讀性并使標(biāo)準(zhǔn)讀者能夠容易理解。

(3)通用性原則

本標(biāo)準(zhǔn)規(guī)定了ISMS認(rèn)證機(jī)構(gòu)的通用要求，轉(zhuǎn)標(biāo)過程中充分考慮不同類型的ISMS認(rèn)證機(jī)構(gòu)的運作特點，維護(hù)標(biāo)準(zhǔn)內(nèi)容的普適性。

2.2 主要內(nèi)容及其確定依據(jù)

《網(wǎng)絡(luò)安全技術(shù) 信息安全管理體系審核和認(rèn)證機(jī)構(gòu)要求》在GB/T 27021.1的基礎(chǔ)上，對ISMS審核和認(rèn)證機(jī)構(gòu)規(guī)定了要求并提供了指南。本次是等同采用ISO/IEC 27006-1:2024對GB/T 25067-2020進(jìn)行修訂。

本標(biāo)準(zhǔn)包括十章和五個附錄。前三章是標(biāo)準(zhǔn)的通用要素，分別為：范圍、規(guī)范性引用文件、術(shù)語和定義。第4章到第10章是標(biāo)準(zhǔn)的主要技術(shù)內(nèi)容，分別為：通用要求、結(jié)構(gòu)要求、資源要求、信息要求、過程要求、管理體系要求。附錄A和C是規(guī)范性附錄，分別規(guī)定了認(rèn)證人員能力和審核時間的要求，附錄B、D和E是資料性附錄，分別闡述了能力的其他考慮因素、審核時間計算方法和信息安全控制的審核指南。

2.3 修訂前后技術(shù)內(nèi)容的對比

與GB/T 25067—2020相比，除編輯性改動外，本次修訂的主要技術(shù)變化如下：

1)規(guī)范性引用文件中刪除ISO/IEC 27000(見第2章);

2)增加“控制”、“外部環(huán)境”、“信息安全”等術(shù)語(見第3章);

3)調(diào)整審核員的工作經(jīng)歷、培訓(xùn)經(jīng)歷和審核經(jīng)歷要求(見7.2.2.2)

4)調(diào)整技術(shù)專家的工作經(jīng)歷要求(見7.2.2.3)

5)修改遠(yuǎn)程審核的相關(guān)要求(見8.2.2、9.1.3.3、9.4.3.2、C.3.2);

6)新增認(rèn)證文件中引用其他標(biāo)準(zhǔn)的要求(見8.2.3);

7)修改審核時間計算的相關(guān)要求(見C.2.1、C.3.4、C.6、C.7);

8)新增附錄A，描述了認(rèn)證職能與知識域的對應(yīng)關(guān)系;

9)依據(jù)GB/T 22080—202X附錄A中的信息安全控制，更新附錄E(2020版為附錄D);

10)刪除與GB/T 27021.1—2017重復(fù)的內(nèi)容(見5.2、7.1.3、9.3.2.2、9.4等)。

三、試驗驗證的分析、綜述報告，技術(shù)經(jīng)濟(jì)論證，預(yù)期的經(jīng)濟(jì)效益、社會效益和生態(tài)效益

3.1 試驗驗證的分析、綜述報告

本標(biāo)準(zhǔn)計劃在2025年2月-6月期間，選擇ISMS認(rèn)證機(jī)構(gòu)管理體系建設(shè)、ISMS認(rèn)證機(jī)構(gòu)的內(nèi)部審核、認(rèn)可機(jī)構(gòu)認(rèn)可評審等典型應(yīng)用場景開展試點驗證工作，驗證標(biāo)準(zhǔn)的適用性和可行性，并形成試點應(yīng)用報告。

3.2 技術(shù)經(jīng)濟(jì)論證

暫無。

3.3 預(yù)期的經(jīng)濟(jì)效益、社會效益和生態(tài)效益

我國自2006年正式引用ISMS標(biāo)準(zhǔn)并組織開展認(rèn)證認(rèn)可工作。截止到2024年11月，有224家認(rèn)證機(jī)構(gòu)獲得國家認(rèn)證認(rèn)可監(jiān)督管理委員會批準(zhǔn)，可從事ISMS認(rèn)證業(yè)務(wù)，其中獲得中國合格評定國家認(rèn)可委員會(CNAS)認(rèn)可的51家認(rèn)證機(jī)構(gòu);有43544家組織獲得了ISMS認(rèn)證證書。ISMS認(rèn)證機(jī)構(gòu)通過應(yīng)用本標(biāo)準(zhǔn)，可進(jìn)一步提升了自身的管理水平，保障ISMS審核和認(rèn)證工作的質(zhì)量，幫助獲證企業(yè)改善自身的網(wǎng)絡(luò)安全管理水平。

