CNAS-CC170-2015 信息安全管理体系认证机构要求.pdf

资源描述

1、 2015 年 12 月 30 日发布 2016 年 04 月 01 日实施 CNAS-CC170 信息安全信息安全管理体系认证机构要求管理体系认证机构要求 Requirements for Information Security Management System Certification Bodies 中国合格评定国家认可委员会 CNAS-CC170:2015 第 1 页共 37 页 2015 年 12 月 30 日发布 2016 年 04 月 01 日实施目次目次.1 前言.3 引言.4 1 范围.5 2 规范性引用文件.5 3 术语和定义.5 4 原则.5 5

2、通用要求.5 5.1 法律与合同事宜.5 5.2 公正性的管理.5 5.3 责任和财力.6 6 结构要求.6 7 资源要求.6 7.1 人员能力.6 7.2 参与认证活动的人员.9 7.3 外部审核员和外部技术专家的使用.10 7.4 人员记录.10 7.5 外包.10 8 信息要求.10 8.1 公开信息.10 8.2 认证文件.11 8.3 认证的引用和标志的使用.11 8.4 保密.11 8.5 认证机构与其客户间的信息交换.11 9 过程要求.11 9.1 认证前的活动.11 9.2 策划审核.14 9.3 初次认证.15 9.4 实施审核.16 9.5 认证决定.17 9.6 保持认

3、证.17 9.7 申诉.18 CNAS-CC170:2015 第 2 页共 37 页 2015 年 12 月 30 日发布 2016 年 04 月 01 日实施 9.8 投诉.18 9.9 客户的记录.18 10 认证机构的管理体系要求.18 10.1 可选方式.18 10.2 方式 A：通用的管理体系要求.19 10.3 方式 B：与 GB/T19001 一致的管理体系要求.19 附录 A（资料性附录）ISMS 审核与认证的知识与技能.20 附录 B（规范性附录）审核时间.22 附录 C（资料性附录）审核时间计算方法.27 附录 D（资料性附录）对已实施的 ISO/IEC 27001:

4、2013 附录 A 的控制的评审指南.31 参考文献.37 CNAS-CC170:2015 第 3 页共 37 页 2015 年 12 月 30 日发布 2016 年 04 月 01 日实施前言本文件等同采用国际标准ISO/IEC 27006:2015信息技术安全技术信息安全管理体系审核认证机构的要求。本文件是CNAS对信息安全管理体系认证机构的专用认可准则，与管理体系认证机构基本认可准则CNAS-CC01:2015管理体系认证机构要求共同构成CNAS对信息安全管理体系认证机构的认可准则。本文件的附录A、C和D是资料性附录，附录B是规范性附录。为了便于使用，对ISO/IEC 2

5、7006:2015做了下列编辑性修改：1)针对认证机构的管理时，用词汇“程序”表示“procedure”；针对客户的管理时，用词汇“规程”表示“procedure”；2)针对认证机构的管理时，用词汇“政策”表示“policy”；针对客户的信息安全方面的管理时，用词汇“策略”表示“policy”，针对客户的管理体系方面的管理时，用“方针”表示“policy”；本文件代替了 CNAS-CC17:2012。CNAS-CC170:2015 第 4 页共 37 页 2015 年 12 月 30 日发布 2016 年 04 月 01 日实施引言 CNAS-CC01:2015(等同采用ISO/IE

6、C 17021-1:2015)是CNAS针对各类管理体系认证机构的基本认可准则。如果管理体系认证机构按照ISO/IEC 27001:2013信息技术安全技术信息安全管理体系要求开展以信息安全管理体系（ISMS）审核和认证为目的活动，并打算依据CNAS-CC01:2015获得认可，对CNAS-CC01:2015补充一些要求和指南是必要的。本文件提供了这样的内容。本文件正文遵循CNAS-CC01:2015的结构，针对ISMS审核和认证所增加的特定要求和指南，用“IS”加以标识。贯穿本文件全文，使用“应”（shall）这一术语，以表示本文件中与CNAS-CC01:2015和ISO/IEC 27

7、001:2013的要求相对应的条款是要求性的，认证机构必须遵循；使用“宜”（should）这一术语表示建议。本文件的主要目的是使得认可机构在应用其评审认证机构所依据的标准时更有效地协调一致。注：本文件中术语“管理体系”和“体系”可以互换使用。管理体系的定义见GB/T 19000-2008（ISO 9000:2005，IDT）。请勿将本文件中使用的管理体系与其他类型的系统混淆，例如IT系统。CNAS-CC170:2015 第 5 页共 37 页 2015 年 12 月 30 日发布 2016 年 04 月 01 日实施信息安全管理体系认证机构要求 1 1 范围范围本文件对实施信息安全管

