信息安全管理体系认证机构的认可说明

1、PAGE PAGE 13信息安全管理体系认证机构的认可说明（征求意见稿）1 目的和适用范围1.1 为确保CNAS对GB/T 220802008（ISO/IEC 27001:2005, IDT）信息安全管理体系（以下称为“ISMS”）认证机构实施评审和认可的一致性，指导申请和获得认可的ISMS认证机构理解和实施认可规范要求，特制定本文件。1.2 本文件是对ISMS认证机构认可规范的补充和必要说明，适用于CNAS对ISMS认证机构的认可试点。CNAS将根据认可试点的经验进一步完善本文件，适时将其转化为相应认可规范。本文件R部分是对相关认可规则的补充和进一步说明。本文件G部分是对相关认可准则的应用指

2、南。2 术语和定义ISO 9000:2005和GB/T 270002006中的术语和定义以及下列术语和定义适用于本文件。2.1技术领域按照信息安全要求、信息技术、信息安全技术和（或）信息安全管理知识、方法、工具在行业、组织和（或）业务活动中的应用特点而划分的范围2.2ISMS专业审核员能够独立实施涉及特定技术领域的ISMS审核活动的审核员2.3ISMS技术专家针对特定技术领域的信息安全要求、信息技术、信息安全技术和（或）信息安全管理知识、方法、工具等为ISMS认证活动提供支持的技术专家3 ISMS认证机构认可规范3.1 CNAS-RC01:2006认证机构认可规则规定了ISMS认证机构认可活动

3、的基本程序规则。CNAS-CC01:2007管理体系认证机构要求是ISMS认证机构的基本认可准则。CNAS-CC17:2009信息安全管理体系认证机构要求是ISMS认证机构的专用认可准则。3.2 其他适用的认可规则包括：CNAS-R01:2006认可标识和认可状态声明管理规则（2007年第1次修订）；CNAS-R02:2006公正性和保密规则；CNAS-R03:2008申诉、投诉和争议处理规则；CNAS-RC02:2006认证机构认可资格的暂停与撤销规则；CNAS-RC03:2006认证机构信息通报规则；CNAS-RC04:2008认证机构认可收费管理规则；CNAS-RC05:2006多场所认

4、证机构认可规则；CNAS-RC07:2007具有境外关键场所的认证机构认可规则。3.3 其他适用的认可准则包括：CNAS-CC11:2008基于抽样的多场所认证；CNAS-CC12:2008已认可的管理体系认证的转换；CNAS-CC14:2008计算机辅助审核技术在获得认可的管理体系认证中的使用。R部分R.1 认可申请申请认可的ISMS认证机构（以下称为“申请方”）应具备CNAS-RC01条款5.1.1规定的基本条件以及下列条件：ISMS认证活动已被国家认监委批准；基本运作符合CNAS-CC01。申请方应提供CNAS-RC01:2006条款5.1.2规定的申请文件以及下列文件和信息：ISMS认

5、证活动国家认监委批准文件复印件；已审核过的组织（对应到附录一中的相应中类）；自申请时间起6个月内计划实施的审核（对应到附录一中的相应中类）；需要时CNAS要求的其他信息。R.2 初次认可的见证评审CNAS结合申请方ISMS认证活动的范围、规模和风险水平确定初次认可的见证评审安排，通常情况下进行不少于两次见证评审。注：认可试点期间，如果初次认可中仅实施一次见证评审，CNAS将在申请方获得认可后，结合其ISMS认证活动发展情况，至少补充一次见证评审。R.3 认证业务范围的认可R.3.1 认证业务范围的分类与分级CNAS对ISMS认证机构认证业务范围的认可采用本文件附录一的分类方法：分为“政务”、“

6、公共”、“商务”、“产品的生产”四个大类，每个大类包含若干中类，每个中类被赋予“I”、“II”或“III”（由髙至低）的风险级别。本文件附录一对以上分类和分级做了进一步说明。R.3.2 认证业务范围的认可程序ISMS认证机构申请认证业务范围认可应符合CNAS认可规范的相关要求。通常情况下，在申请认可的认证业务范围内，认证机构的能力分析和评价系统应能够有效地识别和配备开展相关ISMS认证活动所需的能力。R.3.2.1 认证业务范围的评审认证业务范围的评审方法包括档案和记录审查、见证评审、与有关人员面谈、对获证组织的实地访问等。评审的内容主要包括：按申请认可的大类确认认证机构能力分析和评价系统的完

