1、认 可 说 明 编号: CNAS-EC-027:2009 第 1 页 共 16 页 发布日期: 2009 年 02 月 15 日 实 施日期:2009 年 02 月 15 日 信息安全管理体系认证机构的认可说明 1 目的和适用范围 1.1 为确保 CNAS 对 GB/T 220802008(ISO/IEC 27001:2005, IDT)信息安全管理体系(以下称为“ISMS” )认证机构实施评审和认可的一致性,指导申请和获得认可的 ISMS 认证机构理解和实施认可规范要求,特制定本文件。 1.2 本文件是对 ISMS 认证机构认可规范的补充和必要说明,适用于 CNAS 对 ISMS认证机构的认
2、可试点。CNAS 将根据认可试点的经验进一步完善本文件,适时将其转化为相应认可规范。 本文件 R 部分是对相关认可规则的补充和进一步说明。 本文件 G 部分是对相关认可准则的应用指南。 2 术语和定义 GB/T 190002008 和 GB/T 270002006 中的术语和定义以及下列术语和定义适用于本文件。 2.1 技术领域 按照信息安全要求、信息技术、信息安全技术和(或)信息安全管理知识、方法、工具在行业、组织和(或)业务活动中的应用特点而划分的范围 2.2 ISMS 专业审核员 能够独立实施涉及特定技术领域的 ISMS 审核活动的审核员 2.3 ISMS 技术专家 针对特定技术领域的信
3、息安全要求、信息技术、信息安全技术和(或)信息安全管理知识、方法、工具等为 ISMS 认证活动提供支持的技术专家 3 ISMS 认证机构认可规范 3.1 CNAS-RC01:2006认证机构认可规则规定了 ISMS 认证机构认可活动的基本程序规则。 CNAS-CC01:2007管理体系认证机构要求是 ISMS 认证机构的基本认可准则。 CNAS-CC17:2009信息安全管理体系认证机构要求是 ISMS 认证机构的专用认可准则。 3.2 其他适用的认可规则包括: a) CNAS-R01:2006认可标识和认可状态声明管理规则 (2007 年第 1 次修订) ; 认 可 说 明 编号: CNAS
4、-EC-027:2009 第 2 页 共 16 页 发布日期: 2009 年 02 月 15 日 实 施日期:2009 年 02 月 15 日 b) CNAS-R02:2006公正性和保密规则 ; c) CNAS-R03:2008申诉、投诉和争议处理规则 ; d) CNAS-RC02:2006认证机构认可资格的暂停与撤销规则 ; e) CNAS-RC03:2006认证机构信息通报规则 ; f) CNAS-RC04:2008认证机构认可收费管理规则 ; g) CNAS-RC05:2006多场所认证机构认可规则 ; h) CNAS-RC07:2007具有境外关键场所的认证机构认可规则 。 3.3
5、其他适用的认可准则包括: a) CNAS-CC11:2008基于抽样的多场所认证 ; b) CNAS-CC12:2008已认可的管理体系认证的转换 ; c) CNAS-CC14:2008计算机辅助审核技术在获得认可的管理体系认证中的使用 。 认 可 说 明 编号: CNAS-EC-027:2009 第 3 页 共 16 页 发布日期: 2009 年 02 月 15 日 实 施日期:2009 年 02 月 15 日 R 部分 R.1 认可申请 申请认可的 ISMS 认证机构(以下称为“申请方” )应具备 CNAS-RC01 条款 5.1.1规定的基本条件以及下列条件: a) ISMS 认证活动已
6、被国家认监委批准; b) 基本运作符合 CNAS-CC01。 申请方应提供CNAS-RC01:2006条款5.1.2规定的申请文件以及下列文件和信息: a) ISMS 认证活动国家认监委批准文件复印件; b) 已审核过的组织(对应到附录一中的相应中类) ; c) 自申请时间起 6 个月内计划实施的审核(对应到附录一中的相应中类) ; d) 需要时 CNAS 要求的其他信息。 R.2 初次认可的见证评审 CNAS 结合申请方 ISMS 认证活动的范围、规模和风险水平确定初次认可的见证评审安排,通常情况下进行不少于两次见证评审。 注:认可试点期间,如果初次认可中仅实施一次见证评审,CNAS 将在申
