近日,全國(guó)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布通知,對(duì)國(guó)家標(biāo)準(zhǔn)《網(wǎng)絡(luò)安全技術(shù) 信息安全管理體系審核和認(rèn)證機(jī)構(gòu)要求》征求意見(jiàn)稿面向社會(huì)廣泛征求意見(jiàn)。本次修訂將解決信息安全管理體系(ISMS)認(rèn)證審核中遠(yuǎn)程審核技術(shù)的應(yīng)用、虛擬組織的認(rèn)證、審核時(shí)間計(jì)算、ISMS認(rèn)證證書(shū)中引用其他標(biāo)準(zhǔn)等問(wèn)題。
該標(biāo)準(zhǔn)將代替GB/T 25067—2020《信息技術(shù) 安全技術(shù) 信息安全管理體系審核和認(rèn)證機(jī)構(gòu)要求》。
關(guān)于國(guó)家標(biāo)準(zhǔn)《網(wǎng)絡(luò)安全技術(shù) 信息安全管理體系審核和認(rèn)證機(jī)構(gòu)要求》征求意見(jiàn)稿征求意見(jiàn)的通知
各相關(guān)單位和專(zhuān)家:
經(jīng)標(biāo)準(zhǔn)編制單位的辛勤努力,現(xiàn)已形成國(guó)家標(biāo)準(zhǔn)《網(wǎng)絡(luò)安全技術(shù) 信息安全管理體系審核和認(rèn)證機(jī)構(gòu)要求》征求意見(jiàn)稿。為確保標(biāo)準(zhǔn)質(zhì)量,網(wǎng)安標(biāo)委秘書(shū)處面向社會(huì)廣泛征求意見(jiàn)。
懇切希望您對(duì)該標(biāo)準(zhǔn)提出寶貴意見(jiàn)。并將意見(jiàn)于2025年05月19日前反饋給網(wǎng)安標(biāo)委秘書(shū)處。
聯(lián)系人:王姣 13661025214 wangjiao@cesi.cn
全國(guó)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書(shū)處
2025年03月20日
相關(guān)鏈接:
2.網(wǎng)絡(luò)安全技術(shù) 信息安全管理體系審核和認(rèn)證機(jī)構(gòu)要求-標(biāo)準(zhǔn)文本
3.網(wǎng)絡(luò)安全技術(shù) 信息安全管理體系審核和認(rèn)證機(jī)構(gòu)要求-意見(jiàn)匯總處理表
4.網(wǎng)絡(luò)安全技術(shù) 信息安全管理體系審核和認(rèn)證機(jī)構(gòu)要求-編制說(shuō)明
國(guó)家標(biāo)準(zhǔn)《網(wǎng)絡(luò)安全技術(shù) 信息安全管理體系審核和認(rèn)證機(jī)構(gòu)要求》編制說(shuō)明
一、工作簡(jiǎn)況
1.1 任務(wù)來(lái)源
全國(guó)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2024年11月下達(dá)標(biāo)準(zhǔn)立項(xiàng)通知,《網(wǎng)絡(luò)安全技術(shù) 信息安全管理體系審核和認(rèn)證機(jī)構(gòu)要求》由中國(guó)合格評(píng)定國(guó)家認(rèn)可中心負(fù)責(zé)承辦。本標(biāo)準(zhǔn)由全國(guó)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口。
1.2 修訂背景
《網(wǎng)絡(luò)安全技術(shù) 信息安全管理體系審核和認(rèn)證機(jī)構(gòu)要求》規(guī)定了信息安全管理體系(ISMS)認(rèn)證機(jī)構(gòu)的通用要求。
本次是通過(guò)等同采用ISO/IEC 27006-1:2024《信息安全、網(wǎng)絡(luò)安全和隱私保護(hù) 信息安全管理體系審核和認(rèn)證機(jī)構(gòu)要求 第1部分:通用》,對(duì)GB/T 25067—2020《信息技術(shù) 安全技術(shù) 信息安全管理體系審核和認(rèn)證機(jī)構(gòu)要求》進(jìn)行修訂。
