CNAS-CC17-2009 信息安全管理体系认证机构要求.pdf

资源描述

1、 2009 年 02 月 15 日发布 2009年 02 月 15 日实施 CNAS-CC17 信息安全管理体系认证机构要求 Requirements for Information Security Management System Certification Bodies 中国合格评定国家认可委员会 CNAS-CC17:2009 第 1 页共 30 页 2008 年 02 月 15 日发布 2008年 02 月 15 日实施目录前言 . . 3 引言 . . 4 1 范围 . . 5 2 规范性引用文件 . . 5 3 术语和定义 . . 5 4 原则 . . 5 5 通用要

2、求 . . 6 5.1 法律与合同事宜 . . 6 5.2 公正性的管理 . . 6 5.3 责任和财力 . . 6 6 结构要求 . . 6 6.1 组织结构和最高管理层 . 6 6.2 维护公正性的委员会 . 6 7 资源要求 . . 6 7.1 管理层和人员的能力 . 6 7.2 参与认证活动的人员 . 7 7.3 外部审核员和外部技术专家的使用 . 8 7.4 人员记录 . . 8 7.5 外包 . . 8 8 信息要求 . . 8 8.1 可公开获取的信息 . 8 8.2 认证文件 . . 8 8.3 获证客户组织名录 . . 9 8.4 认证的引用和标志的使用 . 9 8.5 保

3、密性 . . 9 8.6 认证机构与其客户组织间的信息交换 . 9 9 过程要求 . . 9 9.1 通用要求 . . 9 9.2 初次审核与认证 . . 11 9.3 监督活动 . . 14 9.4 再认证 . . 14 9.5 特殊审核 . . 15 9.6 暂停、撤销或缩小认证范围 . 15 9.7 申诉 . . 15 9.8 投诉 . . 15 9.9 申请组织和客户组织的记录 . 15 10 认证机构的管理体系要求 . 15 10.1 可选方式 . . 15 10.2 方式一：按照 GB/T190 01-2000 的管理体系要求 . . 15 10.3 方式二：通用的管理体系要求

4、 . 15 CNAS-CC17:2009 第 2 页共 30 页 2008 年 02 月 15 日发布 2008年 02 月 15 日实施 10.3.1 IS 10.3 ISMS 实施. . 15 附录 A . 16 客户组织复杂性和行业特定方面的分析 . 16 A.1 组织的潜在风险 . . 16 A.2 行业特定的信息安全风险类别 . 17 附录 B . 18 B.1 需考虑的一般能力 . . 18 B.2 需考虑的特定能力 . . 18 B.2.1 有关 GB/T 22080 - 2008 的附录 A 控制措施的知识. 18 B.2.2 有关 ISM S 的典型知识 . .

5、18 附录 C . 20 C.1 引言 . . 20 C.2 确定审核时间的程序 . . 20 C.3 审核时间表 . . 21 C.3.1 通则 . . 21 C.3.2 术语的解释 . . 22 附录 D . 23 附录 D . 24 D.1 目的 . . 24 D.1.1 审核证据 . . 24 D.2 如何使用表 D.1. . 24 D.2.1 “ 组织类控制措施”列与“技术类控制措施”列 .24 D.2.2 “ 系统测试”列 . . 24 D.2.3 “ 目视检查”列 . . 24 D.2.4 “ 认证审核中的评审指南”列 . 24 CNAS-CC17:2009 第 3 页共 3

6、0 页 2008 年 02 月 15 日发布 2008年 02 月 15 日实施前言本文件等同采用国际标准 ISO/IEC 27006:2007信息技术安全技术信息安全管理体系审核认证机构的要求。本文件是 CNAS对信息安全管理体系认证机构的专用认可准则，与管理体系认证机构基本认可准则 CNAS-CC01:2007管理体系认证机构要求其共同构成 CNAS对信息安全管理体系认证机构的认可准则。本文件的附录 A、 B、 C和 D是资料性附录。为了便于使用，对 ISO/IEC 27006:2007做了下列编辑性修改： 1) 针对认证机构的管理时，用词汇“程序”表示“procedure”