7、请方获得认可后,结合其 ISMS 认证活动发展情况,至少补充一次见证评审。 R.3 认证业务范围的认可 R.3.1 认证业务范围的分类与分级 CNAS 对 ISMS 认证机构认证业务范围的认可采用本文件附录一的分类方法:分为“政务” 、 “公共” 、 “商务” 、 “产品的生产”四个大类,每个大类包含若干中类,每个中类被赋予“I” 、 “II”或“III” (由高至低)的风险级别。本文件附录一对以上分类和分级做了进一步说明。 R.3.2 认证业务范围的认可程序 ISMS 认证机构申请认证业务范围认可应符合 CNAS 认可规范的相关要求。通常情况下,在申请认可的认证业务范围内,认证机构的能力分析
8、和评价系统应能够有效地识别和配备开展相关 ISMS 认证活动所需的能力。 R.3.2.1 评审 认证业务范围的评审方法包括档案和记录审查、见证评审、与有关人员面谈、对获证组织的实地访问等。评审的内容主要包括: a) 按申请认可的大类确认认证机构能力分析和评价系统的完整性、符合性和总体运行情况; b) 在申请认可的每个大类中选取一定数量的中类,按中类从认证活动管理和实认 可 说 明 编号: CNAS-EC-027:2009 第 4 页 共 16 页 发布日期: 2009 年 02 月 15 日 实 施日期:2009 年 02 月 15 日 施的各个环节验证认证机构能力分析和评价系统运行的有效性。
9、 通常情况下,I 级风险的中类必选,并需要实施见证评审;II 级和 III 级风险的中类采用适当的抽样方法选取,必要时进行见证评审; c) 基于以上评审活动的结果,评价认证机构能力分析和评价系统整体运行的有效性。 R.3.2.2 认可 通常情况下,如果 CNAS 经过认证业务范围的评审,认为认证机构的能力分析和评价系统运行基本有效,能够在某一大类中识别和配备认可活动所需的能力,则认可该大类。 CNAS 对某一大类的认可,仅表明 CNAS 基于评审认为,认证机构在该大类中开展认证活动时,能够运用能力分析和评价系统有效地识别和配备所需的能力,并不意味着认证机构已经具备了对该大类中所有组织实施认证的
10、能力, 更不代表认证机构在该大类中的每次审核都一定有效。因此,认证机构应充分发挥能力分析和评价系统的作用, 在该大类中按照技术领域和认证活动的职能来自我评价并配备实施认证活动所需的能力(见 G.1.2) ,尤其要确保为每次审核配备的审核组具备实施有效审核所需的全部能力(见 G.1.3 b) ) 。对于该大类中的每个特定组织,认证机构应在确认具备对该组织实施审核和认证所需的能力(特别是相应技术领域的能力)后,才实施认证活动和颁发带有 CNAS 认可标识的认证证书(不包括 I 级风险的中类) 。对于 I 级风险的中类,通常情况下,认证机构应在 CNAS 实施见证评审并确认符合认可规范要求后,才可以
11、在认证证书上施加 CNAS 认可标识。 CNAS 将在后续监督中对认证机构在该大类下自我评价和配备认证能力的情况进行评审(包括对 II 级或 III 级风险的中类实施必要的见证评审) ,并依据相关认可规范对发现的不符合进行处理 (包括依据 CNAS-RC02 暂停或撤销部分或全部认可范围) 。 R.4 其他 R.4.1 获得 CNAS 认可的 ISMS 认证机构不能使用 IAF-MLA/CNAS 联合标识。 R.4.2 CNAS-RC03 条款 4.1.2 中“获得认证的组织或产品发生重大事故”是指获得ISMS 认证的组织发生具有下列影响的信息安全破坏: a) 已经或可能严重损害国家安全、社会