8、理体系（以下简称“ISMS”）审核和认证的机构规定了要求并提供了指南，以作为对CNAS-CC01:2015和ISO/IEC 27001:2013要求的补充。本文件的主要目的是为ISMS认证机构的认可提供支持。任何提供ISMS认证的机构，需要在能力和可靠性方面证实其满足本文件中的要求。本文件中的指南提供了对这些要求的进一步说明。注：本文件可以作为认可、同行评审或其他审核过程的准则性文件。2 2 规范性引用文件规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。CNAS-CC01

9、:2015 管理体系认证机构要求（等同采用ISO/IEC 17021-1:2015）ISO/IEC 27000 信息技术安全技术信息安全管理体系概述与词汇 ISO/IEC 27001:2013 信息技术安全技术信息安全管理体系要求 3 3 术语和定义术语和定义 CNAS-CC01:2015和ISO/IEC 27000中确立的以及下列术语和定义适用于本文件。3.1 认证文件 certification document 表明客户的ISMS符合指定的ISMS标准及ISMS所要求的任何补充性文件的一类文件。4 4 原则原则 CNAS-CC01:2015中第4章的原则适用。5 5 通用要求

10、通用要求 5.15.1 法律与合同事宜法律与合同事宜 CNAS-CC01中5.1的要求适用。5.25.2 公正性的管理公正性的管理 CNAS-CC01中5.2的要求适用。并且，以下要求和指南适用。5.2.1 IS 5.25.2.1 IS 5.2 利益冲突利益冲突 CNAS-CC170:2015 第 6 页共 37 页 2015 年 12 月 30 日发布 2016 年 04 月 01 日实施认证机构可以从事以下工作，而不被视为咨询或具有潜在的利益冲突：a）安排培训课程并作为讲师参与讲授，如果这些课程涉及信息安全管理、有关的管理体系或审核，认证机构应仅限于提供可公开获取的通用信息和建议，

11、即认证机构不应针对具体公司提供那些违反下面 b)要求的建议；b）根据请求，提供或发布认证机构对认证审核标准要求的解释性信息（见 9.1.3.6）；c）仅以确定认证审核是否就绪为目的的审核前活动，但是这些活动不应导致提供违反本条款的建议和意见。认证机构应能够证实这些活动不违反本条款的要求，且没有把这些活动作为减少最终认证审核时间的理由；d）根据没有包含在认可范围内的标准或法规，实施第二方或第三方审核；e）在认证审核和监督审核过程中的增值活动，例如，在审核过程中，当改进机会明显时，识别改进机会但不推荐具体的解决方案。认证机构不应为寻求认证的客户ISMS提供内部信息安全评审。此外，认证机构应独立于提

12、供ISMS内部审核的机构（包括任何个人）。5.35.3 责任和财力责任和财力 CNAS-CC01中5.3的要求适用。6 6 结构要求结构要求 CNAS-CC01第6章的要求适用。7 7 资源要求资源要求 7.17.1 人员能力人员能力 CNAS-CC01中7.1的要求适用。并且，以下要求和指南适用。7.1.1 7.1.1 通用的能力要求通用的能力要求认证机构应确保其人员具备与所评定的客户ISMS有关的、适时的技术知识和法律法规知识。认证机构应参照CNAS-CC01的表A.1，为每项认证职能确定能力准则。认证机构应考虑CNAS-CC01以及本文件7.1.2和7.2.1中所规定的、与认证机构确定

13、ISMS技术领域相关的所有要求。注：附录A提供了特定认证职能的人员能力要求的摘要。7.1.27.1.2 IS 7.1.2IS 7.1.2 能力准则能力准则的确定的确定 7.1.2.1 实施 ISMS 审核的能力要求 7.1.2.1.1 总体要求认证机构应有验证审核组成员的背景经验、特定培训或情况说明的准则，以确保审核组至少具备：a）信息安全的知识；CNAS-CC170:2015 第 7 页共 37 页 2015 年 12 月 30 日发布 2016 年 04 月 01 日实施 b）与受审核的活动相关的技术知识；c）管理体系的知识；d）审核原则的知识；注：有关审核原则的进一步信息，参见G

