CNAS-SC18-2012 信息安全管理体系认证机构认可方案

CNAS-SC18信息安全管理体系认证机构认可方案AccreditationSchemeforISMSCertificationBodies中国合格评定国家认可委员会编号：CNAS-SC18:2012 3 42规范性引用文件 43术语和定义 44ISMS认证机构认可规范的构成 5R.1认可申请 5R.2预访问 6R.3初次认可的见证评审 6R.4认证业务范围的认可 6 7C.1认证协议 7C.2风险评估和责任安排 7C.3ISMS审核员在教育、工作经历、审核员培训和审核经历方面的必备条件 7C.4ISMS认证证书 8C.5保密 8 8C.7已认可的ISMS认证的转换 9C.8认证申请 9C.9认证审核相关要求 9C.10认证机构的信息安全管理体系 9G.1ISMS认证机构能力分析和评价系统指南 G.2ISMS审核范围和认证范围界定指南 G.3ISMS审核时间确定指南 20附录A（规范性附录）ISMS认证机构认证业务范围分类与分级 22通用信息安全技术领域和通用信息技术领域—参考分类、知识点及应用 24编号：CNAS-SC18:2012编号：CNAS-SC18:2012信息安全管理体系认证机构认可方案2规范性引用文件3术语和定义编号：CNAS-SC18:20124ISMS认证机构认可规范的构成R.1认可申请）；编号：CNAS-SC18:2012R.2预访问R.3初次认可的见证评审R.4认证业务范围的认可R.4.1CNAS通过对ISMS认证围。CNAS按认证业务范围的大类进行认可，必要时可将认可范围限定到中类。CNASb)根据该大类和相关中类的能力需求分析，以）；一个大类中的多个中类实施了认证，CNAS可采用抽样的方式选取其中一部分中类进R.4.2CNAS对ISMS认证机理体系认证安全管理的通知》的要求以及有关主编号：CNAS-SC18:2012R.5其他C.1认证协议（CNAS-CC01条款5.1.2）C.2风险评估和责任安排（CNAS-CC01条款5.3.1）C.3ISMS审核员在教育、工作经历、审核员培训和审核经历方面的必备条件（CNAS-CC17条款7.2.1.3）编号：CNAS-SC18:2012C.4ISMS认证证书（CNAS-CC01条款8.2.3、CNAS-CC17条款IS8.2）C.5保密（CNAS-CC01条款8.5、CNAS-CC17条款IS8.5）C.5.4审核组成员不宜在审核过程中以任何C.6ISMS的变化（CNAS-CC01条款8.6.3）编号：CNAS-SC18:2012C.7已认可的ISMS认证的转换（CNAS-CC01条款9.1.1）C.8认证申请（CNAS-CC01条款9.2.1）C.8.1认证机构应确保客户组织符合工信部联协[2010]394号文《关于加强信息安全管理体系认证安全管理的通知》的要求，以及有关主管部门/监管部门对信息安全C.8.2认证机构宜要求客户组织向其说明适用的关于认证机构的资质、诚信守法记C.9认证审核相关要求（CNAS-CC01条款9.2至条款9.9）ISMS初次认证审核的第一阶段审核宜包ISMS认证审核员在审核过程中评价可能涉及的信息安全控制措施的C.10认证机构的信息安全管理体系（CNAS-CC01条款10.3、CANS-CC17G.1ISMS认证机构能力分析和评价系统指南b)应用知识/技能所要实现的结果。它与人员所承担的承担认证职能知识和技能实施申请评审审核组成员和确定审核时间复核审核报告和做出认证决定领导审核组经营管理实务的知识√√审核原则、实务和技巧的知识√ISMS标准和规范的知识√√认证机构过程的知识√√√√涉及ISMS活动的客户的业务领域的知识√√客户的产品、过程和组织的知识√√√与客户组织中的各个层级相适应的语言技能√√作记录和撰写报告的技能√√表达技能√承担认证职能知识和技能实施申请评审审核组成员和确定审核时间复核审核报告和做出认证决定领导审核组面谈技能√√审核管理技能√2.“+”表示对知识或技能水平的要求应相对较高，即：——对审核员和审核组长的审核原则、实务和技巧的知识、ISMS标准和规范的知识以及对客户业务领域的知识的要求应高于认证决定人员和申请评审人员；——对审核组长的表达技能和审核管理技能水平的要求应高于审核员。3.对“涉及ISMS活动的客户的业务领域的知识”，可以已通过确定相关“技术领域”来定义各种必要的知识和技能。承担同种职能的人员在不同的认证活动风险和复杂性水平下需要具有的知识/技能水G.1.1.2.2.1通用信息安全技术领域和通用信息技术领域是考虑到信息安全技术和G.1.1.2.2.2认证机构宜确定通用信息安全技术由于风险和复杂性水平、知识水平可以有不同的分级方式，表G.2实施申请评审以确定所需的审核组能力、选择审核组成员和确定审核时间复核审核报告和做出认证决定领导审核组**********************b)技术领域的分类和专业能力要求的确定和调认证业务范围(1)能力需求分析(1)认证业务范围专业能力需求(2)来自审核的相关反馈审核指导来自审核的相关反馈审核指导文件(4)能力提能力提升和补充(5)人员能力评价(3)特定客户组织专业能力需求分析具备能力？