12、秩序、公共利益或获证组织及其相关方的合法权益;或者 b) 可能损害颁证机构或 CNAS 的公信力、声誉,或使颁证机构或 CNAS 承担连带责任。 发生上述情况时,颁证机构应及时采取相应措施并向 CNAS 通报相关情况。 认 可 说 明 编号: CNAS-EC-027:2009 第 5 页 共 16 页 发布日期: 2009 年 02 月 15 日 实 施日期:2009 年 02 月 15 日 G 部分 G.1 ISMS 认证机构的人员能力 G.1.1 技术领域 CNAS-CC01 条款 7.1.1 要求 ISMS 认证机构确定与 ISMS 认证相关的每个技术领域所需的能力。因此,认证机构首先需
13、要识别和确定与 ISMS 认证相关的技术领域。 识别和确定技术领域宜考虑行业、 组织或业务活动特定的过程、 产品 (包括服务) 、信息安全要求、信息技术、信息安全技术以及信息安全管理知识、方法、工具。认证机构宜理解技术领域和认证业务范围的区别: 认证业务范围分类的主要目的是规范认可的实施与管理、控制认可风险,而确定技术领域是为了使认证机构能够充分、有效地分析和评价开展 ISMS 认证所需的能力;两者所考虑的因素(认证业务范围分类的考虑因素见附录一)也有很大区别,所以不能认为认证业务范围分类就是技术领域。实际情况有可能是认证业务范围的一个中类涉及若干特定技术领域, 或者一个技术领域涉及多个中类。
14、 因此,认证机构宜结合本机构 ISMS 认证活动的特点和能力分析与评价的需要来识别和确定技术领域。如果认证机构参考认证业务范围分类来确定技术领域,宜按照技术领域的定义(见 2.1)重新予以调整,以确保能力分析与评价的充分性和有效性。 G.1.2 能力分析和评价系统 ISMS 认证机构宜按照认可规范要求建立能力分析和评价系统。该系统宜覆盖ISMS 认证活动涉及的所有人员(包括直接实施审核与认证活动的人员、支持性人员、管理层、各委员会成员以及行政人员) ,并至少包含下列过程: a) 根据本机构特点和需要,分析和识别与 ISMS 认证相关的技术领域和 ISMS 认证活动的职能(例如申请评审、配备审核
15、组、实施审核、认证决定等) ; b) 确定每个技术领域和每项职能所需的能力(即能力要求)及能力评价方法; 注:某项职能所需的能力包括当该职能涉及某个技术领域时,有效履行职能所需的该技术领域的相关能力,例如对某一客户组织进行申请评审所需的技术能力。 c) 依据能力要求,使用能力评价方法,评价和证实有关人员是否具备所需的能力; d) 使用经证实具备能力的人员履行相应的职能,或为相应技术领域提供支持; e) 对所使用人员的表现及能力保持与发展情况进行持续的监控; f) 当通过评价、监控等发现有关人员的实际能力与能力要求存在差距时,通过提供培训、指导、实践机会、技术专家等,确保能力要求得到满足; g)
16、 评审和改进技术领域划分、能力要求、评价方法等的充分性和适宜性。 h) 维护公正性的委员会对认证业务范围发展的意见。 认 可 说 明 编号: CNAS-EC-027:2009 第 6 页 共 16 页 发布日期: 2009 年 02 月 15 日 实 施日期:2009 年 02 月 15 日 认证机构宜记录能力评价的证据、发现和结论,以证实评价过程的完整性、可信性和充分性。 G.1.3 ISMS 审核员能力 本文件附录二参考 GB/T 190112003 的相关指南和认可规范相关要求,通过列举 ISMS 审核员能力的基本方面, 为 ISMS 认证机构确定审核员能力要求的具体内容提供了一个指导性
17、框架。 附录二不一定覆盖对某一客户组织实施有效审核所需的能力的所有方面,同时在很多方面并未描述 ISMS 审核员能力的具体内容。ISMS 认证机构宜按照认可规范要求,运用能力分析和评价系统,参考附录二确定: a) ISMS 审核员基本能力要求的具体内容; b) 每次审核的审核组能力要求的具体内容,即通过分析拟审核组织的结构、业务过程、信息安全要求、信息系统、ISMS 的规模和复杂程度、信息安全风险、适用性声明等,确定对该组织实施有效审核所需的全部能力。 ISMS 审核员能力的评价方法可以包括(但不限于) :记录评价、考试、面谈、模拟演练(角色扮演) 、审核活动的见证等。 G.1.4 ISMS