本次修訂將解決ISMS認(rèn)證審核中遠(yuǎn)程審核技術(shù)的應(yīng)用、虛擬組織的認(rèn)證、審核時(shí)間計(jì)算、ISMS認(rèn)證證書(shū)中引用其他標(biāo)準(zhǔn)等問(wèn)題。此外,本次修訂還將解決與正在制定的GB/T 22080—202X《網(wǎng)絡(luò)安全技術(shù) 信息安全管理體系 要求》和GB/T 22081—2024《網(wǎng)絡(luò)安全技術(shù) 信息安全控制》之間協(xié)調(diào)一致的問(wèn)題,以及與GB/T 27021.1—2017《合格評(píng)定 管理體系審核認(rèn)證機(jī)構(gòu)要求 第1部分:要求》之間內(nèi)容重復(fù)的問(wèn)題。
1.3 起草過(guò)程
中國(guó)合格評(píng)定國(guó)家認(rèn)可中心負(fù)責(zé)組織起草,中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院、中國(guó)網(wǎng)絡(luò)安全審查認(rèn)證和市場(chǎng)監(jiān)管大數(shù)據(jù)中心、北京賽西認(rèn)證有限責(zé)任公司、廣州賽寶認(rèn)證中心服務(wù)有限公司等單位共同參與本標(biāo)準(zhǔn)的起草工作。具體起草過(guò)程如下:
1)2024年5月,項(xiàng)目牽頭單位聯(lián)合ISMS認(rèn)證機(jī)構(gòu)和科研單位,組建標(biāo)準(zhǔn)編制工作組,共同研討新版標(biāo)準(zhǔn)與舊版標(biāo)準(zhǔn)的差異性,并確定任務(wù)分工,形成標(biāo)準(zhǔn)草案初稿。
2)2024年6月,本項(xiàng)目在南昌標(biāo)準(zhǔn)周期間通過(guò)了WG7的立項(xiàng)審議。
3)2024年7月,本項(xiàng)目通過(guò)了全國(guó)網(wǎng)安標(biāo)委秘書(shū)處組織的標(biāo)準(zhǔn)立項(xiàng)專(zhuān)家評(píng)審;此外,項(xiàng)目牽頭單位組織來(lái)自ISMS認(rèn)證機(jī)構(gòu)的專(zhuān)家對(duì)標(biāo)準(zhǔn)草案進(jìn)行了審議,并對(duì)標(biāo)準(zhǔn)文本進(jìn)行了完善。
4)2024年9月,標(biāo)準(zhǔn)牽頭單位面向ISMS認(rèn)可評(píng)審員和ISMS認(rèn)證機(jī)構(gòu)開(kāi)展了標(biāo)準(zhǔn)草案培訓(xùn),介紹了標(biāo)準(zhǔn)的修訂內(nèi)容。
5)2024年11月,全國(guó)網(wǎng)安標(biāo)委下達(dá)立項(xiàng)通知,項(xiàng)目牽頭單位在全國(guó)網(wǎng)安標(biāo)委網(wǎng)站和微信公眾號(hào)面向社會(huì)公開(kāi)征集標(biāo)準(zhǔn)參編單位,完成標(biāo)準(zhǔn)編制組的組建。
6)2024年12月,標(biāo)準(zhǔn)編制組召開(kāi)啟動(dòng)會(huì),研討確定標(biāo)準(zhǔn)文本、下一步編制思路、任務(wù)分工等,并征集了編制組成員對(duì)標(biāo)準(zhǔn)文本的修訂意見(jiàn)。標(biāo)準(zhǔn)編制組邀請(qǐng)來(lái)自來(lái)自網(wǎng)絡(luò)安全領(lǐng)域和合格評(píng)定領(lǐng)域的專(zhuān)家對(duì)標(biāo)準(zhǔn)草案進(jìn)行審查,根據(jù)審查意見(jiàn)再次完善標(biāo)準(zhǔn)文本。WG7工作組在海口“標(biāo)準(zhǔn)周”對(duì)本項(xiàng)目進(jìn)行了審議,同意轉(zhuǎn)征求意見(jiàn)階段;標(biāo)準(zhǔn)編制組根據(jù)WG7專(zhuān)家意見(jiàn)修訂完善了標(biāo)準(zhǔn)文本,形成征求意見(jiàn)稿。