此外，ISMS認(rèn)證機(jī)構(gòu)通過尋求認(rèn)可機(jī)構(gòu)的認(rèn)可，可增強(qiáng)我國ISMS認(rèn)證機(jī)構(gòu)認(rèn)可證書和ISMS認(rèn)證證書在全球市場的認(rèn)可度，有助于推動貿(mào)易便利化。

四、與國際、國外同類標(biāo)準(zhǔn)技術(shù)內(nèi)容的對比情況，或者與測試的國外樣品、樣機(jī)的有關(guān)數(shù)據(jù)對比情況

ISO/IEC JTC1/SC27于2024年3月發(fā)布了新版國際標(biāo)準(zhǔn)ISO/IEC 27006-1:2024《信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)　信息安全管理體系審核和認(rèn)證機(jī)構(gòu)要求 第1部分：通用》。國內(nèi)相關(guān)組織長期積極關(guān)注ISMS系列標(biāo)準(zhǔn)的變化，將ISO/IEC 27006-1、ISO/IEC 27001、ISO/IEC 27002、ISO/IEC 27005等國際標(biāo)準(zhǔn)最新版本及時轉(zhuǎn)化為國家標(biāo)準(zhǔn)，保障我國國家標(biāo)準(zhǔn)與國際標(biāo)準(zhǔn)的一致性。

五、以國際標(biāo)準(zhǔn)為基礎(chǔ)的起草情況，以及是否合規(guī)引用或者采用國際國外標(biāo)準(zhǔn)，并說明未采用國際標(biāo)準(zhǔn)的原因

本標(biāo)準(zhǔn)等同采用ISO/IEC 27006-1:2024《信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)　信息安全管理體系審核和認(rèn)證機(jī)構(gòu)要求 第1部分：通用》。

六、與有關(guān)法律、行政法規(guī)及相關(guān)標(biāo)準(zhǔn)的關(guān)系

本標(biāo)準(zhǔn)符合現(xiàn)有法律法規(guī)的要求，并與現(xiàn)有GB/T 27021.1、GB/T 22080和GB/T 22081等相關(guān)標(biāo)準(zhǔn)協(xié)調(diào)一致。

七、重大分歧意見的處理經(jīng)過和依據(jù)

本標(biāo)準(zhǔn)編制過程中未出現(xiàn)重大分歧。

八、涉及專利的有關(guān)說明

本標(biāo)準(zhǔn)不涉及專利。

九、實施國家標(biāo)準(zhǔn)的要求，以及組織措施、技術(shù)措施、過渡期和實施日期的建議等措施建議

建議本標(biāo)準(zhǔn)作為推薦性國家標(biāo)準(zhǔn)發(fā)布，從發(fā)布到實施的過渡期設(shè)置為6個月。

標(biāo)準(zhǔn)發(fā)布后，將在標(biāo)準(zhǔn)起草單位內(nèi)率先開展應(yīng)用，并通過標(biāo)準(zhǔn)宣貫、標(biāo)準(zhǔn)應(yīng)用指南等方式，推進(jìn)標(biāo)準(zhǔn)落地應(yīng)用。

十、其他應(yīng)當(dāng)說明的事項

本標(biāo)準(zhǔn)代替GB/T 25067—2020《信息技術(shù) 安全技術(shù) 信息安全管理體系審核和認(rèn)證機(jī)構(gòu)要求》。

《網(wǎng)絡(luò)安全技術(shù) 信息安全管理體系

審核和認(rèn)證機(jī)構(gòu)要求》標(biāo)準(zhǔn)編制組

2025年2月

中企檢測認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗檢測、認(rèn)證認(rèn)可、資質(zhì)資格、計量校準(zhǔn)、知識產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認(rèn)證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認(rèn)證、計量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測、認(rèn)證、商標(biāo)、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標(biāo)注冊、食品檢測、第三方檢測機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測認(rèn)證網(wǎng)為檢測認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測、認(rèn)證、知識產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識。

本文內(nèi)容整合網(wǎng)站：中國政府網(wǎng)、百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://www.1cjaei.cn/news/202504/xwif_56597.html