7、；针对客户组织的管理时，用词汇“规程”表示“procedure”； 2) 针对认证机构的管理时，用词汇“政策”表示“policies”；针对客户组织的管理时，用词汇“策略”表示“policies”； 3) 用词汇“客户组织”表示“client”或“client organization” ； 4) 用词汇“审核时间”表示“audit time”或“ auditor time” 。 CNAS-CC17:2009 第 4 页共 30 页 2008 年 02 月 15 日发布 2008年 02 月 15 日实施引言 CNAS-CC01:2007(等同采用 GB/T 27021 2007/ISO

8、/IEC 17021:2006)是 CNAS针对各类管理体系认证机构的基本认可准则。如果管理体系认证机构按照 GB/T 22080-2008信息技术安全技术信息安全管理体系要求（ ISO/IEC 27001:2005， IDT）开展以信息安全管理体系（ ISMS）审核和认证为目的活动，并打算依据 CNAS-CC01:2007获得认可，对 CNAS-CC01:2007补充一些要求和指南是必要的。本文件提供了这样的内容。本文件正文遵循 CNAS-CC01:2007的结构，针对 ISMS审核和认证所增加的特定要求和指南，用 “ IS”加以标识。贯穿本文件全文，使用“应”（ shall）

9、这一术语，以表示本文件中与 CNAS-CC01:2007和 GB/T 22080-2008的要求相对应的条款是要求性的，认证机构必须遵循；使用“宜”（ should）这一术语，以表示尽管本文件中与 CNAS-CC01:2007和 GB/T 22080-2008的要求相对应的条款是指南性的，构成了对这两个文件中要求的应用指南，但仍然期望认证机构采纳。本文件的一个目的是确保以一致的方式按照相关准则或标准对信息安全管理体系认证机构实施评审和认可。认证机构在贯彻本文件的指南性条款时所形成的任何不同，可视为一个例外。针对这种不同，只有当认证机构向 CNAS证实那些例外以等效的方式满足 CNAS

10、-CC01:2007和 GB/T 22080-2008的相关条款要求以及本文件的意图时，并仅在具体问题具体分析的基础上才被允许。 CNAS-CC17:2009 第 5 页共 30 页 2008 年 02 月 15 日发布 2008年 02 月 15 日实施信息安全管理体系认证机构要求 1 范围本文件对实施信息安全管理体系（以下简称“ISMS”）审核和认证的机构提出要求并提供指南，以作为对CNAS-CC01:2007和GB/T 22 080-2008要求的补充。制定本文件的主要意图是对实施ISMS认证的认证机构的认可提供支持。任何提供 ISMS 认证的机构需要在能力和可靠性方面证实其满足

11、本文件的要求。本文件的指南性条款为这些要求提供了进一步的说明。注：本文件可以作为认可、同行评审或其他审核过程的准则性文件。 2 规范性引用文件下列文件中的条款通过本文件的引用而成为本文件的条款。凡是注明日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本文件。然而，鼓励根据本文件达成协议的各方研究是否可使用这些文件的最新版本。凡是不注明日期的引用文件，其最新版本适用于本文件。 CNAS-CC01:2007 管理体系认证机构要求（等同采用 GB/T 27021 2007/ISO/IEC 17021:2006） GB/T 22080-2008 信息技术安全技术信息安全

12、管理体系要求（ISO /IEC 27001:2005，IDT） GB/T 19011 质量和（或）环境管理体系审核指南（GB/T 19011-2003，ISO/IEC 19011:2002，IDT） 3 术语和定义 CNAS-CC01:2007和 GB/T 22080-2008中确立的以及下列术语和定义适用于本文件。 3.1 认证证书 certificate 由认证机构依照认可条件颁发的，并带有认可标识或声明的一种文件。 3.2 认证机构 certific ation body 按照正式发布的ISMS标准及ISMS所要求的任何补充性文件，对客户组织的ISMS进行评定和认证的第三方机构。 3

