GB/T 25067-2020
Информационные технологии. Методы обеспечения безопасности. Требования к органам, обеспечивающим аудит и сертификацию систем управления информационной безопасностью. (Англоязычная версия)

Стандартный №: GB/T 25067-2020
язык: Китайский, Доступно на английском
Дата публикации: 2020
Разместил: General Administration of Quality Supervision, Inspection and Quarantine of the People‘s Republic of China
Последняя версия: GB/T 25067-2020
заменять: GB/T 25067-2016

сфера применения

Анализ основного содержания стандарта

Сравнение версий	GB/T 25067-2016	GB/T 25067-2020
Ссылочные стандарты	ISO/IEC 27001:2013	Новая система терминологии ISO/IEC 27000
Расчет времени аудита	Информационное приложение	Обновлено до нормативного приложения
Требования к компетентности персонала	Основные пункты	Уточнить пункт 7.1.2 и добавить 14 областей контроля

Ключевые моменты внедрения

Требования к возможностям органов сертификации

Аудиторская группа должна иметь:

Возможности оценки рисков информационной безопасности (7.1.2.1.1)
Понимание всех требований GB/T 22080-2016
Опыт внедрения 14 типов мер контроля (физическая безопасность, управление паролями и т. д.)

Пример: сертификация поставщика услуг облачных вычислений требует дополнительной проверки A.13.1.3 Сетевая изоляция и A.15 Управление поставщиками Элементы контроля

Анализ развития технологий

Основные улучшения версии 2020 года:

Стандартизация модели расчета времени аудита (Приложение B)
Добавлены спецификации удаленного аудита (≤30% времени на месте)
Усилены правила выборки на нескольких объектах (9.1.5.1)

Метод проверки меры контроля

Тип контроля	Метод проверки	Пример
Тип организации	Проверка документов + интервью	A.8.1.1 Актив Список
Техническое	Тестирование системы	A.12.2.1 Защита от вредоносных программ

GB/T 25067-2020 Ссылочный документ

GB/T 22080-2016 Информационные технологии.Техники обеспечения безопасности.Системы управления информационной безопасностью.Требования.
GB/T 27021.1-2017 Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента. Часть 1. Требования.
ISO/IEC 27000 Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Обзор и словарь [Стандарт на французском языке]

GB/T 25067-2020 История

2020 GB/T 25067-2020 Информационные технологии. Методы обеспечения безопасности. Требования к органам, обеспечивающим аудит и сертификацию систем управления информационной безопасностью.
2016 GB/T 25067-2016 Информационные технологии. Методы обеспечения безопасности. Требования к органам, обеспечивающим аудит и сертификацию систем управления информационной безопасностью.
2010 GB/T 25067-2010 Информационные технологии.Техники обеспечения безопасности.Требования к органам, осуществляющим аудит и сертификацию системы менеджмента информационной безопасности.

Информационные технологии. Методы обеспечения безопасности. Требования к органам, обеспечивающим аудит и сертификацию систем управления информационной безопасностью.

Специальные темы по стандартам и нормам

технический обзор технический обзор Система управления информационной безопасностью

стандарты и спецификации