14、B/T 19011。e）ISMS 监视、测量、分析和评价的知识。除了b)可以在作为审核组成员的审核员之间共享外，以上a）-e）适用于作为审核组成员的所有审核员。审核组应有能力将客户ISMS中信息安全事件的现象追溯到ISMS的相应要素；审核组应有关于上述项目的适当工作经历且实际应用过这些项目（这不意味着一个审核员需要具有信息安全所有领域的全面的经验，但审核组整体上应对被审核的领域具备足够的认识和经验）。7.1.2.1.2 信息安全管理术语、原则、实践和技术审核组所有成员作为一个整体，应具有以下知识：a）ISMS 特定文件的结构、层级和相互关系；b）信息安全管理相关的工具、方法、技术及其应用；c

15、）信息安全风险评估和风险管理；d）ISMS 适用的过程；e）当前可能与信息安全相关的或可能面临信息安全问题的技术。每个审核员应满足a）、c）和d）。7.1.2.1.3 信息安全管理体系标准和规范性文件参与ISMS审核的审核员，应具有以下知识：a）ISO/IEC 27001的所有要求；审核组所有成员作为一个整体，应具有以下知识：b）ISO/IEC 27002（如确定有必要，还可来源于行业特定标准）中的所有控制及其实施，这些控制分为以下类别：1）信息安全策略；2）信息安全组织；3）人力资源安全；4）资产管理；5）访问控制，包括鉴别；6）密码；7）物理和环境安全；8）运行安全，包括IT服务；9）通

16、讯安全，包括网络安全管理和信息传输；10）系统获取、开发和维护；11）供应商关系，包括外包服务；CNAS-CC170:2015 第 8 页共 37 页 2015 年 12 月 30 日发布 2016 年 04 月 01 日实施 12）信息安全事件管理；13）业务连续性管理的信息安全方面，包括冗余；14）符合性，包括信息安全评审。7.1.2.1.4 业务管理实践参与ISMS审核的审核员，应具有以下知识：a）行业的信息安全最佳实践和信息安全规程；b）信息安全的策略和业务要求；c）通用业务管理的概念、实践，以及方针、目标和结果之间的关系；d）管理过程和相关的术语。注：这些过程也包括人力资源管

17、理、内部沟通、外部沟通和其他的相关支持过程。7.1.2.1.5 客户的业务领域参与ISMS审核的审核员，应具有以下知识：a）特定的信息安全领域、地域和管辖范围的法律法规要求；注：具备法律法规要求的知识，不意味着要有深厚的法律背景。b）与业务领域相关的信息安全风险；c）与客户业务领域相关的通用术语、过程和技术；d）相关业务领域的实践。准则a）可在审核组内共享。7.1.2.1.6 客户的产品、过程和组织审核组所有成员作为一个整体，应具有以下知识：a）组织类型、规模、治理、结构、职能和关系，对开发和实施ISMS和认证活动的影响，包括外包；b）广义上的复杂运营；c）适用于产品或服务的法律法规要求；

18、7.1.2.2 领导 ISMS 审核组的能力要求除了7.1.2.1中的要求，审核组组长应满足以下要求：a）具备管理认证审核过程和审核组的知识和技能；b）具备有效的口头和书面沟通能力。应通过在有指导和监督下进行的审核来证实审核组长满足上述要求。7.1.2.3 实施申请评审的能力要求 7.1.2.3.1 信息安全管理体系标准和规范性文件实施申请评审以确定所需的审核组能力、选择审核组成员并确定审核时间的人员，应具备以下知识：a）认证过程中所用的相关ISMS标准和其他规范性文件。7.1.2.3.2 客户的业务领域 CNAS-CC170:2015 第 9 页共 37 页 2015 年 12 月 3

19、0 日发布 2016 年 04 月 01 日实施实施申请评审以确定所需的审核组能力、选择审核组成员并确定审核时间的人员，应具备以下知识：a）与客户业务领域相关的通用术语、过程、技术和风险。7.1.2.3.3 客户的产品、过程和组织实施申请评审以确定所需的审核组能力、选择审核组成员并确定审核时间的人员，应具备以下知识：a）客户的产品、过程、组织类型、规模、治理、结构、职能和关系，包括外包的职能。7.1.2.4 复核审核报告并做出认证决定的能力要求 7.1.2.4.1 总则复核审核报告并作出认证决定的人员应具备知识，使其能够验证认证范围及其变更的适宜性，以及认证范围的变更对审核有效性的影

