ISMS认证之认证范围和审核范围.doc

ISMS认证之认证范围和审核范围当前，众多企业已经依据ISO/IEC 27001：2005建立了信息安全管理体系，并开始向认证机构申请获取ISMS证书，但对认证过程中涉及到审核范围和认证范围的概念不太清楚，现就该问题做如下探讨。一、认证范围和审核范围的区别1、认证范围是认证机构为受审核方的产品服务/体系提供信用担保的范围，用于认证注册的目的，用于表明被被认证的受审核方的ISMS所覆盖的范围，通常体现在认证证书上。认证范围包括获证组织的实际位置、组织单元、活动和过程。其中活动和过程是认证范围的核心要素。实际位置：组织活动和过程所在的场所区域及所处的位置；组织单元：为实施和管理组织活动和过程所设置的组织结构；活动和过程：组织的具体业务活动及业务包含的所有过程。ISMS认证范围通常在证书中以“物理范围”和“业务范围”来表述。例如，在某获证组织的证书上认证范围如下表述：物理范围：XX省XX市XX路XX号XX科技园区XXX-XXX。业务范围：为组织（组织单元）的软件开发、零部件采购、产品销售和产品售后服务（活动和过程）提供的信息安全管理。2、审核范围根据GB/T 19000-2008质量管理体系 基础和术语定义为“审核的内容和界”，是用于指导具体审核的实施。审核范围通常包括对受审核组织的实际位置、组织单元、活动和过程，以及审核所覆盖的时期的描述。与认证范围相比，多了审核覆盖时期，即审核时查询的记录的起至时间。例如，ISMS初次认证的审核覆盖时期一般包括ISMS正式运行开始到ISMS初次认证第二阶段审核的末次会议结束；ISMS监督审核覆盖时期一般包括上次现场审核的末次会议结束开始到本次审核的末次会议结束为止。3、一次具体审核的审核范围与认证范围并不一定完全一致。初次认证的第二阶段审核范围可能大于认证范围，如：初次认证的第二阶段审核范围包括某项业务，或某个过程（产品售后服务），或某个区域位置，但发现ISMS没有包括这些内容，则与受审核方协商后，认证证书中的认证范围将不包括某项业务，或某个过程，或某个区域位置。监督审核的审核范围所包括的内容通常少与认证范围中规定的内容，如在监督审核时根据抽样，只对组织中的部分部门，或部分业务进行审核。对于多现场的认证，不管是初次认证还是监督评审，由于可以在一定原则上进行抽样、一次具体审核的审核范围可以只覆盖部分的场所，而认证范围可能包括申请认证的所有场所。二、认证范围和审核范围的联系1、根据审核范围确定认证范围ISMS初次认证，认证机构可以根据审核组已审核的范围及审核结论，确定与批准最终的认证范围。单一场所情况下，认证范围小于等于审核范围；多场所情况下，由于抽样存在，认证范围可以包括申请组织的所有场所。2、依据认证范围来确定具体的审核范围；ISMS监督审核，审核范围一般情况下必须依据认证范围确定审核范围，两这应该是一致的，除非获证组织提出扩大或缩小认证范围。三、审核范围的确认（初次认证适用）1、申请方根据ISMS覆盖范围自行确定审核范围最初由申请方依据在填写认证申请时，依据以下2种情况自行确定：1）根据ISMS覆盖的区域位置、组织单元、业务活动和过程等具体情况，描述想要认证机构提供保证的范围，该范围称为审核范围。确定的关键是是否被ISMS覆盖。2）申请方根据资质内容确定申请方根据拥有的资质，包括营业执照、生产许可证、销售许可证、入网证、工程项目建设资质证等，只要这些证书在有效期内，就可以直接将其作为确认审核范围的证据。2、审核组的协商与修正在整个审核过程，也是审核组就审核范围与受审核组织不断协商，不断修正，最终达成一致的过程。四、认证范围的确认ISMS认证范围是认证机构为受审核方的ISMS提供信用担保的范围，无论认证机构还是获证企业，都极为关注认证范围的表述。对认证范围的确认过于谨慎，受审核方会不满意，也有悖于以顾客为关注焦点的原则；过于放松，是对诚信原则的亵渎，也有悖于社会的期望和法律法规的规定。对此，各家认证机构在确认认证范围时都非常谨慎。1、审核组的推荐审核组根据已审核过的范围及审核结论，向认证机构推荐认证范围。一般来说很少有否定审核组推荐意见的情况发生。2、认证决定人员确定认证机构的认证决定一般来说是由具备丰富审核经验和很高专业技术能力的人员担当。认证决定人员根据审核报告及相关资料（包括申请书、审核记录等）确定认证范围。3、认证范围确定原则1）申请方的资质情况，特别是营业执照中确定的内容，这是确定认证范围的基础条件。例如，某组织生产多种类型的信息安全产品，包括VPN网关，由于VPN涉及商用密码，需要获得国家密码管理局的“商用密码产品型号证书”和“商用密码产品生产定点单位证书”等证书，但该组织没有获得相关证书，故，认证范围需将VPN网关排除在外。2）申请方建立的ISMS范围翻盖了相关业务、活动和过程，这是确定认证范围的先决条件。组织的ISMS范围必须覆盖认证范围，在ISMS范围之外的活动和过程，不可能列入到认证范围之中。3）认证范围包括的活动和过程涉及的特有信息安全问题有规程进行控制，且经证实通过管理或技术手段，该信息安全问题得到有效控制，这是确认认证范围的关键条件。例如，某组织有产品售后服务，需提供上门现场安装、产品调试、状态检测等服务，上门服务时，需要售后技术人员从客户现场远程登录组织的信息系统。虽然售后技术人员的笔记本安装的软件、口令等都遵循组织ISMS中的有关知识产权和访问控制等有关规定，这是否就能将售后服务纳入认证范围中呢？还是不能纳入认证范围，因为，售后技术人员的笔记本安装的软件、口令遵循的是ISMS通用要求，所有相关活动和过程都必须遵循，但因产品售后服务而产生的安全问题，如远程访问安全，现场服务安全等安全问题没有规程控制，即没有通过管理手段和技术手段进行控制，故不能将产品售后服务纳入到认证范围中。4、认证范围的再确