GB-T 27422-2019业务连续性认证要求

书书书犐犆犛３５．０４０犔８０ /G21 /G22 /G23 /G24 /G25 /G26 /G27 /G27 /G28 /G29 /G2A 犌犅／犜２７４２２ — ２０１９ /G21 /G22 /G23 /G24 　 /G25 /G26 /G27 /G28 /G29 /G2A /G2B /G2C /G2D /G2E /G2F /G30 /G31 /G32 /G33 /G34 /G35 /G36 犆狅狀犳狅狉犿犻狋狔犪狊狊犲狊狊犿犲狀狋 — 犚犲狇狌犻狉犲犿犲狀狋狊犳狅狉犫狅犱犻犲狊狆狉狅狏犻犱犻狀犵犪狌犱犻狋犪狀犱犮犲狉狋犻犳犻犮犪狋犻狅狀狅犳犫狌狊犻狀犲狊狊犮狅狀狋犻狀狌犻狋狔犿犪狀犪犵犲犿犲狀狋狊狔狊狋犲犿狊２０１９  １２  １０ /G37 /G38 ２０２０  ０７  ０１ /G39 /G3A /G27 /G28 /G2B /G2C /G2D /G2E /G2F /G30 /G31 /G32 /G27 /G28 /G29 /G2A /G33 /G2F /G30 /G34 /G35 /G36 /G37 /G38书书书目　　次前言 Ⅲ ………………………………………………………………………………………………………… 引言 Ⅳ ………………………………………………………………………………………………………… １　范围１ ……………………………………………………………………………………………………… ２　规范性引用文件１ ………………………………………………………………………………………… ３　术语和定义１ ……………………………………………………………………………………………… ４　原则１ ……………………………………………………………………………………………………… ５　通用要求１ ………………………………………………………………………………………………… 　５．１　法律与合同事宜１ …………………………………………………………………………………… 　５．２　公正性的管理１ ……………………………………………………………………………………… 　５．３　责任和财力２ ………………………………………………………………………………………… ６　结构要求２ ………………………………………………………………………………………………… ７　资源要求２ ………………………………………………………………………………………………… 　７．１　人员能力２ …………………………………………………………………………………………… 　７．２　参与认证活动的人员３ ……………………………………………………………………………… 　７．３　外部审核员和外部技术专家的使用４ ……………………………………………………………… 　７．４　人员记录４ …………………………………………………………………………………………… 　７．５　外包４ ………………………………………………………………………………………………… ８　信息要求４ ………………………………………………………………………………………………… 　８．１　公开信息４ …………………………………………………………………………………………… 　８．２　认证文件４ …………………………………………………………………………………………… 　８．３　认证资格的引用和标志的使用５ …………………………………………………………………… 　８．４　保密５ ………………………………………………………………………………………………… 　８．５　认证机构与其客户间的信息交换５ ………………………………………………………………… ９　过程要求５ ………………………………………………………………………………………………… 　９．１　认证前的活动５ ……………………………………………………………………………………… 　９．２　策划审核６ …………………………………………………………………………………………… 　９．３　初次认证６ …………………………………………………………………………………………… 　９．４　实施审核６ …………………………………………………………………………………………… 　９．５　认证决定６ …………………………………………………………………………………………… 　９．６　保持认证７ …………………………………………………………………………………………… 　９．７　申诉７ ………………………………………………………………………………………………… 　９．８　投诉７ ………………………………………………………………………………………………… 　９．９　客户的记录７ ………………………………………………………………………………………… Ⅰ 犌犅／犜２７４２２ — ２０１９１０　认证机构的管理要求７ …………………………………………………………………………………… 附录Ａ（资料性附录）　业务连续性管理体系审核及认证的知识８ ……………………………………… 附录Ｂ（资料性附录）　ＢＣＭＳ能力需求分析与评价９ …………………………………………………… 附录Ｃ（资料性附录）　ＢＣＭＳ认证审核时间确定指南１１ ………………………………………………… 参考文献１４ …………………………………………………………………………………………………… Ⅱ 犌犅／犜２７４２２ — ２０１９前　　言　　本标准按照ＧＢ／Ｔ１．１ — ２００９给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国认证认可标准化技术委员会（ＳＡＣ／ＴＣ２６１）提出并归口。本标准起草单位：中国网络安全审查技术与认证中心、山东省标准化研究院、中国标准化研究院、中国合格评定国家认可中心、广发银行股份有限公司信用卡中心、北京奇安信科技有限公司、中国认证认可协会、中金金融认证中心有限公司、中国民航大学、北京华认企业管理咨询有限公司。本标准主要起草人：魏军、尤其、王凤娇、王曙光、公伟、秦挺鑫、付志高、张桂明、鲍旭华、郝静、谢宗晓、顾兆军、任天。 Ⅲ 犌犅／犜２７４２２ — ２０１９引　　言　　ＧＢ／Ｔ２７０２１．１ — ２０１７《合格评定　管理体系审核认证机构要求　第１部分：要求》为机构对组织的管理体系实施审核和认证建立了准则。如果这类机构按照ＧＢ／Ｔ３０１４６《公共安全　业务连续性管理体系　要求》开展以业务连续性管理体系（ＢＣＭＳ）审核和认证为目的活动，对ＧＢ／Ｔ２７０２１．１ — ２０１７补充一些要求和指南是必要的。本标准提供了这样的内容。本标准正文遵循ＧＢ／Ｔ２７０２１．１ — ２０１７的结构，增加了针对业务连续性管理体系审核和认证机构的专用要求，并与ＧＢ／Ｔ２７０２１．１ — ２０１７共同使用。本标准的主要目的是使得认可机构在应用其评审认证机构所依据的标准时更有效地协调一致。 Ⅳ 犌犅／犜２７４２２ — ２０１９合格评定　业务连续性管理体系审核和认证机构要求１　范围本标准规定了在ＧＢ／Ｔ２７０２１．１ — ２０１７和ＧＢ／Ｔ３０１４６ — ２０１３的基础上，业务连续性管理体系（ＢＣＭＳ）认证机构所遵循的原则和对ＢＣＭＳ认证机构的要求，明确了ＢＣＭＳ审核与认证机构的能力、一致性和公正性的原则、认证相关活动的实施和管理要求等。本标准适用于所有提供ＢＣＭＳ审核和认证的机构，这些机构需要在能力和可靠性方面证实其满足本标准中的要求。２　规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。ＧＢ／Ｔ２７０００ — ２００６　合格评定　词汇和通用原则ＧＢ／Ｔ２７０２１．１ — ２０１７　合格评定　管理体系审核认证机构要求　第１部分：要求ＧＢ／Ｔ３０１４６　公共安全　业务连续性管理体系　要求３　术语和定义ＧＢ／Ｔ２７０００ — ２００６、ＧＢ／Ｔ２７０２１．１ — ２０１７、ＧＢ／Ｔ３０１４６界定的以及下列术语和定义适用于本文件。３．１　认证文件　犮犲狉狋犻犳犻犮犪狋犻狅狀犱狅犮狌犿犲狀狋表明客户的ＢＣＭＳ符合规定的ＢＣＭＳ标准及ＢＣＭＳ所要求的任何补充性文件的一类文件。４　原则应符合ＧＢ／Ｔ２７０２１．１ — ２０１７中第４章的要求。５　通用要求５．１　法律与合同事宜应符合ＧＢ／Ｔ２７０２１．１ — ２０１７中５．１的要求。５．２　公正