13、.3 认证文件 certificat ion document 表明客户组织的ISMS符合指定的ISMS标准及ISMS所要求的任何补充性文件的一类文件。 3.4 标志 mark 依法注册的商标或在认可机构或认证机构的规则下颁发的受到保护的标识，以表明对组织所运行的管理体系建立足够信心，或者表明相关的产品或人员符合指定标准的要求。 3.5 组织 organization 公司、集团、事务所、工厂、政府机构、科研机构、学校等，或者其部分或组合，无论其是否是法人，还是公有或私有的，均具有其自身的职能和管理并能够确保实施其信息安全。 4 原则 CNAS-CC17:2009 第 6 页共 30 页

14、2008 年 02 月 15 日发布 2008年 02 月 15 日实施 CNAS-CC01:2007的4中的原则适用。 5 通用要求 5.1 法律与合同事宜 CNAS-CC01:2007的5.1中的要求适用。 5.2 公正性的管理 CNAS-CC01:2007的5.2中的要求适用。并且，以下ISMS特定要求和指南适用。 5.2.1 IS 5.2 利益冲突认证机构从事以下工作可不被视为咨询或具有潜在的利益冲突： a）认证，其中包括信息沟通会议、审核策划会议、文件评审、审核（但不是 ISMS 内部审核或内部信息安全评审）和不符合的跟踪； b）作为讲师安排和参与培训课程，如果这些课程涉及信息

15、安全管理、有关的管理体系或审核，认证机构宜仅限于提供可以公开自由获取的通用的信息和建议，即他们不宜针对具体公司提供那些违反下面 c)要求的建议； c）根据请求，提供或公开发布有关认证机构对认证审核标准的要求予以说明的信息； d）仅以确定认证审核是否就绪为目的的审核前活动，但是这些活动不宜导致提供违反本条款的建议和意见。认证机构需能够确认这些活动不违反这些要求，并且不能用这些活动作为缩减最终认证审核时间的理由； e）根据标准或法规要求，实施认可范围以外的第二方或第三方审核； f）在认证审核和监督审核过程中的增值活动，例如，在审核过程中，当改进机会明显时，识别改进的机会但不推荐具体的解决方

16、案。认证机构应独立于为其所认证的客户组织 ISMS 提供 ISMS 内部审核的机构（也包括任何个人）。 5.3 责任和财力 CNAS-CC01:2007的5.3中的要求适用。 6 结构要求 6.1 组织结构和最高管理层 CNAS-CC01:2007的6.1中的要求适用。 6.2 维护公正性的委员会 CNAS-CC01:2007的6.2中的要求适用。 7 资源要求 7.1 管理层和人员的能力 CNAS-CC01:2007的7.1中的要求适用。并且，以下ISMS特定要求和指南适用。 7.1.1 IS 7.1 管理层能力为实施 ISMS 认证，管理层的基本能力是选择、提供和管理那些具备与受审核

17、的活动和有关的信息安全事宜相适应的技能和综合能力的人员。 7.1.1.1 能力分析和合同评审认证机构应确保具备与所评定的客户组织 ISMS 有关的技术和法律发展的知识。认证机构应具有一个有效的能力分析系统，以便在其运作所涉及的全部技术领域就需要具备的信息安全管理方面的能力进行分析。对于每个客户组织，认证机构在实施合同评审前，应能够证实其已经针对每个有关行业的要求进行了能力分析（针对所评估出的需求进行技能评定）。然后，认证机构应以该能力分析的结果为基础，对与客户组织的合同进行评审。尤其，认证机构应能够证实其具备完成以下活动的能力： a）理解客户组织的活动领域及相关业务风险； CNAS-