18、审核员和 ISMS 技术专家的资格条件 ISMS 审核员和 ISMS 技术专家宜满足教育、经历、培训等方面适用的资格条件。教育、经历、培训是获取能力的可能途径,但满足资格条件并不代表相关人员一定具备所需的能力, 认证机构还宜按照能力分析和评价系统的规定评价和证实该人员具备所需的能力。资格条件的审查不能代替能力的评价和证实。 G.1.4.1 ISMS 审核员资格条件 a) 教育: 1) ISMS 相应专业本科学历(或同等学力) ,包括:计算机科学技术,电子、通信和自动控制技术,数学,物理;或 2) ISMS 相关专业本科学历(或同等学力) ,包括:G.1.4.1 a)1)以外的其他理工学科,管理
19、。 b) 工作经历: 1) 满足 G.1.4.1 a)1)时,至少 4 年信息技术方面全职实际工作经历,其中至少 2 年的工作经历来自与信息安全有关的职责或职能;或 2) 满足 G.1.4.1 a)2)时,至少 6 年信息技术方面全职实际工作经历,其中至少 3 年的工作经历来自与信息安全有关的职责或职能。 c) 审核员培训:成功完成 5 天或 40 小时的 ISMS 审核员培训; d) 审核经历:参加至 少 4 次 ISMS 审核,审核总天数不少于 20 天,其中包括文件评审、风险分析的评审、现场审核和审核报告。 认 可 说 明 编号: CNAS-EC-027:2009 第 7 页 共 16
20、页 发布日期: 2009 年 02 月 15 日 实 施日期:2009 年 02 月 15 日 G.1.4.2 特定技术领域的 ISMS 专业审核员和 ISMS 技术专家资格条件 特定技术领域的 ISMS 专业审核员除满足 ISMS 审核员资格条件 (见 G.1.4.1) 外,还宜满足下列任何一项资格条件: a) 工作经历: 1) 满足 G.1.4.1 b) 1) 时, 至少 1 年该技术领域相关工作经历, 可与 G.1.4.1 b)1)同时发生;或 2) 满足 G.1.4.1 b) 2) 时, 至少 2 年该技术领域相关工作经历, 可与 G.1.4.1 b)2)同时发生。 b) 培训和审核经
21、历: 成功完成该技术领域特定的信息安全要求、信息技术、信息安全技术和(或)信息安全管理知识、方法、工具的培训(可与 G.1.4.1 c)同时发生) ;并在该技术领域 ISMS 专业审核员或 ISMS 技术专家指导下,参加该技术领域不少于4次20天 ISMS 审核(可与 G.1.4.1 d)同时发生) ,包括全部审核过程和信息安全管理体系标准的全部要求。 特定技术领域的 ISMS 技术专家宜满足 G.1.4.1 的 a) 和b) , 同时具有 G.1.4.2 a)所述的工作经历或成功完成 G.1.4.2 b)所述的培训。 特定领域的ISMS专业审核员和ISMS技术专家还宜满足该技术领域适用的其他
22、资格条件。 G.1.5 其他 ISMS认证机构的认可资格仅表明CNAS承认该机构在一定范围内有能力实施ISMS认证活动,并不表明该机构一定有资格进入某一组织实施 ISMS 认证活动(特别是当组织的活动涉及国家秘密或国家安全时) 。认证机构宜要求申请或接受其认证的组织向其说明适用的关于认证机构的资质、诚信守法记录或认证人员身份背景的要求,以及适用的与保守国家秘密或维护国家安全有关的法律法规要求,并即时更新该说明,以便认证机构判断其是否具备对该组织实施认证活动的资格或条件。 G.2 第一阶段审核 ISMS 初次认证审核的第一阶段审核宜包括在客户组织现场实施的审核活动,现场审核时间不宜少于 1 个审