20、响，特别是识别接口、相关性和相应风险时的持续有效性；此外，复核审核报告并作出认证决定的人员应具备以下知识：a）通用的管理体系；b）审核过程和程序；c）审核原则、实践和技巧。7.1.2.4.2 信息安全管理术语、原则、实践和技术复核审核报告并作出认证决定的人员，应具备以下知识：a）7.1.2.1.2中a）、c）、d）所列的知识；b）与信息安全相关的法律法规要求。7.1.2.4.3 信息安全管理体系标准和规范性文件复核审核报告并作出认证决定的人员，应具备以下知识：a）认证过程中所用的相关ISMS标准和其他规范性文件。7.1.2.4.4 客户的业务领域复核审核报告并作出认证决定的人员，应具备以

21、下知识：a）与相关业务领域实践有关的通用术语和风险。7.1.2.4.5 客户的产品、过程和组织复核审核报告并作出认证决定的人员，应具备以下知识：a）客户的产品、过程、组织类型、规模、治理、结构、职能和关系。7.27.2 参与认证活动的人员参与认证活动的人员 CNAS-CC01中7.2的要求适用。并且，以下要求和指南适用。7.2.1 IS 7.27.2.1 IS 7.2 证实证实审核员审核员的的知识和经验知识和经验认证机构应通过以下方式证实审核员具备知识和经验：a）经承认的、ISMS 特定的资格；CNAS-CC170:2015 第 10 页共 37 页 2015 年 12 月 30 日发

22、布 2016 年 04 月 01 日实施 b）适用时，注册为审核员；c）参加 ISMS 培训课程并获得相关的个人证书；d）最新的持续专业发展记录；e）由另一个 ISMS 审核员见证的 ISMS 审核。7.2.1.1 选择审核员除7.1.2.1之外，选择审核员的准则应确保每位审核员：a）具备等同于大学教育水平的专业教育或培训；b）在信息技术方面具备至少 4 年的全职实际工作经历，其中至少 2 年的工作经历来自与信息安全有关的职责或职能；c）成功地完成至少 5 天的培训，培训范围包括 ISMS 审核和审核管理；d）在被赋予审核员责任之前，已获得整个信息安全评估过程的经验。宜通过参与最少 4 次

23、、总天数至少 20 天（其中最多 5 天可来自于监督审核）的 ISMS 认证审核（包括再认证审核和监督审核）来获得这种经验。参与审核时，应包括评审文件与风险评估，评估实施情况和报告审核情况；e）具备相关的且合乎时宜的经验；f）通过持续的专业发展，更新现有的、信息安全和审核方面的知识与技能。技术专家应符合准则a)、b)和e)。7.2.1.2 选择领导审核组的审核员除了7.1.2.2和7.2.1.1外，选择领导审核组的审核员的准则应确保该审核员：a）已经积极参与过 3 次 ISMS 审核的所有阶段（all stages）。参与审核时，应包括初次的范围识别与策划、评审文件与风险评估、评估实施情况和

24、正式地报告审核情况。7.37.3 外部审核员和外部技术专家的使用外部审核员和外部技术专家的使用 CNAS-CC01中7.3的要求适用。并且，以下要求和指南适用。7.3.1 IS 7.3 使用外部审核员或外部技术专家作为审核组的一部分技术专家应在审核员的监督下进行工作。7.2.1.1 列出了技术专家的最低要求。7.47.4 人员记录人员记录 CNAS-CC01 中 7.4 的要求适用。7.57.5 外包外包 CNAS-CC01 中 7.5 的要求适用。8 8 信息要求信息要求 8.18.1 公开信息公开信息 CNAS-CC01 中 8.1 的要求适用。CNAS-CC170:2015 第 11

25、页共 37 页 2015 年 12 月 30 日发布 2016 年 04 月 01 日实施 8.28.2 认证文件认证文件 CNAS-CC01 中 8.2 的要求适用。并且，以下要求和指南适用。8.2.1 IS 8.2 ISMS8.2.1 IS 8.2 ISMS 认证文件认证文件认证文件应由负责此项职责的人员签署。认证文件应包括适用性声明的版本。注：如果适用性声明的变更没有改变认证范围中控制措施的覆盖范围，则不要求更新认证证书。认证文件也可以包括所使用的行业特定标准。8.38.3 认证的引用和标志的使用认证的引用和标志的使用 CNAS-CC01 中 8.3 的要求适用。8.48.4 保

26、密保密 CNAS-CC01 中 8.4 的要求适用。并且，以下要求和指南适用。8.8.4 4.1.1 IS 8.IS 8.4 4 组织记录的获取组织记录的获取在认证审核之前，认证机构应要求客户组织报告是否存在因包含保密性或敏感性信息而导致不能提供给审核组核查的 ISMS 相关信息（例如 ISMS 记录或关于控制的设计与有效性的信息）。认证机构应确定 ISMS 是否能在缺少这些信息的情况下得到充分审核。如果认证机构的结论是若不核查已识别的保密性或敏感性信息就不能对 ISMS 进行充分的审核，那么认证机构则应告知客户只有在适当的访问安排获得许可后才能进行认证审核。8.58.5 认证机构与其客户间