7、整性、符合性和总体运行情况；在申请认可的每个大类中选取一定数量的中类，按中类从认证活动管理和实施的各个环节验证认证机构能力分析和评价系统运行的有效性。通常情况下，I级风险的中类必选，并需要实施见证评审；II级和III级风险的中类采用适当的抽样方法选取，必要时进行见证评审；基于以上评审活动的结果，评价认证机构能力分析和评价系统整体运行的有效性。R.3.2.2 认证业务范围的认可决定通常情况下，如果CNAS经过认证业务范围的评审，认为认证机构的能力分析和评价系统运行基本有效，能够在某一大类中识别和配备认可活动所需的能力，则认可该大类。CNAS对某一大类的认可，仅表明CNAS基于评审认为，认证机构在

8、该大类中开展认证活动时，能够运用能力分析和评价系统有效地识别和配备所需的能力，并不意味着认证机构已经具备了对该大类中所有组织实施认证的能力，更不代表认证机构在该大类中的每次审核都一定有效。因此，认证机构应充分发挥能力分析和评价系统的作用，在该大类中按照技术领域和认证活动的职能来评价和配备实施认证活动所需的能力（见G.1.2），尤其是要确保为每次审核配备的审核组具备实施有效审核所需的全部能力（见G.1.3 b）。在已认可的大类中，认证机构应在确认具备能力（特别是相关技术领域所需的能力）后，才实施相应的认证活动和在认证证书（不包括I级风险的中类的认证证书）上施加CNAS认可标识。对于I级风险的中类

9、，通常情况下，认证机构应在CNAS实施见证评审并确认符合认可规范要求后，才可以在认证证书上施加CNAS认可标识。R.4 认可决定在CNAS对申请方做出授予认可的决定前，申请方不能颁发带有CNAS认可标识的ISMS认证证书。获得CNAS认可的ISMS认证机构不能使用IAF-MLA/CNAS联合标识。R.5 认证信息通报CNAS-RC03条款4.1.2中的“重大事故”是指具有下列影响的信息安全破坏：已经或可能严重损害国家安全、社会秩序、公共利益或获证组织及其相关方的合法权益；或者可能损害颁证机构或CNAS的公信力、声誉，或使颁证机构或CNAS承担连带责任。发生上述情况时，相关ISMS认证机构应及时

10、采取相应措施并向CNAS通报相关情况。G部分G.1 ISMS认证机构的人员能力G.1.1 技术领域根据CNAS-CC01条款7.1.1的要求，ISMS认证机构应确定与ISMS认证相关的每个技术领域所需的能力。因此，认证机构首先需要识别和确定与ISMS认证相关的技术领域。识别和确定技术领域宜考虑行业、组织或业务活动特定的过程、产品（包括服务）、信息安全要求、信息技术、信息安全技术以及信息安全管理知识、方法、工具。认证机构宜理解技术领域和认证业务范围的区别：认证业务范围分类的主要目的是规范认可的实施与管理、控制认可风险，而确定技术领域是为了使认证机构能够充分、有效地分析和评价开展ISMS认证所需的

11、能力；两者所考虑的因素（认证业务范围分类的考虑因素见附录一）也有很大区别，所以不能认为认证业务范围分类就是技术领域。实际情况有可能是认证业务范围的一个中类涉及若干特定技术领域，或者一个技术领域涉及多个中类。因此，认证机构宜结合本机构ISMS认证活动的特点和能力分析与评价的需要来识别和确定技术领域。如果认证机构参考认证业务范围分类来确定技术领域，宜按照技术领域的定义（见2.1）重新予以调整，以确保能力分析与评价的充分性和有效性。G.1.2 能力分析和评价系统ISMS认证机构应按照认可规范要求建立能力分析和评价系统。该系统应覆盖ISMS认证活动涉及的所有人员（包括直接实施审核与认证活动的人员、支持

12、性人员、管理层、各委员会成员以及行政人员），并至少包含下列过程：根据本机构特点和需要，分析和识别与ISMS认证相关的技术领域和ISMS认证活动的职能（例如申请评审、配备审核组、实施审核、认证决定等）；确定每个技术领域和每项职能所需的能力（即能力要求）及能力评价方法；注：某项职能所需的能力包括当该职能涉及某个技术领域时，有效履行职能所需的该技术领域的相关能力，例如对某一客户组织进行申请评审所需的技术能力。依据能力要求，使用能力评价方法，评价和证实有关人员是否具备所需的能力；使用经证实具备能力的人员履行相应的职能，或为相应技术领域提供支持；对所使用人员的表现及能力保持与发展情况进行持续的监控；当通

