GB/T 25067-2026网络安全技术信息安全管理体系审核和认证机构要求

ICS350300312020

;

CCSL.70A0.0.

;

中华人民共和国国家标准

GB/T25067—2026/ISO/IEC27006-12024

:

代替GB/T25067—2020

网络安全技术信息安全管理体系审核和

认证机构要求

Cybersecuritytechnology—Requirementsforbodiesprovidingauditand

certificationofinformationsecuritymanagementsystems

ISO/IEC27006-12024Informationsecuritcbersecuritandrivac

(:,y,yypy

protection—Requirementsforbodiesprovidingauditandcertificationof

informationsecuritmanaementsstems—Part1GeneralIDT

ygy:,)

2026-05-25发布2026-12-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T25067—2026/ISO/IEC27006-12024

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

原则

4………………………4

通用要求

5…………………4

法律与合同事宜

5.1……………………4

公正性的管理

5.2………………………4

责任和财力

5.3…………………………4

结构要求

6…………………4

资源要求

7…………………4

人员能力

7.1……………4

参与认证活动的人员

7.2………………7

外部审核员和外部技术专家的使用

7.3………………8

人员记录

7.4……………8

外包

7.5…………………8

信息要求

8…………………8

公开信息

8.1……………8

认证文件

8.2……………8

认证的引用和标志的使用

8.3…………8

保密

8.4…………………8

认证机构与其客户间的信息交换

8.5…………………9

过程要求

9…………………9

认证前的活动

9.1………………………9

策划审核

9.2……………12

初次认证

9.3……………12

实施审核

9.4……………13

认证决定

9.5……………14

保持认证

9.6……………14

申诉

9.7…………………15

投诉

9.8…………………15

客户的记录

9.9…………………………15

Ⅰ

GB/T25067—2026/ISO/IEC27006-12024

:

认证机构的管理体系要求

10……………16

可选方式

10.1…………………………16

方式通用的管理体系要求

10.2A:……………………16

方式与一致的管理体系要求

10.3B:ISO9001……………………16

附录规范性审核与认证所需的知识和技能

A()ISMS………………17

附录资料性能力的其他考虑因素

B()…………………18

通用能力

B.1……………18

特定知识和经验

B.2……………………18

附录规范性审核时间

C()………………19

通则

C.1…………………19

概念

C.2…………………19

确定初次认证审核时间的程序

C.3……………………20

监督审核的审核时间

C.4………………23

再认证审核的审核时间

C.5……………23

多场所的审核时间

C.6…………………23

扩大认证范围的审核时间

C.7…………23

附录资料性审核时间计算方法

D()……………………24

概述

D.1…………………24

审核时间计算因素的分级

D.2…………24

审核时间计算的示例

D.3………………25

附录资料性对已实现的附录中控制的审核指南

E()GB/T22080—2025A………28

目的

E.1…………………28

如何使用表

E.2E.1……………………28

参考文献

……………………39

Ⅱ

GB/T25067—2026/ISO/IEC27006-12024

:

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

本文件代替信息技术安全技术信息安全管理体系审核和认证机构要

GB/T25067—2020《

求与相比除结构调整和编辑性改动外主要技术变化如下

》,GB/T25067—2020,,:

增加了控制外部环境信息安全等术语和定义见第章

a)“”“”“”(3);

更改了管理利益冲突的要求见年版的

b)(5.2.2,20205.2.1);

更改了审核员的工作经历培训经历和审核经历要求见年版的

c)、(,2020);

更改了技术专家的工作经历要求见年版的

d)[b),2020];

增加了远程审核的相关要求见

e)(8.2.2、、);

增加了认证文件中引用其他标准的要求见

f)(8.2.3);

增加了审核与认证职能所需知识和技能见附录

g)(A);

更改了审核时间计算的相关要求见年版的

h)(C.2.1、C.3.2、C.3.3、C.3.4、C.6、C.7,2020B.2.1、

B.3.2、B.3.3、B.6)。

本文件等同采用信息安全网络安全和隐私保护信息安全管理体系审

ISO/IEC27006-1:2024《、

核和认证机构要求第部分通则

1:》。

本文件做了下列最小限度的编辑性改动

:

为与我国网络安全国家标准协调一致标准名称改为网络安全技术信息安全管理体系审核

———,《

和认证机构要求

》。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国网络安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位中国合格评定国家认可中心中国电子技术标准化研究院中国网络安全审查认

:、、

证和市场监管大数据中心北京赛西认证有限责任公司广州赛宝认证中心服务有限公司江苏保旺达

、、、

软件技术有限公司杭州趣链科技有限公司浙江省电子信息产品检验研究院北京时代新威信息技术

、、、

有限公司杭州高新区滨江区块链与数据安全研究院南方电网数字电网集团信息通信科技有限公

、()、

司深圳大学

、。

本文件主要起草人付志高张强许玉娜翟亚红黄俊梅陈艳方洁魏立茹王秉政王连强

:、、、、、、、、、、

刘险峰张晴尹肖栋魏遵博陈鹏刘伟丽潘文博

、、、、、、。

本文件及其所代替文件的历次版本发布情况为

:

年首次发布为年第一次修订年第二次修订

———2010GB/T25067—2010,2016,2020;

本次为第三次修订

———。

Ⅲ

GB/T25067—2026/ISO/IEC27006-12024

:

引言

对实施管理体系审核和认证的机构规定了要求并提供了指南符合

GB/T27021.1—2017。

的机构在依据对组织的信息安全管理体系实施审核

GB/T27021.1—2017GB/T22080—2025(ISMS)

和认证活动时有必要对补充一些要求和指南本文件提供了这些要求和指南

,GB/T27021.1—2017。。

本文件对提供审核和认证的机构规定了要求这类机构被称为认证机构本文件规定了

ISMS,。

认证机构的通用要求认证机构遵守这些要求确保其以有能力一致和公正的方式实施

ISMS。,、

认证这将促进国内外对这些机构及其认证结果的承认与接受

ISMS,。

本文件正文与的结构保持一致

GB/T27021.1—2017。

Ⅳ

GB/T25067—2026/ISO/IEC27006-12024

:

网络安全技术信息安全管理体系审核和

认证机构要求

1范围

本文件在的基础上对审核和认证机构规定了要求并提供了指南

GB/T27021.1—2017,ISMS。

提供认证的机构从能力和可靠性方面证实其符合本文件中的要求本文件中的指南提供了

ISMS。

对这些要求的进一步解释

。

注本文件能作为认可同行评审或其他审核过程的准则

:、。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

网络安全技术信息安全管理体系要求

GB/T22080—2025(ISO/IEC27001:2022,IDT)

合格评定管理体系审核认证