23、核人日。认 可 说 明 编号: CNAS-EC-027:2009 第 8 页 共 16 页 发布日期: 2009 年 02 月 15 日 实 施日期:2009 年 02 月 15 日 附录一 ISMS 认证机构认证业务范围分类表 大类 中类 风险级别 内容 备注 政务 01.01 I 国家机构 包括人大、政府、法院、检察院等,不含税务机关和海关 01.02 I 税务机关 01.03 I 海关 01 01.04 II 其他 例如政党,政协,人民团体等 公共 02.01 I 广播电视 02.02 I 通信 02.03 I 新闻出版 02.04 II 互联网内容提供 02.05 II 科研 02.0
24、6 II 社会保障 例如社会保险基金管理、慈善团体等 02.07 II 卫生保健 02.08 III 教育 02 02.09 III 其他 例如市政公用事业(水的生产和供应、污水处理、燃气生产和供应、热力生产和供应、 城市水陆交通设施的维护管理等) 商务 03.01 I 金融 例如银行、证券、期货、保险、资产管理等 03.02 I 电子商务 以在线交易为主要特点,含网络游戏 03.03 II 物流 03.04 III 服务外包 03.05 III 咨询中介 例如法律、会计、审计、公证等 03.06 III 旅游、宾馆、饭店 含邮政 03 03.07 III 其他 产品的生产 产品包括软件、硬件
25、、流程性材料和服务 04.01 I 电力 包括发电和输、变、配电等 04.02 I 铁路 04.03 I 民航 04.04 I 化工 04.05 I 航空航天 04.06 I 水利 04.07 II 交通运输 包括公路、水路、城市公共客运交通等,不含航空和铁路 04.08 II 信息与通信技术 例如软、硬件生产及其服务,系统集成及其服务,数字版权保护等 04.09 II 冶金 04.10 II 采矿 含石油、天然气开采 04.11 II 食品、药品、烟草 04.12 III 农、林、牧、副、渔业 04 04.13 III 其他 注 1:以上分类考虑了组织的信息、信息载体及载体所处环境的特点,并
26、结合了当前我国信息安全等级保护的重点领域,例如政府、税务、海关、广播电视网、通信网、金融银行、电力、铁路、认 可 说 明 编号: CNAS-EC-027:2009 第 9 页 共 16 页 发布日期: 2009 年 02 月 15 日 实 施日期:2009 年 02 月 15 日 民航、石油化工等。不宜将认证业务范围等同于与 ISMS 认证相关的技术领域(见 G.1.1) 。 注 2:以上风险分级主要考虑获证组织的信息安全遭受破坏时,对国家安全、社会秩序、公共利益或组织及其相关方的合法权宜可能造成的危害的严重程度,以及获证组织 ISMS 的有效性发生问题时,认证机构和 CNAS 可能承担的责任
27、,主要是为了控制认可活动的风险,也可为认证机构分析和控制认证业务风险提供参考。某些中类(例如每个大类的“其他”中类)的风险级别还需要随着 ISMS 认证认可活动的发展做进一步分析。因此,中类的风险级别并不代表相关组织的信息安全风险水平,也不表示该类中所有组织的信息安全风险水平都相同。 认 可 说 明 编号: CNAS-EC-027:2009 第 10 页 共 16 页 发布日期: 2009 年 02 月 15 日 实 施日期:2009 年 02 月 15 日 附录二 ISMS 审核员能力的基本方面 1 个人素质 为了能够遵循审核原则开展工作,审核员宜具备下列个人素质(不限于): a) 有道德,
28、即公平、诚实、守信、诚恳、谨慎; b) 愿意考虑不同意见或观点; c) 有交往能力,能够得体地与人交往; d) 有观察能力,能够主动意识到周围环境和活动; e) 有感知能力,能够本能地认识和理解遇到的情况; f) 有适应能力,易于根据不同情况进行调整; g) 能够坚持和专注于实现目标; h) 能够根据逻辑推理和分析及时得出结论; i) 能够在与他人有效相互配合的同时独立工作并发挥作用。 2 审核原则、程序和技术 为了在不同审核活动中应用适用的审核原则、程序和技术,并确保审核实施的一致性和系统性,审核员宜能够(包括但不限于): a) 理解认证可信性与有效性的重要性、 利益相关方对认证的期望以及审