13、过评价、监控等发现有关人员的实际能力与能力要求存在差距时，通过提供培训、指导、实践机会、技术专家等，确保能力要求得到满足；评审和改进技术领域划分、能力要求、评价方法等的充分性和适宜性。维护公正性的委员会对认证业务范围发展的意见。认证机构应记录能力评价的证据、发现和结论，以证实评价过程的完整性、可信性和充分性。G.1.3 ISMS审核员能力本文件附录二参考GB/T 190112003的相关指南和认可规范相关要求，通过列举ISMS审核员能力的基本方面，为ISMS认证机构确定审核员能力要求的具体内容提供了一个指导性框架。附录二不一定覆盖对某一客户组织实施有效审核所需的能力的所有方面，同时在很多方面并

14、未描述ISMS审核员能力的具体内容。ISMS认证机构应按照认可规范要求，运用能力分析和评价系统，参考附录二确定：ISMS审核员基本能力要求的具体内容；每次审核的审核组能力要求的具体内容，即通过分析拟审核组织的结构、业务过程、信息安全要求、信息系统、ISMS的规模和复杂程度、信息安全风险、适用性声明等，确定对该组织实施有效审核所需的全部能力。ISMS审核员能力的评价方法可以包括（但不限于）：记录评价、考试、面谈、模拟演练（角色扮演）、审核活动的见证等。G.1.4 ISMS审核员和ISMS技术专家的资格条件ISMS审核员和ISMS技术专家应满足教育、经历、培训等方面适用的资格条件。教育、经历、培训

15、是获取能力的可能途径，但满足资格条件并不代表相关人员一定具备所需的能力，认证机构还应按照能力分析和评价系统的规定评价和证实该人员具备所需的能力。资格条件的审查不能代替能力的评价和证实。G.1.4.1 ISMS审核员资格条件教育：ISMS相应专业本科学历（或同等学力），包括：计算机科学技术，电子、通信和自动控制技术，数学，物理；或ISMS相关专业本科学历（或同等学力），包括：G.1.4.1 a）1）以外的其他理工学科，管理。工作经历：满足G.1.4.1 a）1）时，至少4年信息技术方面全职实际工作经历，其中至少2年的工作经历来自与信息安全有关的职责或职能；或满足G.1.4.1 a）2）时，至少6

16、年信息技术方面全职实际工作经历，其中至少3年的工作经历来自与信息安全有关的职责或职能。审核员培训：成功完成5天或40小时的ISMS审核员培训；审核经历：参加至少4次ISMS审核，审核总天数不少于20天，其中包括文件评审、风险分析的评审、现场审核和审核报告。G.1.4.2 特定技术领域的ISMS专业审核员和ISMS技术专家资格条件教育：满足G.1.4.1 a）的1）或2）；该技术领域工作经历：满足G.1.4.1 b）1），且至少1年该技术领域相关工作经历，可与G.1.4.1 b）1）同时发生；或满足G.1.4.1 b）2），且至少2年该技术领域相关工作经历，可与G.1.4.1 b）2）同时发生。

17、注：G.1.4.2的b）可用c）或d）代替。该技术领域相关培训：ISMS专业审核员：满足G.1.4.1 c），且成功完成该技术领域相关的审核技术培训（可与G.1.4.1 c）同时发生）；ISMS技术专家：成功完成该技术领域相关的信息技术、信息安全、法律法规等培训。该技术领域相关审核经历（ISMS专业审核员适用）：满足G.1.4.1 d），且在该技术领域ISMS专业审核员或技术专家指导下，参加至少4次涉及该技术领域的ISMS审核，审核总天数不少于20天（可与G.1.4.1 d）同时发生）；该技术领域的其他资格条件。G.1.5 其他ISMS认证机构及其人员还应满足其他适用的资格要求，例如客户组织或

18、其主管部门可能对认证机构的资质、诚信守法记录或认证人员的身份背景等提出要求。G.2 申请ISMS认证机构应要求申请或接受其认证的组织向其说明适用于该组织或相关认证活动的有关保守国家秘密的法律法规要求，并即时更新该说明，以便判断认证机构是否具备实施认证活动的资格或条件。G.3 第一阶段审核ISMS初次认证审核的第一阶段审核应包括在客户组织现场实施的审核活动，现场审核时间不宜少于1个审核人日。附录一ISMS认证机构认证业务范围分类表大类中类风险级别内容备注01政务01.01I国家机构包括人大、政府、法院、检察院等，不含税务机关和海关01.02I税务机关01.03I海关01.04II其他例如政党，政

19、协，人民团体等02公共02.01I广播电视02.02I通信02.03I新闻出版02.04II互联网内容提供02.05II科研02.06II社会保障例如社会保险基金管理、慈善团体等02.07II卫生保健02.08III教育02.09III其他例如市政公用事业（水的生产和供应、污水处理、燃气生产和供应、热力生产和供应、城市水陆交通设施的维护管理等）03商务03.01I金融例如银行、证券、期货、保险、资产管理等03.02I电子商务以在线交易为主要特点，含网络游戏03.03III服务外包03.04III咨询中介例如法律、会计、审计、公证等03.05III物流含邮政03.06III旅游、宾馆、饭店03.