27、的信息交换认证机构与其客户间的信息交换 CNAS-CC01 中 8.5 的要求适用。9 9 过程要求过程要求 9.1 9.1 认证前的活动认证前的活动 9.1.1 9.1.1 申请申请 CNAS-CC01 中 9.1 的要求适用。并且，以下要求和指南适用。9.1.1.1 IS 9.1.1 申请准备认证机构应要求客户具有一个已文件化且已实施的 ISMS。客户的 ISMS 应符合ISO/IEC 27001 和认证所要求的其他文件。9.1.2 9.1.2 申申请评审请评审 CNAS-CC01 中 9.1.2 的要求适用。9.1.3 9.1.3 审核方案审核方案 CNAS-CC01 中 9.1.3

28、的要求适用。并且，以下要求和指南适用。9.1.3.1 IS 9.1.3 总则 CNAS-CC170:2015 第 12 页共 37 页 2015 年 12 月 30 日发布 2016 年 04 月 01 日实施 ISMS 审核的审核方案应考虑所确定的信息安全控制。9.1.3.2 IS 9.1.3 审核方法认证机构的程序不应预先假定 ISMS 实施的特殊方式或文件和记录的特殊格式。认证程序应将重点放在确定客户的ISMS满足ISO/IEC 27001的要求和客户的策略与目标。注：ISO/IEC 27007给出了有关审核的进一步指南。9.1.3.3 IS 9.1.3 初次审核的总体准备认证

29、机构应要求客户为调阅内部审核报告和信息安全独立评审报告做出所有必要的安排。在认证审核的一阶段，客户应至少提供以下信息：a）ISMS 和其所覆盖活动的一般信息；b）ISO/IEC 27001 所规定的、必要的 ISMS 文件的副本，及必要的相关文件。9.1.3.4 IS 9.1.3 评审周期如果一个 ISMS 没有至少实施过一次覆盖认证范围的管理评审和内部审核，认证机构不应对该 ISMS 实施认证。9.1.3.5 IS 9.1.3 认证范围审核组应根据所有适用的认证要求，对包含在确定范围内的客户 ISMS 进行审核。认证机构应确认客户在其 ISMS 范围内满足了 ISO/IEC 27001

30、中 4.3 的要求。认证机构应确保：客户的信息安全风险评估和风险处置准确地体现了认证范围所界定的活动并扩展到活动的边界。认证机构应确认这在客户的 ISMS 范围和适用性声明中得到了体现。认证机构应验证每个认证范围至少有一个适用性声明。认证机构应确保：与不完全包含在 ISMS 范围内的服务或活动的接口，已在寻求认证的 ISMS 中得到说明，并已包括在客户的信息安全风险评估中。与其他机构共享设施（如：IT 系统、数据库和通讯系统或外包一项业务职能），是这类情形的一个示例。9.1.3.6 IS 9.1.3 认证审核准则客户 ISMS 接受审核的准则应是 ISMS 标准 ISO/IEC 27001。

31、与所实施的业务相关的其他文件，可以作为认证要求。9.1.4 9.1.4 确定审核时间确定审核时间 CNAS-CC01 中 9.1.4 的要求适用。并且，以下要求和指南适用。9.1.4.1 IS 9.1.4 审核时间认证机构应给予审核员足够的时间来开展与初次审核、监督审核或再认证审核相关的所有活动。总审核时间的计算，应包括报告审核情况所需的充足时间。认证机构应使用附录 B 来确定审核时间。注：附录C提供了审核时间计算的进一步指南和示例。9.1.5 9.1.5 多场所的抽样多场所的抽样 CNAS-CC01 中 9.1.5 的要求适用。并且，以下要求和指南适用。9.1.5.1 IS 9.1.5 多

32、场所 CNAS-CC170:2015 第 13 页共 37 页 2015 年 12 月 30 日发布 2016 年 04 月 01 日实施 9.1.5.1.1 当客户拥有满足以下 a)至 c)的多个场所时，认证机构可以考虑使用基于抽样的方法进行多场所认证审核：a）所有的场所在同一 ISMS 下运行，并接受统一的管理、内部审核和管理评审；b）所有的场所都包含在客户的 ISMS 内部审核方案中；c）所有的场所都包含在客户的 ISMS 管理评审方案中。9.1.5.1.2 认证机构使用基于抽样的方法时，应有适宜的程序以确保：a）在初次的合同评审时，最大程度地识别场所之间的差异，以便确定适宜的抽样