29、核风险,并在审核中勤勉尽责,保持应有的职业谨慎与合理怀疑,合理运用专业判断; b) 应用审核类型、审核方案、审核计划方面的知识和技能; c) 对工作进行有效地计划和安排,合理利用时间,优先关注重点问题,按计划高效地完成工作; d) 通过有效地面谈、倾听、观察以及对文件、记录和数据的审查来收集信息,并验证所收集信息的准确性; e) 理解审核中使用抽样方法的适宜性和后果, 并在审核中使用适当的抽样方法; f) 确认审核证据的充分性和适宜性以支持审核发现和审核结论,仅根据审核证据得出审核发现和审核结论, 并评价影响审核发现和审核结论可靠性的因素; g) 如实、准确地报告审核活动、审核发现和审核结论,
30、并报告审核中遇到的重大障碍和审核组与受审核方之间未解决的分歧意见 h) 使用工作文件记录审核活动; i) 编制审核报告; j) 维护信息的保密性和安全性; k) 通过个人语言技能或通过翻译人员有效地沟通。 3 管理体系和引用文件 为了理解审核范围并运用审核准则,审核员宜能够: 认 可 说 明 编号: CNAS-EC-027:2009 第 11 页 共 16 页 发布日期: 2009 年 02 月 15 日 实 施日期:2009 年 02 月 15 日 a) 理解管理体系的基础理论,例如通用术语、管理的系统方法、过程方法、PDCA循环、方针和目标、体系文件、体系有效性、持续改进等,并用其指导审核
31、活动; b) 认识和理解信息安全管理体系(包括信息安全控制措施)在组织中的具体应用,以及信息安全管理体系(包括信息安全控制措施)各组成部分之间的相互作用; c) 理解信息安全管理体系标准、适用的程序或其他用作审核准则的信息安全管理体系文件,以及引用文件之间的区别及优先次序,并能在具体审核活动中应用适用的标准、程序或文件,以取得审核证据,生成审核发现和审核结论; d) 了解用于文件、数据和记录的核准、安全防护、分发及控制的信息系统和技术,并能在具体审核活动中应用相关知识。 注:已发布和制定中的信息安全管理体系标准: GB/T 220802008 信息技术 安全技术 信息安全管理体系 要求(IS
32、O/IEC 27001:2005, IDT) GB/T 220812008 信息技术 安全技术 信息安全管理实用规则(IS O/IEC 27002:2007, IDT) ISO/IEC 27000信息技术安全技术信息安全管理体系概述和术语(制定中,预计 2009 年发布) ISO/IEC 27003信息技术安全技术信息安全管理体系实施指南(制定中,预计 2010 年发布) ISO/IEC 27004信息技术安全技术信息安全管理测量(制定中,预计 2010年发布) ISO/IEC 27005:2008信息技术安全技术信息安全风险管理 ISO/IEC 27011信息技术安全技术基于 ISO/IEC
33、 27002 的电信业组织信息安全管理指南(制定中,预计 2009 年发布) ISO/IEC 27012信息技术安全技术电子政务服务的信息安全管理指南(制定中) ISO 27799:2008健康信息学健康领域使用 ISO/IEC 27002 的信息安全管理 4 组织状况 为了理解组织的运作情况(包括相关的业务风险),审核员宜能够: a) 理解组织的规模、结构、职能、关系和相关方的期望; b) 理解组织的基本业务过程、产品(包括服务)及相关术语; c) 理解和尊重受审核方的文化和社会习俗; d) 从广阔的视角认识复杂的运作,并理解较大的客户组织中各单元的作用。 注:如果技术专家仅能够提供与受审核