7)2025年2月,全國(guó)網(wǎng)安標(biāo)委秘書(shū)處組織召開(kāi)征求意見(jiàn)稿專(zhuān)家審查會(huì),本項(xiàng)目通過(guò)評(píng)審可以發(fā)起公開(kāi)征求意見(jiàn)。同時(shí),標(biāo)準(zhǔn)編制組根據(jù)專(zhuān)家審查意見(jiàn)完善了標(biāo)準(zhǔn)文本。
二、標(biāo)準(zhǔn)編制原則、主要內(nèi)容及其確定依據(jù)
2.1 標(biāo)準(zhǔn)編制原則
本標(biāo)準(zhǔn)的研制工作遵循以下原則:
(1)一致性原則
本標(biāo)準(zhǔn)等同采用對(duì)應(yīng)國(guó)際標(biāo)準(zhǔn),與對(duì)應(yīng)國(guó)際標(biāo)準(zhǔn)在語(yǔ)境語(yǔ)義等方面連貫一致,在充分理解國(guó)際標(biāo)準(zhǔn)原文的基礎(chǔ)上進(jìn)行翻譯,做到準(zhǔn)確表達(dá)原意。
(2)易讀性原則
統(tǒng)籌兼顧ISO/IEC 27000系列標(biāo)準(zhǔn)和ISO/IEC 17000系列標(biāo)準(zhǔn)在我國(guó)的轉(zhuǎn)標(biāo)實(shí)踐經(jīng)驗(yàn),確保標(biāo)準(zhǔn)內(nèi)容翻譯符合中文語(yǔ)境,表述通暢,具有可讀性并使標(biāo)準(zhǔn)讀者能夠容易理解。
(3)通用性原則
本標(biāo)準(zhǔn)規(guī)定了ISMS認(rèn)證機(jī)構(gòu)的通用要求,轉(zhuǎn)標(biāo)過(guò)程中充分考慮不同類(lèi)型的ISMS認(rèn)證機(jī)構(gòu)的運(yùn)作特點(diǎn),維護(hù)標(biāo)準(zhǔn)內(nèi)容的普適性。
2.2 主要內(nèi)容及其確定依據(jù)
《網(wǎng)絡(luò)安全技術(shù) 信息安全管理體系審核和認(rèn)證機(jī)構(gòu)要求》在GB/T 27021.1的基礎(chǔ)上,對(duì)ISMS審核和認(rèn)證機(jī)構(gòu)規(guī)定了要求并提供了指南。本次是等同采用ISO/IEC 27006-1:2024對(duì)GB/T 25067-2020進(jìn)行修訂。
本標(biāo)準(zhǔn)包括十章和五個(gè)附錄。前三章是標(biāo)準(zhǔn)的通用要素,分別為:范圍、規(guī)范性引用文件、術(shù)語(yǔ)和定義。第4章到第10章是標(biāo)準(zhǔn)的主要技術(shù)內(nèi)容,分別為:通用要求、結(jié)構(gòu)要求、資源要求、信息要求、過(guò)程要求、管理體系要求。附錄A和C是規(guī)范性附錄,分別規(guī)定了認(rèn)證人員能力和審核時(shí)間的要求,附錄B、D和E是資料性附錄,分別闡述了能力的其他考慮因素、審核時(shí)間計(jì)算方法和信息安全控制的審核指南。
2.3 修訂前后技術(shù)內(nèi)容的對(duì)比
與GB/T 25067—2020相比,除編輯性改動(dòng)外,本次修訂的主要技術(shù)變化如下:
1)規(guī)范性引用文件中刪除ISO/IEC 27000(見(jiàn)第2章);
2)增加“控制”、“外部環(huán)境”、“信息安全”等術(shù)語(yǔ)(見(jiàn)第3章);
3)調(diào)整審核員的工作經(jīng)歷、培訓(xùn)經(jīng)歷和審核經(jīng)歷要求(見(jiàn)7.2.2.2)
4)調(diào)整技術(shù)專(zhuān)家的工作經(jīng)歷要求(見(jiàn)7.2.2.3)
5)修改遠(yuǎn)程審核的相關(guān)要求(見(jiàn)8.2.2、9.1.3.3、9.4.3.2、C.3.2);
6)新增認(rèn)證文件中引用其他標(biāo)準(zhǔn)的要求(見(jiàn)8.2.3);
7)修改審核時(shí)間計(jì)算的相關(guān)要求(見(jiàn)C.2.1、C.3.4、C.6、C.7);
8)新增附錄A,描述了認(rèn)證職能與知識(shí)域的對(duì)應(yīng)關(guān)系;
9)依據(jù)GB/T 22080—202X附錄A中的信息安全控制,更新附錄E(2020版為附錄D);