33、水平；b）结合以下因素，认证机构抽取具有代表性的场所：1)总部及其他场所的内部审核的结果；2)管理评审的结果；3)场所规模的差异；4)各场所业务目的的差异；5)不同场所的信息系统的复杂程度；6)工作实践的差异；7)所实施的活动的差异；8)控制的设计与运行的差异 9)与关键的信息系统或处理敏感信息的信息系统之间的潜在交互；10)任何不同的法律要求；11)地域和文化因素；12)场所的风险状况；13)发生在特定场所的信息安全事件。c）从客户 ISMS 范围内的所有场所中选择具有代表性的样本，该选择应基于一个可体现上述 b)中所列因素的判定，同时也考虑随机因素；d）在授予认证之前，认证机构审核了 IS

34、MS 中每个具有重大风险的场所；e）根据上述要求设计审核方案，且审核方案要在三年内覆盖 ISMS 认证范围内的代表性样本；f）无论是在总部还是在单个场所发现不符合，纠正措施规程的实施适用于包括在认证范围内的总部和所有场所。审核应关注客户总部为确保一个 ISMS 运用于所有场所并在运行层面上实施统一管理所进行的活动。审核应关注上述所有事项。9.1.6 9.1.6 多管理体系多管理体系标准标准 CNAS-CC01 中 9.1.6 的要求适用。并且，以下要求和指南适用。9.1.6.1 IS 9.1.6 ISMS 文件与其他管理体系文件的整合只要能够清楚地识别 ISMS 以及 ISMS 与其他管理体

35、系的适当接口，认证机构可以接受多个管理体系文件相结合的文件（例如，对信息安全、质量、环境和健康与安全）。CNAS-CC170:2015 第 14 页共 37 页 2015 年 12 月 30 日发布 2016 年 04 月 01 日实施 9.1.6.2 IS 9.1.6 管理体系结合审核只要能够证实审核满足了 ISMS 认证的所有要求，ISMS 审核可以和其他管理体系审核相结合。在审核报告中，所有对 ISMS 重要的要素应清晰地体现并易于识别。审核的质量不应因结合审核而受到负面影响。9.2 9.2 策划审核策划审核 9.2.9.2.1 1 确定审核目的、范围和准则确定审核目的、范围和准

36、则 CNAS-CC01 中 9.2.1 的要求适用。并且，以下要求和指南适用。9.2.1.1 IS 9.2.1 审核目的审核目的应包括确定管理体系的有效性，以确保客户已根据风险评估实施了适用的控制并实现了所设立的信息安全目标。9.2.2 9.2.2 选择和指派审核组选择和指派审核组 CNAS-CC01 中 9.2.2 的要求适用。并且，以下要求和指南适用。9.2.2.1 IS 9.2.2 审核组认证机构应正式任命审核组并为其提供相应的工作文件。认证机构应明确地规定审核组的任务,并使客户知晓。审核组可以由一个人组成，只要其满足 7.1.2.1 中所规定的全部准则。9.2.2.2 IS 9.2

37、.2 审核组能力本文件 7.1.2 的要求适用。对于监督和特殊审核活动，仅那些与所安排的监督活动和特殊审核活动相关的要求适用。当为特定认证审核选择审核组时，认证机构应确保每次委派时审核组的能力是适宜的。审核组应：a）对拟认证 ISMS 范围内的特定活动具备适当的技术知识，以及相关时，对这些活动的相关规程和其潜在信息安全风险具备适当的技术知识（技术专家可以履行此项职责）；b）理解客户，足以基于客户 ISMS 范围和组织环境对 ISMS（该体系管理着客户活动、产品和服务的信息安全）进行可靠的认证审核；c）适当地理解适用于客户 ISMS 的法律法规要求。注：适当地理解法规要求不意味着要有深厚的法律

38、背景。9.2.3 审核计划 CNAS-CC01 中 9.2.1 的要求适用。并且，以下要求和指南适用。9.2.3.1 IS 9.2.3 总则 ISMS 审核计划应考虑所确定的信息安全控制措施。9.2.3.2 IS 9.2.3 网络支持审核技术如适宜，审核计划应识别在审核中使用的网络支持的审核技术。CNAS-CC170:2015 第 15 页共 37 页 2015 年 12 月 30 日发布 2016 年 04 月 01 日实施注：网络支持的审核技术可包括：例如，电话会议、网络会议、基于网络的交互式通信和远程电子访问ISMS文件和（或）ISMS过程。对这些技术的关注，将提高审核的有效性

