前言

本標準按照 GB/T 1.1一2009 給出的規則起草。

本標準代替 GB/T 25067—2016 《信息技術 安全技術 信息安全管理體系審核和認證機構要求》。

與 GB/T 25067-2016 相比，主要技術變化如下：

– 在規范性引用文件中， 刪除了ISO 19011， 新增了ISO/IEC 27000(見第2章) ；

– 刪除了術語“證書”“認證機構”“標志”和“組織”(見2016年版的第3章)；

– 基于 GB/T 27021.1-2017 的附錄A，細化了參與信息安全管理體系認證的各類人員的能力要求(見7.1.2)；

– 遵從 GB/T 27021.1―2017 的標準結構，調整了第9章過程要求的內容(見第9章，2016年版的第9章)；

– 審核時間計算由資料性附錄調整為規范性附錄(見附錄B)，并新增了審核時間計算示例(見附錄C)。

本標準使用翻譯法等同采用ISO/IEC27006：2015《信息技術安全技術信息安全管理體系審核和認證機構要求》。

與本標準中規范性引用的國際文件有一致性對應關系的我國文件如下：

– GB/T 29246-2017 信息技術安全技術信息安全管理體系概述和詞匯(ISO/IEC 27000：2016， IDT)

本標準做了以下編輯性修改：

– 因 ISO 9000：2005 已經廢止，所以引言中管理體系的定義調整為參見 GB/T 19000-2016 ；

– 增加了資料性附錄NA；

– 詞匯“procedure”， 在針對認證機構運作管理時翻譯為“程序”[見7.1.2.4.1b) 、9.1.3.2、9.1.5.1.2等]，在針對客戶信息安全控制管理時翻譯為“規程”[見7.1.2.1.4a)、9.2.2.2a)、9.3.1.2.1a)等]，兩者意思并無差異；

– 由于附錄A只在7.1.1中被引用，根據國家標準起草規定，將7.1.1的注調整為標準條文；

– 對表D.1中控制“A.13.1.3網絡中的隔離”的“審核的評審指南”，更正了網段和網絡隔離的示例。

本標準由全國信息安全標準化技術委員會(SAC/TC 260) 提出并歸口。

本標準起草單位：中國合格評定國家認可中心、中國電子技術標準化研究院、中國網絡安全審查技術與認證中心、廣州賽寶認證中心服務有限公司、華夏認證中心有限公司、國家認證認可監督管理委員會、山東省標準化研究院。

本標準主要起草人：付志高、張強、黃俊梅、魏軍、田剛、夏芳、張志國、尤其、方潔、王曙光、劉鑫。

本標準所代替標準的歷次版本發布情況為：

GB/T 25067—2010、GB/T 25067—2016 。