10)刪除與GB/T 27021.1—2017重復(fù)的內(nèi)容(見(jiàn)5.2、7.1.3、9.3.2.2、9.4等)。
三、試驗(yàn)驗(yàn)證的分析、綜述報(bào)告,技術(shù)經(jīng)濟(jì)論證,預(yù)期的經(jīng)濟(jì)效益、社會(huì)效益和生態(tài)效益
3.1 試驗(yàn)驗(yàn)證的分析、綜述報(bào)告
本標(biāo)準(zhǔn)計(jì)劃在2025年2月-6月期間,選擇ISMS認(rèn)證機(jī)構(gòu)管理體系建設(shè)、ISMS認(rèn)證機(jī)構(gòu)的內(nèi)部審核、認(rèn)可機(jī)構(gòu)認(rèn)可評(píng)審等典型應(yīng)用場(chǎng)景開(kāi)展試點(diǎn)驗(yàn)證工作,驗(yàn)證標(biāo)準(zhǔn)的適用性和可行性,并形成試點(diǎn)應(yīng)用報(bào)告。
3.2 技術(shù)經(jīng)濟(jì)論證
暫無(wú)。
3.3 預(yù)期的經(jīng)濟(jì)效益、社會(huì)效益和生態(tài)效益
我國(guó)自2006年正式引用ISMS標(biāo)準(zhǔn)并組織開(kāi)展認(rèn)證認(rèn)可工作。截止到2024年11月,有224家認(rèn)證機(jī)構(gòu)獲得國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)批準(zhǔn),可從事ISMS認(rèn)證業(yè)務(wù),其中獲得中國(guó)合格評(píng)定國(guó)家認(rèn)可委員會(huì)(CNAS)認(rèn)可的51家認(rèn)證機(jī)構(gòu);有43544家組織獲得了ISMS認(rèn)證證書(shū)。ISMS認(rèn)證機(jī)構(gòu)通過(guò)應(yīng)用本標(biāo)準(zhǔn),可進(jìn)一步提升了自身的管理水平,保障ISMS審核和認(rèn)證工作的質(zhì)量,幫助獲證企業(yè)改善自身的網(wǎng)絡(luò)安全管理水平。
此外,ISMS認(rèn)證機(jī)構(gòu)通過(guò)尋求認(rèn)可機(jī)構(gòu)的認(rèn)可,可增強(qiáng)我國(guó)ISMS認(rèn)證機(jī)構(gòu)認(rèn)可證書(shū)和ISMS認(rèn)證證書(shū)在全球市場(chǎng)的認(rèn)可度,有助于推動(dòng)貿(mào)易便利化。
四、與國(guó)際、國(guó)外同類(lèi)標(biāo)準(zhǔn)技術(shù)內(nèi)容的對(duì)比情況,或者與測(cè)試的國(guó)外樣品、樣機(jī)的有關(guān)數(shù)據(jù)對(duì)比情況
ISO/IEC JTC1/SC27于2024年3月發(fā)布了新版國(guó)際標(biāo)準(zhǔn)ISO/IEC 27006-1:2024《信息安全、網(wǎng)絡(luò)安全和隱私保護(hù) 信息安全管理體系審核和認(rèn)證機(jī)構(gòu)要求 第1部分:通用》。國(guó)內(nèi)相關(guān)組織長(zhǎng)期積極關(guān)注ISMS系列標(biāo)準(zhǔn)的變化,將ISO/IEC 27006-1、ISO/IEC 27001、ISO/IEC 27002、ISO/IEC 27005等國(guó)際標(biāo)準(zhǔn)最新版本及時(shí)轉(zhuǎn)化為國(guó)家標(biāo)準(zhǔn),保障我國(guó)國(guó)家標(biāo)準(zhǔn)與國(guó)際標(biāo)準(zhǔn)的一致性。
五、以國(guó)際標(biāo)準(zhǔn)為基礎(chǔ)的起草情況,以及是否合規(guī)引用或者采用國(guó)際國(guó)外標(biāo)準(zhǔn),并說(shuō)明未采用國(guó)際標(biāo)準(zhǔn)的原因
本標(biāo)準(zhǔn)等同采用ISO/IEC 27006-1:2024《信息安全、網(wǎng)絡(luò)安全和隱私保護(hù) 信息安全管理體系審核和認(rèn)證機(jī)構(gòu)要求 第1部分:通用》。