39、和效率，并支持审核过程的完整性。9.2.3.3 IS 9.2.3 审核时间的选择认证机构宜与拟审核的组织就选择一个能最有效地证实其整个 ISMS 范围的审核时间达成一致意见。适当时，可考虑季度、月份、日期和班次。9.3 9.3 初次认证初次认证 CNAS-CC01 中 9.3 的要求适用。并且，以下要求和指南适用。9.3.1 IS 9.3.1 9.3.1 IS 9.3.1 初次认证审核初次认证审核 9.3.1.1 IS 9.3.1.1 第一阶段在该审核阶段，认证机构应获取有关 ISMS 设计的文件，其中包括 ISO/IEC 27001所要求的文件。认证机构应充分了解在组织环境下所进行的 I

40、SMS 设计、风险评估和处置（包括所确定的控制）、信息安全方针和目标，以及特别是客户的审核准备情况。在此基础上，才能进行第二阶段的策划。第一阶段的结果应形成书面报告。在决定进行第二阶段之前，认证机构应审查第一阶段的审核报告，以便为第二阶段选择具有所需能力的审核组成员。认证机构应让客户知晓第二阶段可以要求对更进一步的信息和记录做详细检查。9.3.1.2 IS 9.3.1.2 第二阶段 9.3.1.2.1 基于第一阶段审核报告中的审核发现，认证机构制定实施第二阶段的审核计划。除了评价 ISMS 的有效实施之外，第二阶段的目的是：a）确认客户遵守自身的方针、策略和规程。9.3.1.2.2 为此，审核

41、应重点关注客户：a）最高管理者的领导力和对信息安全方针与信息安全目标的承诺；b）ISO/IEC 27001 中所列的文件要求；c）评估与信息安全有关的风险，以及评估可产生一致的、有效的、在重复评估时可比较的结果；d）基于风险评估和风险处置过程，确定控制目标和控制；e）信息安全绩效和 ISMS 有效性，以及根据信息安全目标对其进行评审；f）所确定的控制、适用性声明、风险评估与风险处置过程的结果、信息安全方针与目标，它们相互之间的一致性；g）控制的实施（见附录 D），考虑了外部环境、内部环境与相关的风险，以及组织对信息安全过程和控制的监视、测量与分析，以确定控制是否得以实施、有效并达到其所规定的目

42、标；CNAS-CC170:2015 第 16 页共 37 页 2015 年 12 月 30 日发布 2016 年 04 月 01 日实施 h）方案、过程、规程、记录、内部审核和对 ISMS 有效性的评审，以确保其可被追溯至管理决定和信息安全方针与目标。9.4 9.4 实施审核实施审核 CNAS-CC01:2015 中 9.4 的要求适用。并且，以下要求和指南适用。9.4.1 IS 9.4 9.4.1 IS 9.4 总则总则认证机构应具备形成文件的程序，以：a）依据 CNAS-CC01 的规定，对客户的 ISMS 进行初次认证审核；b）依据 CNAS-CC01，对客户的 ISMS 定期进

43、行监督审核和再认证审核，以确认其持续符合相关要求，并验证和记录客户为纠正所有的不符合而及时采取了纠正措施。9.4.9.4.2 2 IS 9.4 ISMSIS 9.4 ISMS 审核的特定要素审核的特定要素认证机构，由审核组所代表，应：a）要求客户证实对信息安全相关风险的评估与ISMS范围内的ISMS运行是相关的和充分的；b）确定客户识别、检查和评价信息安全相关风险的规程及其实施结果是否与客户的方针、目标和指标相一致。认证机构还应确定用于风险评估的规程是否健全并得到正确实施。9.9.4.34.3 IS 9.IS 9.4 4 审核报告审核报告 9.4.3.1 除了 CNAS-CC01 9.4.8

44、中对审核报告的要求之外，审核报告应提供以下信息或对这些信息的引用：a）审核的说明，其中包括了文件评审摘要；b）对客户信息安全风险分析进行认证审核的说明；c）与审核计划的偏离（例如：在某一预定的活动上花费更多或更少的时间）；d）ISMS 的范围。9.4.3.2 审核报告应足够详细，以帮助和支持认证决定。审核报告应包括：a）所采用的主要审核路线和所使用的审核方法（见 9.1.3.2)；b）形成的观察结果，包括正面的（例如，值得注意的特征）和负面的（例如，潜在的不符合）；c）对客户 ISMS 与认证要求的符合性的评价意见、对不符合的清楚说明、所引用的适用性声明的版本，以及适用时，与客户以往认证审核