34、方的组 织、业务过程、产品(包括服务) 、语认 可 说 明 编号: CNAS-EC-027:2009 第 12 页 共 16 页 发布日期: 2009 年 02 月 15 日 实 施日期:2009 年 02 月 15 日 言或文化有关的知识或技能,则该技术专家不是本文件所定义的 ISMS 技术专家(见2.3) 。 5 适用的法律法规和其他要求 审核员宜能够识别适用的法律法规和与信息安全相关的其他要求, 理解它们在受审核组织中的具体应用,并以适当的方式利用它们为审核提供支持。这些法律法规和其他要求可能来自: a) 国家、区域、地方的法律法规; b) 国际公约和条约; c) 合同和协议; d) 受
35、审核组织须遵守的其他要求。 审核员宜理解下列方面的法规要求: a) 知识产权; b) 组织记录的内容、保护和保持; c) 数据保护与隐私; d) 密码控制; e) 反恐; f) 电子商务; g) 电子和数字签名; h) 工作场所监督; i) 通讯侦听与数据监视(例如,电子邮件) ; j) 计算机滥用; k) 电子证据收集; l) 渗透测试; m) 国际和国家的行业特定要求(例如,银行业) 。 注 1:信息安全法律法规的示例: 全国人民代表大会常务委员会关于维护互联网安全的决定 ; 中华人民共和国计算机信息系统安全保护条例 ; 中华人民共和国保守国家秘密法 ; 中华人民共和国商用密码管理条例 ;
36、 公安部、国家保密局、国家密码管理局、国务 院信息化工作办公室信息安全等级保护管理办法 ; 公安部计算机信息网络国际联网安全保护管理办法 ; 公安部互联网安全保护技术措施规定 ; 公安部计算机病毒防治管理办法 ; 中华人民共和国电子签名法 。 认 可 说 明 编号: CNAS-EC-027:2009 第 13 页 共 16 页 发布日期: 2009 年 02 月 15 日 实 施日期:2009 年 02 月 15 日 ISMS 专业审核员还宜了解特定技术领域的信息安全要求。 注 2:行业特定要求的示例: 银监会电子银行业务管理办法 ; 银监会电子银行安全评估指引 ; 电监会关于开展电力行业信息
37、系统安全等级保护定级工作的通知 。 6 信息技术 审核员宜能够在审核中应用通用的信息技术知识,包括(但不限于): a) 软件知识,例如软件类型(指操作系统、应用软件、嵌入式软件等) 、软件生产(指设计、编码、测试)等; b) 硬件知识,例如计算机结构、存储设备、外围设备等; c) 网络知识,例如网络基本原理。 ISMS 专业审核员还宜能够在审核中应用特定技术领域的信息技术知识,例如下列方面的知识: a) 工业控制,如分散控制系统(DCS) 、过程控制系统(PCS) 、数据采集与监控系统(SCADA) ; b) 计算机辅助技术,如计算机辅助设计(CAD) 、计算机辅助制造(CAM) 、计算机辅助
38、检测(CAI) ; c) 通用的业务信息系统,如企业资源计划(ERP) 、客户关系管理(CRM) 、产品数据管理(PDM) ; d) 行业专用生产系统,如银行清算系统、电力调度系统、机场离港系统。 7 信息安全 审核员宜能够在审核中应用通用的信息安全知识,包括(但不限于:) a) 信息安全的概念、原则、分析方法和实践; b) 信息安全技术知识 注:认证机构可参考国家标准信息安全技术 信息安全产品分类提供的“信息安全产品分类” (见附表)划分信息安全技术知识的分类; c) 信息安全管理知识,例如: 1) 信息安全风险评估和处理; 2) 信息安全要求、方针、策略; 3) 信息安全过程分析; 4)
39、信息安全内部审核; 5) 信息安全控制措施有效性测量和 ISMS 有效性测量; 6) 资产管理; 7) 人力资源安全; 认 可 说 明 编号: CNAS-EC-027:2009 第 14 页 共 16 页 发布日期: 2009 年 02 月 15 日 实 施日期:2009 年 02 月 15 日 8) 物理和环境安全; 9) 通信和操作管理; 10) 访问控制; 11) 信息系统获取、开发和维护; 12) 信息安全事件管理; 13) 业务连续性管理; 14) 信息安全工程学; 15) 安全配置管理; 16) 脆弱性管理(如漏洞管理) ; 17) IT 产品和服务准入要求。 d) 信息安全标准,