18、CC17:2009 第 7 页共 30 页 2008 年 02 月 15 日发布 2008年 02 月 15 日实施 b）根据所识别的活动以及有关客户组织的与信息安全有关的对资产的威胁、脆弱性和影响来确定认证机构实施认证所需的能力； c）确认具备所需的能力。 7.1.1.2 资源认证机构的管理应包括必要的过程和资源，以使认证机构能够确定每个审核员是否有能力针对认证范围从事所要求的工作。审核员的能力可以通过经验证的背景经历和特定的培训或情况说明（见本文件的附录 B）来确定。认证机构应能与其提供服务的所有客户组织进行有效地沟通。 7.2 参与认证活动的人员 CNAS-CC01:2007的

19、7.2中的要求适用。并且，以下ISMS特定要求和指南适用。 7.2.1 IS 7.2 认证机构人员能力认证机构应具备胜任以下工作的人员： a）选择并验证 ISMS 审核员的能力，以使审核组适合审核； b）向 ISMS 审核员进行情况说明并安排必要的培训； c）做出授予、保持、撤销、暂停、扩大或缩小认证的决定； d）建立和运行申诉和投诉过程。 7.2.1.1 审核组的培训认证机构应有审核组的培训准则，以确保审核组： a）具有 ISMS 标准和其他相关规范性文件的知识； b）理解信息安全； c）从业务角度，理解风险评估和风险管理； d）具有与受审核的活动相关的技术知识； e）

20、具有与各类 ISMS 相关的法规要求的通用知识； f）具有管理体系的知识； g）理解基于 GB/T19011 的审核原则； h）具有评审 ISMS 有效性和测量控制措施有效性的知识。以上培训要求，除了上述 d)可以在审核组成员之间共享外，其余均适用于审核组的所有成员。 7.2.1.1.1 当为特定认证审核选择指派审核组时，认证机构应确保审核组实施各项工作的技能是适宜的。审核组应： a）针对拟认证的 ISMS 范围内的特定活动，具备适当的技术知识，以及（适宜时）与这些活动相关的规程和其潜在的信息安全风险方面的技术知识（非审核员的技术专家可以履行此项职责）； b）充分理解客户组织

21、，以便对（管理客户组织活动、产品和服务的信息安全的）ISMS 进行可靠的认证审核； c）适当地理解适用于客户组织的 ISMS 的法规要求。 7.2.1.1.2 需要时，审核组的能力可以通过技术专家予以补充，这些技术专家应能够证实具备与受审核方活动相应的技术领域的特定能力。值得注意的是，技术专家不能作为 ISMS 审核员，但可就受审核方管理体系中技术充分性事宜为审核员提供建议。认证机构应就以下活动制定程序： a）按照其能力、所接受的培训、资格与经历来选择审核员和技术专家； b）在认证审核中对审核员和技术专家的素质和能力进行初始评价，而后对审核员和技术专家的表现进行监视。 7.2.1.2 决

22、定过程的管理管理层应具备技术能力并能够对有关授予、保持、扩大、缩小、暂停和撤销 ISMS 认证（依据 GB/T 22080-2008 要求）的决定过程进行管理。 7.2.1.3 ISMS 审核员在教育、工作经历、审核员培训和审核经历方面的必备条件 7.2.1.3.1 以下准则适用于 ISMS 审核组中的每个审核员。审核员应： a）具备中等教育； CNAS-CC17:2009 第 8 页共 30 页 2008 年 02 月 15 日发布 2008年 02 月 15 日实施 b）在信息技术方面具备至少 4 年的全职实际工作经历，其中至少 2 年的工作经历来自与信息安全有关的职责或职能； c

23、）成功地完成 5 天的培训，范围应包括 ISMS 审核和审核管理； d）在被赋予审核员责任之前，已获得评定整个信息安全管理体系的经验。这种经验宜通过参与最少 4 次、总共天数至少 20 天的认证审核获得，其中包括文件评审、风险分析的评审、现场审核和审核报告； e）具备合乎时宜的经验； f）能够广泛、透彻地认识复杂的运作，并理解在较大的客户组织中各单元的职能； g）通过持续的专业发展，保持最新的信息安全和审核的知识与技能。技术专家应符合上述 a)、b)、e)和 f)准则。 7.2.1.3.2 除了 7.2.1.3.1 中的要求，审核组组长应符合以下要求，并应通过在指导和监督下进行的审