45、结果的任何有用的对照。完成的问卷、检查清单、观察结果、日志或审核员笔记可以构成完整的审核报告的一部分。如果使用这些方法，这些文件应作为支持认证决定的证据提供给认证机构。在审核过程中，有关被评价的样本的信息应包含在审核报告或其他认证资料中。报告应考虑客户所采用的内部组织和规程的充分性，以便对其ISMS建立信心。除了 CNAS-CC01 的 9.4.8 中对审核报告的要求，报告还应包括：CNAS-CC170:2015 第 17 页共 37 页 2015 年 12 月 30 日发布 2016 年 04 月 01 日实施 a）关于 ISMS 要求和信息安全控制的实施与有效性的、最重要的观察（正面

46、的和负面的）的摘要；b）审核组关于客户的 ISMS 是否获得认证的建议，以及支持该建议的信息。9.5 9.5 认证决定认证决定 CNAS-CC01 中 9.5 的要求适用。并且，以下要求和指南适用。9.5.1 IS 9.59.5.1 IS 9.5 认证决定认证决定除了 CNAS-CC01 的要求外，认证决定应基于审核报告（见 9.4.3）中审核组对客户ISMS 是否通过认证的建议。通常情况下，对授予认证做出决定的人员或委员会不宜推翻审核组的负面建议。如果发生这种情况，认证机构应记录其作出推翻建议的决定的依据，并说明其合理性。只有具备充分的证据证实管理评审和 ISMS 内部审核的安排已经实施，

47、且是有效的并将得到保持，才可向客户授予认证。9.6 9.6 保持认证保持认证 9.6.1 9.6.1 总则总则 CNAS-CC01 中 9.6.1 的要求适用。9.6.2 9.6.2 监督活动监督活动 CNAS-CC01 中 9.6.2 的要求适用。并且，以下要求和指南适用。9.6.2.1 IS 9.6.2 监督活动 9.6.2.1.1 监督审核程序，应与本文件中有关客户 ISMS 的认证审核的要求和指南保持一致。监督的目的是验证已被认证的ISMS得到持续实施、考虑客户运作变化所引起的管理体系变化的影响并确认与认证要求的持续符合。监督审核方案应至少包括：a）管理体系的保持要素，如信息安全风险评

48、估与控制的维护、ISMS 内部审核、管理评审和纠正措施；b）根据 ISMS 标准 ISO/IEC 27001 和认证所需的其他文件的要求，与来自外部各方沟通；c）文件化管理体系的变更；d）发生变更的区域；e）所选择的 ISO/IEC 27001 的要求；f）适宜时，其他所选择的区域。9.6.2.1.2 认证机构的每一次监督应至少审查以下方面：a）ISMS 在实现客户信息安全方针的目标方面的有效性；b）对与相关信息安全法律法规的符合性进行定期评价与评审的规程的运行情况；c）所确定的控制的变更，及其引起的 SoA 的变更；d）控制的实施和有效性（根据审核方案来审查）。CNAS-CC170:2015

49、第 18 页共 37 页 2015 年 12 月 30 日发布 2016 年 04 月 01 日实施 9.6.2.1.3 认证机构应能够针对与信息安全问题相关的风险及其对客户的影响来调整监督方案，并说明监督方案的合理性。监督审核可以与其他管理体系的审核相结合。报告应清晰地指出与每个管理体系相关的方面。在监督审核过程中，认证机构应检查客户提交给认证机构的申诉和投诉记录，并且在发现任何不符合或不满足认证要求时，还应检查客户是否对其自身的ISMS和规程进行了调查并采取了适当的纠正措施。特别是，监督报告应包括有关消除以往出现的不符合、SoA版本和从上次审核之后发生的重大变更的信息。监督审核报告

50、应至少完全覆盖本文件的9.6.2.1.1和9.6.2.1.2的要求。9.6.3 9.6.3 再认证再认证 CNAS-CC01 中 9.6.3 的要求适用。并且，以下要求和指南适用。9.6.3.1 IS 9.6.3 再认证审核再认证审核程序，应与本文件中有关客户 ISMS 的初次认证审核的要求和指南保持一致。允许采取纠正措施的时间，应与不符合的严重程度和相关的信息安全风险相一致。9.6.4 9.6.4 特殊审核特殊审核 CNAS-CC01 中 9.6.4 的要求适用。并且，以下要求和指南适用。9.6.4.1 IS 9.6.4 特殊情况如果已经通过ISMS认证的客户对其管理体系做重大修改，或者

展开阅读全文