20、07III其他04产品的生产产品包括软件、硬件、流程性材料和服务04.01I电力包括发电和输、变、配电等04.02I铁路04.03I民航04.04I化工04.05I航空航天04.06II交通运输包括公路、水路、城市公共客运交通等，不含航空和铁路04.07II信息与通信技术例如软、硬件生产及其服务，系统集成及其服务，数字版权保护等04.08II冶金04.09II采矿含石油、天然气开采04.10II水利04.11II食品、药品、烟草04.12III农、林、牧、副、渔业04.13III其他注1：以上分类考虑了组织的信息、信息载体及载体所处环境的特点，并结合了当前我国信息安全等级保护的重点领域，例如政

21、府、税务、海关、广播电视网、通信网、金融银行、电力、铁路、民航、石油化工等。不宜将认证业务范围等同于与ISMS认证相关的技术领域（见G.1.1）。注2：以上风险分级主要考虑获证组织的信息安全遭受破坏时，对国家安全、社会秩序、公共利益或组织及其相关方的合法权宜可能造成的危害的严重程度，以及获证组织ISMS的有效性发生问题时，认证机构和CNAS可能承担的责任，主要是为了控制认可活动的风险，也可为认证机构分析和控制认证业务风险提供参考。某些中类（例如每个大类的“其他”中类）的风险级别还需要随着ISMS认证认可活动的发展做进一步分析。因此，中类的风险级别并不代表相关组织的信息安全风险水平，也不表示该类

22、中所有组织的信息安全风险水平都相同。附录二ISMS审核员能力的基本方面1 个人素质为了能够遵循审核原则开展工作，审核员应具备下列个人素质（不限于）：有道德，即公平、诚实、守信、诚恳、谨慎；愿意考虑不同意见或观点；有交往能力，能够得体地与人交往；有观察能力，能够主动意识到周围环境和活动；有感知能力，能够本能地认识和理解遇到的情况；有适应能力，易于根据不同情况进行调整；能够坚持和专注于实现目标；能够根据逻辑推理和分析及时得出结论；能够在与他人有效相互配合的同时独立工作并发挥作用。2 审核原则、程序和技术为了在不同审核活动中应用适用的审核原则、程序和技术，并确保审核实施的一致性和系统性，审核员应能够

23、（不限于）：理解认证可信性与有效性的重要性、利益相关方对认证的期望以及审核风险，并在审核中勤勉尽责，保持应有的职业谨慎与合理怀疑，合理运用专业判断；应用审核类型、审核方案、审核计划方面的知识和技能；对工作进行有效地计划和安排，合理利用时间，优先关注重点问题，按计划高效地完成工作；通过有效地面谈、倾听、观察以及对文件、记录和数据的审查来收集信息，并验证所收集信息的准确性；理解审核中使用抽样方法的适宜性和后果，并在审核中使用适当的抽样方法；确认审核证据的充分性和适宜性以支持审核发现和审核结论，仅根据审核证据得出审核发现和审核结论，并评价影响审核发现和审核结论可靠性的因素；如实、准确地报告审核活动、

24、审核发现和审核结论，并报告审核中遇到的重大障碍和审核组与受审核方之间未解决的分歧意见使用工作文件记录审核活动；编制审核报告；维护信息的保密性和安全性；通过个人语言技能或通过翻译人员有效地沟通。3 管理体系和引用文件为了理解审核范围并运用审核准则，审核员应能够：理解管理体系的基础理论，例如通用术语、管理的系统方法、过程方法、PDCA循环、方针和目标、体系文件、体系有效性、持续改进等，并用其指导审核活动；认识和理解信息安全管理体系（包括信息安全控制措施）在组织中的具体应用，以及信息安全管理体系（包括信息安全控制措施）各组成部分之间的相互作用；理解信息安全管理体系标准、适用的程序或其他用作审核准则的

25、信息安全管理体系文件，以及引用文件之间的区别及优先次序，并能在具体审核活动中应用适用的标准、程序或文件，以取得审核证据，生成审核发现和审核结论；了解用于文件、数据和记录的核准、安全防护、分发及控制的信息系统和技术，并能在具体审核活动中应用相关知识。注1：已发布和制定中的信息安全管理体系标准：GB/T 220802008信息技术 安全技术 信息安全管理体系 要求(ISO/IEC 27001:2005, IDT)GB/T 220812008信息技术 安全技术 信息安全管理实用规则(ISO/IEC 27002:2007, IDT)ISO/IEC 27000信息技术安全技术信息安全管理体系概述和术语(

