iso27006标准名称？

ISO/IEC 27006：2015《信息技术 安全技术 信息安全管理体系审核和认证机构要求》是在ISO/IEC 17021.1：2015《合格评定 管理体系审核认证机构要求 第1部分：要求》的基础上，规定了信息安全管理体系（ISMS）审核认证机构的特定要求。认证机构通过实施ISO/IEC 27006将有利于证实其提供ISMS认证的能力和认证质量的可靠性。

中国合格评定国家认可委员会（CNAS）采用该国际标准制定了CNAS-CC170：2017《信息安全管理体系认证机构要求》文件，并将之作为对ISMS认证机构的专用认可准则。

基于ISMS认证实施过程中常有疑惑的条款，以及认可评审过程中所进行的一致性研讨情况，本文选取了ISO/IEC 27006中的9.1.3.4、7.2.1.1和9.3.1.1这3个条款，结合认可评审实践，阐述了对这些条款的理解并介绍了当前的主要实践方式，以帮助各位读者更好地理解和应用ISO/IEC 27006标准。

ISO/IEC 27006：2015《信息技术 安全技术 信息安全管理体系审核和认证机构要求》部分条款浅析

要求客户完成管理评审和内部审核的时机

ISO/IEC 27006的9.1.3.4要求：“如果一个ISMS没有至少实施过一次覆盖认证范围的管理评审和内部审核，认证机构不应对该ISMS实施认证。”。

众所周知，管理评审和内部审核是评价和改进ISMS绩效的两个重要方法。因此，要求客户应在被授予认证前实施内部审核和管理评审，将有助于认证机构评价客户的ISMS绩效及其自我完善能力。

实施认证的ISMS，前提是客户实施了覆盖认证范围的管理评审和内部审核，但没有明确指出客户实施管理评审和内部审核的时机：是在申请评审时？还是在第一阶段审核前？还是可以在第一阶段审核后？

单从标准内容来看，并未要求客户在申请评审时就已实施了内部审核和管理评审。标准中此处所说的“认证机构不应对该ISMS实施认证”，应理解为认证机构不应认证该ISMS，并不代表不能对客户开展任何审核活动。每个认证机构可以基于自身的风险控制来决定要求客户完成内部审核和管理评审的具体时间节点，并告知客户。

对于初次认证而言，客户完成覆盖认证范围的内部审核和管理评审的时间通常宜不晚于第一阶段的开始日期。为此，大多数认证机构会在管理体系认证申请书中要求客户提供内部审核和管理评审方面的信息，如时间、是否覆盖认证申请范围等。