特定客户组织专业能力需求分析具备能力？是特定客户组织涉及的技术领域类别和专业能力可用的及的技术领域类别和专业能力人力资源过程(6)选择和使用对特定客户组织实施审核和认证的人员(6)输入或输出判定(7)能力的持续监视(7)b)基于典型的业务流程和信息处理流程，分析典型信息处理流程(3)(5)典型信息处理流程(3)(5)典型资产(1)业务活动要求(1)(4)典型业务流程法规要求(2)典型信息(4)典型业务流程法规要求(2)(6)合同/相关方要求(6)典型信息资产的典型信息安全特性典型信息资产的典型信息安全特性安全风险(7)典型控制措施信息安全技术(7)典型控制措施G.1.3.2.1认证机构在对特定客户组织实施申请评审时，宜根据），G.1.3.2.2由于技术领域的分类和专业能力要求主要在认证业务范围能力需求分析），G.1.3.2.3特定客户组织的能力需求分析由申请评审人员实施。由于申请评审人员G.1.4.1能力评价是获取被评价人能力的证据，并将能力的证据与能力要求进行比G.1.4.2能力的证据宜与能力要求的内容相关，b)评价的目的，例如：初次聘用、持续监视、b)意见反馈：通过被评价人的工作单位、同事G.2ISMS审核范围和认证范围界定指南b)ISO/IEC27003《信息技术-安全技术-信息G.2.1.2认证机构审核组宜针对所有适用的认证业务范围和边界主要包括关键业务及业务特性描之外的业务流程共用的资产和技术，要识别其可能产生的风险及相应对于没有纳入到组织ISMS范围内的职能和部门，客户组织应提供将其排除在外的适基于以上考虑，在界定组织的边界时，宜识别ISMS所影响的所有人员，并将其b)客户组织已对临时现场风险进行评估并且该编号：CNAS-SC18:2012围和边界，一般可以通过识别组织使用的信息系统G.3ISMS审核时间确定指南编号：CNAS-SC18:2012编号：CNAS-SC18:2012附录A（规范性附录）ISMS认证机构认证业务范围分类与分级大类描述备注政务01.01一01.02一税务机关01.03一海关01.04二其他公共02.01一通信、广播电视02.02一新闻出版02.03二科研02.04二社会保障02.05二医疗服务02.06三教育02.07三其他理、燃气生产和供应、热力生产和供应、城市水陆交通设施的维护管理等）商务03.01一金融03.02一03.03一物流03.04三咨询中介03.05三旅游、宾馆、饭店03.06三其他产品的生产04.01一04.02一铁路04.03一04.04一化工04.05一航空航天04.06一水利04.07二交通运输04.08二信息与通信技术04.09二冶金04.10二采矿04.11二食品、药品、烟草04.12三农、林、牧、副、渔业04.13三其他注1：CNAS提出ISMS认证机构认证业务范围分类是为了在规范的框架下对认证机构的能力实施评审，并相应地限定其认可范围，以促使ISMS认证活动规范、有序地发展，控制认可风险；同时给各认证机构开展能力分析和评价提供一致的框架。该分类并不意味着CNAS批准认证机构可以对每个类别中的任何组织实施认证活动。注2：CNAS考虑到ISMS相关技术和知识与组织的业务活动具有相关性，组织相关方和业内专家，编号：CNAS-SC18:2012通过讨论和划分ISMS认证组织业务活动的类型，提出了认证业务范围分类。该分类基于我国ISMS认证和认可活动当前的实践和经验，注意涵盖了我国信息安全等级保护的重点领域，例如：广播电视网、通信网、金融银行、电力、铁路、民航、石油化工等，同时兼顾了其他行业领域。注3：由于ISMS认证在世界范围内仍处于发展阶段，我国ISMS认证的数量以及涉及的业务活动类型都还有限，所以认证业务范围中组织业务活动类型的划分方式仍需随着我国ISMS认证的发展和经验的增加不断改进。因此认证机构不宜直接将认证业务范围分类作为业务应用技术领域分类，而需要以其为框架进一步分析和确定业务应用技术领域。注4：认证业务范围分级是为了使CNAS在确定认证业务范围的评审方式时考虑相关的风险，从而对认证机构业务活动的扩展进行控制，降低认可风险。这里的风险是指CNAS认可的风险，即CNAS认可的ISMS认证机构所认证的组织的信息安全发生问题时，连带使CNAS声誉受损或承担责任的风险。每个中类的级别主要考虑了在该中类信息安全对于国家安全、社会秩序、公共利益、组织及其相关方合法权益的重要性的典型情况。编号：CNAS-SC18:2012附录B（资料性附录）通用信息安全技术领域和通用信息技术领域——参考分类、知识点及应用.风险评估报告的内容（重要资产、主要脆编号：CNAS-SC18:2012和编号：CNAS-SC18:2012编号：CNAS-SC18:2012