24、核中得到证实： a）具备管理认证审核过程的知识和素质； b）已经至少作为审核员实施过 3 次完整 ISMS 审核； c）具备有效的口头和书面沟通能力。 7.3 外部审核员和外部技术专家的使用 CNAS-CC01:2007的7.3中的要求适用。并且，以下ISMS特定要求和指南适用。 7.3.1 IS 7.3 使用外部审核员或外部技术专家作为审核组的一部分当使用外部审核员或外部技术专家作为审核组成员时，认证机构应确保其能够胜任及符合本文件适用的要求，并不以公正性可能受到威胁的方式直接或通过其雇主参与对 ISMS 或相关管理体系的设计、实施或维护。 7.3.1.1 技术专家的使用具有有关

25、影响客户组织的过程、信息安全和法律方面的特定知识，但未必满足本文件的 7.2 中的全部准则的技术专家，可以成为审核组成员。技术专家应在审核员的监督下进行工作。 7.4 人员记录 CNAS-CC01:2007 的 7.4 中的要求适用。 7.5 外包 CNAS-CC01:2007 的 7.5 中的要求适用。 8 信息要求 8.1 可公开获取的信息 CNAS-CC01:2007 的 8.1 中的要求适用。并且，以下 ISMS 特定要求和指南适用。 8.1.1 IS 8.1 授予、保持、扩大、缩小、暂停和撤消认证的程序认证机构应要求客户组织具有一个文件化并且已实施的符合 GB/T 22080-20

26、08 要求和认证所需其他文件要求的 ISMS。认证机构应为以下活动具备形成文件的程序： a）依据 GB/T19011、CNAS-CC0 1:2007 和其他相关文件的规定，对客户组织 ISMS 进行初次认证审核； b）依据 GB/T19011 和 CNAS-CC 01:2007，为确认客户组织持续符合相关要求，对其 ISMS 定期进行监督审核和再认证审核，并验证和记录客户组织是否对所有不符合及时采取纠正措施。 8.2 认证文件 CNAS-CC01:2007 的 8.2 中的要求适用。并且，以下 ISMS 特定要求和指南适用。 8.2.1 IS 8.2 ISMS 的认证文件 CNAS-CC

27、17:2009 第 9 页共 30 页 2008 年 02 月 15 日发布 2008年 02 月 15 日实施认证机构应向其 ISMS 被认证的客户组织提供认证文件，诸如由负责此项职责的人员签署的信函或认证证书。对于认证所覆盖的客户组织及其每个信息系统，这些文件应标明所授予认证的范围和认证所依据的标准 GB/T 22080-2008。此外，认证证书宜包括引用的适用性声明的特定版本。 8.3 获证客户组织名录 CNAS-CC01:2007 的 8.3 中的要求适用。 8.4 认证的引用和标志的使用 CNAS-CC01:2007 的 8.4 中的要求适用。并且，以下 ISMS 特定要求和指南

28、适用。 8.4.1 IS 8.4 认证标志的控制认证机构应对 ISMS 认证标志的所有权、使用和展示方式进行适当的控制。如果认证机构授权使用标志来表明对 ISMS 的认证，认证机构宜确保客户组织仅使用由认证机构书面授权所规定的标志。认证机构不应授权客户组织在产品上使用这一标志，或以表示产品合格的方式使用这一标志。 8.5 保密性 CNAS-CC01:2007 的 8.5 中的要求适用。并且，以下 ISMS 特定要求和指南适用。 8.5.1IS 8.5 客户组织记录的获取在认证审核之前，认证机构应要求客户组织报告是否存在不能提供给审核组的包含保密性或敏感性信息的 ISMS 记录。认证机构应