六、與有關(guān)法律、行政法規(guī)及相關(guān)標(biāo)準(zhǔn)的關(guān)系
本標(biāo)準(zhǔn)符合現(xiàn)有法律法規(guī)的要求,并與現(xiàn)有GB/T 27021.1、GB/T 22080和GB/T 22081等相關(guān)標(biāo)準(zhǔn)協(xié)調(diào)一致。
七、重大分歧意見(jiàn)的處理經(jīng)過(guò)和依據(jù)
本標(biāo)準(zhǔn)編制過(guò)程中未出現(xiàn)重大分歧。
八、涉及專(zhuān)利的有關(guān)說(shuō)明
本標(biāo)準(zhǔn)不涉及專(zhuān)利。
九、實(shí)施國(guó)家標(biāo)準(zhǔn)的要求,以及組織措施、技術(shù)措施、過(guò)渡期和實(shí)施日期的建議等措施建議
建議本標(biāo)準(zhǔn)作為推薦性國(guó)家標(biāo)準(zhǔn)發(fā)布,從發(fā)布到實(shí)施的過(guò)渡期設(shè)置為6個(gè)月。
標(biāo)準(zhǔn)發(fā)布后,將在標(biāo)準(zhǔn)起草單位內(nèi)率先開(kāi)展應(yīng)用,并通過(guò)標(biāo)準(zhǔn)宣貫、標(biāo)準(zhǔn)應(yīng)用指南等方式,推進(jìn)標(biāo)準(zhǔn)落地應(yīng)用。
十、其他應(yīng)當(dāng)說(shuō)明的事項(xiàng)
本標(biāo)準(zhǔn)代替GB/T 25067—2020《信息技術(shù) 安全技術(shù) 信息安全管理體系審核和認(rèn)證機(jī)構(gòu)要求》。
《網(wǎng)絡(luò)安全技術(shù) 信息安全管理體系
審核和認(rèn)證機(jī)構(gòu)要求》標(biāo)準(zhǔn)編制組
2025年2月
中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢,檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu),儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商,法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問(wèn)題就給大家解答到這里了,如還需要了解更多專(zhuān)業(yè)性問(wèn)題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專(zhuān)利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊,包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專(zhuān)利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息,中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專(zhuān)利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專(zhuān)利的轉(zhuǎn)讓代理查詢法律法規(guī),咨詢輔導(dǎo)等知識(shí)。
本文內(nèi)容整合網(wǎng)站:中國(guó)政府網(wǎng)、百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)
免責(zé)聲明:本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理,文章版權(quán)歸原作者所有。向原作者致敬!發(fā)布旨在積善利他,如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,請(qǐng)跟我們聯(lián)系刪除并致歉!
本文來(lái)源: http://www.rumin8raps.com/news/202504/xwif_56597.html