40、例如: 1) ISO/IEC JTC 1/SC27 归口的国际标准; 2) 全国信息安全标准化技术委员会( SAC/TC 260)归口的国家标准。 ISMS专业审核员还宜能够在审核中应用特定技术领域的信息安全知识, 包括 (但不限于) : a) 行业特定的信息安全技术知识,例如涉密信息系统的安全要求; b) 行业特定的信息安全管理知识,例如: 1) 行业特定的资产管理知识; 2) IT 产品和服务的行业准入要求。 8 审核组长 审核组长宜能够: a) 对审核进行策划并在审核中有效地利用资源; b) 代表审核组与审核委托方和受审核方进行有效的口头和书面沟通; c) 组织和指导审核组成员; d)
41、为实习审核员提供指导和指南; e) 领导审核组得出审核结论; f) 预防和解决冲突; g) 编制和完成审核报告。 认 可 说 明 编号: CNAS-EC-027:2009 第 15 页 共 16 页 发布日期: 2009 年 02 月 15 日 实 施日期:2009 年 02 月 15 日 附表 信息安全产品分类 一级分类 二级分类 三级分类 编号 类别 编号 类别 编号 类别 A101 区域防护 A102 融灾恢复计划辅助支持 A1 环境安全 A103 灾备防护 A201 设备防盗 A202 设备防毁 A203 防电磁信息泄露 A204 防线路截获 A205 抗电磁干扰 A2 设备安全 A2
42、06 电源保护 A301 介质保护 A 物理安全 A3 介质安全 A302 介质数据安全 B101 电子信息鉴别(主机) B1 身份识别 B102 生物信息鉴别(主机) B201 可信计算 B202 主机入侵检测 B203 主机访问控制 B2 主机防护 B204 个人防火墙 B301 计算机病毒防治 B3 防恶意代码 B302 特定代码防护 B401 安全操作系统 B 主机安全 B4 操作系统安全 B402 操作系统安全部件 C101 可用性保障(抗 DoS) C102 通信鉴别 C1 通信安全 C103 通信保密 C201 入侵检测 C2 网络监测 C202 网络活动监测 C301 信息内容
43、过滤与控制 C 网络安全 C3 内容安全 C302 防信息泄露 D101 安全隔离卡 D1 边界隔离 D102 安全隔离与信息交换 D201 入侵防御系统 D2 入侵防范 D202 网络恶意代码防护 D301 防火墙 D302 安全路由器 D3 边界访问控制 D303 安全交换机 D401 终端接入控制 D 边界安全 D4 网络终端安全 D402 终端使用安全 E101 安全应用服务 E102 电子信息鉴别(应用) E1 应用服务安全 E103 生物信息鉴别(应用) E 应用安全 E2 应用服务安全支持 E201 应用数据分析 F101 安全数据库 F1 数据平台安全 F102 数据库安全部件
44、 F 数据安全 F2 备份与恢复 F201 数据备份与恢复 G1 综合审计 G101 安全审计 G201 应急计划辅助软件 G2 应急响应支持 G202 应急设施 G3 密码支持 G301 密钥管理 G401 系统风险评估 G4 风险评估 G402 安全性检测分析 G501 安全产品管理平台 G 安全管理与支持 G5 安全管理 G502 安全监控 认 可 说 明 编号: CNAS-EC-027:2009 第 16 页 共 16 页 发布日期: 2009 年 02 月 15 日 实 施日期:2009 年 02 月 15 日 一级分类 二级分类 三级分类 编号 类别 编号 类别 编号 类别 Z 其他 注:上表将信息安全产品分为三级,一级分类编号为 1 位字母,二级分类编号为一级分类编号后增加 1 位数字,三级分类编号为二级分类编号后增加 2 位数字。