29、确定 ISMS 是否能在缺少这些记录的情况下得到充分地审核。如果认证机构得出不对已识别的保密性或敏感性的记录进行核查就不能对 ISMS 进行充分审核的结论，就应告知客户组织，并只有获得适当的访问安排许可时才能进行认证审核。 8.6 认证机构与其客户组织间的信息交换 CNAS-CC01:2007 的 8.6 中的要求适用。 9 过程要求 9.1 通用要求 CNAS-CC01:2007 的 9.1 中的要求适用。并且，以下 ISMS 特定要求和指南适用。 9.1.1 IS 9.1.1 通用 ISMS 审核要求 9.1.1.1 认证审核准则客户组织的ISMS接受审核的准则应是ISMS标准 GB/T

30、 22080-2008 所提出的要求和与其所实施的业务相关的认证所需的其他文件中的要求。如果需要对上述文件在特定认证方案中的应用做出解释，这种解释应由公正的和具备必要技术能力的相关委员会或人员给出，并由认证机构正式发布。 9.1.1.2 政策和程序认证机构的管理体系文件应包括实施认证过程的政策和程序，其中包括对用于各类 ISMS 认证的那些文件的使用和应用情况的检查，也包括对用于审核和认证客户组织 ISMS 的那些程序的检查。 9.1.1.3 审核组认证机构应正式任命审核组并为其提供相应的工作文件。审核计划和日期应得到客户组织的同意。认证机构应明确规定且使客户组织知晓审核组的任务。该任务应

31、要求审核组检查客户组织的结构、策略和规程，并确认其满足与认证范围相关的所有要求及其规程得到实施，从而提供对客户组织 ISMS 的信心。 9.1.2 IS 9.1.2 认证范围审核组应针对所有适用的认证要求，对包含在确定范围内的客户组织 ISMS 进行审核。认证机构应确保根据客户组织的业务、组织、位置、资产和技术的特点清晰地确定其 ISMS 的范围和边界。认证机构应确认客户组织在其 ISMS 范围内满足了 GB/T 22080-2008 中 1.2 的要求。认证机构应确保，按照 ISMS 标准 GB/T 22080-2008 的要求，客户组织的信息安全风险评估和风险处置与客户组织的活动及活动

32、的边界相一致，并应确认这些都在客户组织的 ISMS 范围和适用性声明中得到体现。 CNAS-CC17:2009 第 10 页共 30 页 2008 年 02 月 15 日发布 2008年 02 月 15 日实施认证机构应确保，与不完全属于ISMS范围内的服务或活动的接口已在接受认证的ISMS中得到说明，并已包括在客户组织的信息安全风险评估中，例如，与其他机构共享设施的情况（信息技术系统、数据库和通讯系统等）。 9.1.3 IS 9.1.3 审核时间认证机构应给予审核员足够的时间开展涉及初次审核、监督审核或再认证审核的所有活动。所安排的时间宜以下列因素为依据： a） ISMS 范围的规模

33、（例如，所使用的信息系统的数量和雇员的数量）； b） ISMS 的复杂程度（例如，信息系统的关键程度和 ISMS 的风险状况），见本文件的附录 A； c）在 ISMS 范围内开展的业务类型； d）在 ISMS 各部分的实施过程中，所应用的技术的水平和多样性（例如，已实施的控制措施、文件和（或）过程控制，以及纠正和（或）预防措施等）； e）场所的数量； f）经证实的以往 ISMS 绩效； g）在 ISMS 范围内，所使用的外包和第三方安排的程度； h）适用于认证的标准和法规。本文件的附录 C 对审核时间提供指南。认证机构应能证明或说明在初次审核、监督审核和再认证审核中所用时间的合理性。 9.1.4 IS 9.1.4 多场所 9.1.4.1 在 ISMS 认证领域，有关多场所的抽样决定比质量管理体系认证领域更加复杂。当客户组织拥有满足以下 a)至 c)的多个场所时，认证机构可以考虑使用基于抽样的方法进行多场所认证审核： a）所有的场所在同一 ISMS 下运行，并接受统一的管理、内部审核和管理评审； b）所有的场所都包含在客户组织的 ISMS 内部审核方案中； c）所有的场所都包含在客户组织的 ISMS 管理评审方案中。 9.1.4.2 认证机构当使用基于抽样

展开阅读全文