26、制定中，预计2009年发布)ISO/IEC 27003信息技术安全技术信息安全管理体系实施指南(制定中，预计2010年发布)ISO/IEC 27004信息技术安全技术信息安全管理测量(制定中，预计2010年发布)ISO/IEC 27005:2008信息技术安全技术信息安全风险管理ISO/IEC 27011信息技术安全技术基于ISO/IEC 27002的电信业组织信息安全管理指南(制定中，预计2009年发布)ISO/IEC 27012信息技术安全技术电子政务服务的信息安全管理指南(制定中)ISO 27799:2008健康信息学健康领域使用ISO/IEC 27002的信息安全管理4 组织状况为了理

27、解组织的运作情况（包括相关的业务风险），审核员应能够：理解组织的规模、结构、职能、关系和相关方的期望；理解组织的基本业务过程、产品（包括服务）及相关术语；理解和尊重受审核方的文化和社会习俗；从广阔的视角认识复杂的运作，并理解较大的客户组织中各单元的作用。注2：如果技术专家仅能够提供与受审核方的组织、业务过程、产品（包括服务）、语言或文化有关的知识或技能，则该技术专家不是本文件所定义的ISMS技术专家（见2.3）。5 适用的法律法规和其他要求审核员应能够识别适用的法律法规和与信息安全相关的其他要求，理解它们在受审核组织中的具体应用，并以适当的方式利用它们为审核提供支持。这些法律法规和其他要求可能

28、来自：国家、区域、地方的法律法规；国际公约和条约；合同和协议；受审核组织须遵守的其他要求。审核员应理解下列方面的法规要求：知识产权；组织记录的内容、保护和保持；数据保护与隐私；密码控制；反恐；电子商务；电子和数字签名；工作场所监督；通讯侦听与数据监视（例如，电子邮件）；计算机滥用；电子证据收集；渗透测试；国际和国家的行业特定要求（例如，银行业）。注3：信息安全法律法规的示例：全国人民代表大会常务委员会关于维护互联网安全的决定；中华人民共和国计算机信息系统安全保护条例；中华人民共和国保守国家秘密法；中华人民共和国商用密码管理条例；公安部、国家保密局、国家密码管理局、国务院信息化工作办公室信息安全

29、等级保护管理办法；公安部计算机信息网络国际联网安全保护管理办法；公安部互联网安全保护技术措施规定；公安部计算机病毒防治管理办法；中华人民共和国电子签名法。ISMS专业审核员还应了解特定技术领域的信息安全要求。注4：行业特定要求的示例：银监会电子银行业务管理办法；银监会电子银行安全评估指引；电监会关于开展电力行业信息系统安全等级保护定级工作的通知。6 信息技术审核员应能够在审核中应用通用的信息技术知识，包括（但不限于）：软件知识，例如软件类型（指操作系统、应用软件、嵌入式软件等）、软件生产（指设计、编码、测试）等；硬件知识，例如计算机结构、存储设备、外围设备等；网络知识，例如网络基本原理。ISM

30、S专业审核员还应能够在审核中应用特定技术领域的信息技术知识，例如下列方面的知识：工业控制，如分散控制系统（DCS）、过程控制系统（PCS）、数据采集与监控系统（SCADA）；计算机辅助技术，如计算机辅助设计（CAD）、计算机辅助制造（CAM）、计算机辅助检测（CAI）；通用的业务信息系统，如企业资源计划（ERP）、客户关系管理（CRM）、产品数据管理（PDM）；行业专用生产系统，如银行清算系统、电力调度系统、机场离港系统。7 信息安全审核员应能够在审核中应用通用的信息安全知识，包括（但不限于：）信息安全的概念、原则、分析方法和实践；信息安全技术知识（分类详见附表）；信息安全管理知识，例如：信息安全风险评估和处理；信息安全要求、方针、策略；信息安全过程分析；信息安全内部审核；信息安全控制措施有效性测量和ISMS有效性测量；资产管理；人力资源安全；物理和环境安全；通信和操作管理；访问控制；信息系统获取、开发和维护；信息安全事件管理；业务连续性管理；信息安全工程学；安全配置管理；脆弱性管理（如漏洞管理）；IT产品和服务准入要求。信息安全标准，例如：ISO/IEC JTC 1/SC27归口的国际标准；全国