CNAS-EC-027-2010 信息安全管理体系认证机构认可说明.pdf

资源描述

1、认可说明编号：C N A S - E C - 0 2 7 : 2 0 1 0 第 1 页共 24页发布日期:2009年02月15日修订日期:2010年10月14日实施日期:2010年10月14日信息安全管理体系认证机构认可说明 1 目的和适用范围 1.1 为确保CNAS对实施GB/T 220802008（ISO/IEC 27001:2005, IDT）认证的信息安全管理体系（以下称为“ISMS” ）认证机构实施评审和认可的一致性，指导申请和获得认可的ISMS认证机构理解和实施认可规范要求，特制定本文件。 1.2 本文件是对管理体系认证机构认可规范的补充和必要说明，适用于

2、CNAS对ISMS 认证机构的认可。本文件R部分和C部分分别是对相关认可规则和认可准则的补充和说明。本文件 G部分是对相关认可准则的应用指南。 2 规范性引用文件下列文件中的条款通过本文件的引用而成为本文件的条款。以下引用的文件，注明日期的，仅引用的版本适用；未注明日期的，引用文件的最新版本（包括任何修订）适用。 CNAS-RC01认证机构认可规则 CNAS-CC01管理体系认证机构要求 CNAS-CC17信息安全管理体系认证机构要求 CNAS-CC11基于抽样的多场所认证 CNAS-CC12已认可的管理体系认证的转换 3 术语和定义 GB/T 190002008和GB/T 2700

3、02006中的术语和定义以及下列术语和定义适用于本文件。 3.1 认证业务范围：认证机构的ISMS认证活动涉及的行业领域注：认证业务范围的分类与分级见附录一，包括“政务” 、 “公共” 、 “商务” 、 “产品的生产”四个大类，每个大类包含若干中类，每个中类被赋予“一” 、 “二”或“三”级别（认可风险水平由高至低）。附录一介绍了认证业务范围分类与分级的相关考虑。 3.2 能力：应用知识和技能实现预期结果的本领 3.3 技术领域：以ISMS相关过程的共性为特征的领域注：对于 ISMS，技术领域与信息安全控制措施所涉及的信息安全技术、信息技术及认可说明编号：C N A S -

4、 E C - 0 2 7 : 2 0 1 0 第 2 页共 24页发布日期:2009年02月15日修订日期:2010年10月14日实施日期:2010年10月14日业务活动的类别有关。 3.3 专业能力：应用特定技术领域的知识实现预期结果的本领 4 ISMS认证机构认可规范的构成 4.1 CNAS-RC01认证机构认可规则是ISMS认证机构认可活动的基本程序规则。 CNAS-CC01管理体系认证机构要求是ISMS认证机构的基本认可准则。 CNAS-CC17 信息安全管理体系认证机构要求是ISMS认证机构的专用认可准则。 4.2 其他适用的认可规则包括： a) CNAS-R01认可标识

5、和认可状态声明管理规则； b) CNAS-R02公正性和保密规则； c) CNAS-R03申诉、投诉和争议处理规则； d) CNAS-RC02认证机构认可资格的暂停与撤销规则； e) CNAS-RC03认证机构信息通报规则； f) CNAS-RC04认证机构认可收费管理规则； g) CNAS-RC05多场所认证机构认可规则； h) CNAS-RC07具有境外关键场所的认证机构认可规则。 4.3 其他适用的认可准则包括： a) CNAS-CC11基于抽样的多场所认证； b) CNAS-CC12已认可的管理体系认证的转换； c) CNAS-CC14计算机辅助审核技术在获得认可的

6、管理体系认证中的使用。 R 部分 R.1 认可申请申请认可的ISMS认证机构（以下称为“申请方” ）应具备CNAS-RC01条款5.1.1 规定的基本条件以及下列条件： a) ISMS认证活动已被国家认监委批准； b) 已按照CNAS-CC01和CNAS-CC17建立了管理体系，且运行时间不少于 6 个月。申请方应提供CNAS-RC01:2006条款5.1.2规定的申请文件以及下列文件和信息： a) ISMS认证活动国家认监委批准文件复印件； b) 已审核过的组织（对应到认证业务范围相应中类）； c) 自申请时间起6个月内计划实施的审核（对应到认证业务范围相应中类）； d) 本机构

7、确保客户组织符合工信部联协2010394号文关于加强信息安全管理体系认证安全管理的通知的要求以及有关主管部门/监管部门对信息安全管理体系认证的管理要求的措施； e) 需要时，CNAS要求的其他信息。认可说明编号：C N A S - E C - 0 2 7 : 2 0 1 0 第 3 页共 24页发布日期:2009年02月15日修订日期:2010年10月14日实施日期:2010年10月14日 R.2 预访问必要时，CNAS可在对申请方实施初次认可评审前对其进行预访问，以了解申请方是否已基本具备接收认可评审的条件。 R.3 初次认可的见证评审 CNAS 结合申请方 IS

8、MS 认证活动的范围、规模和风险水平确定初次认可的见证评审安排，通常情况下进行不少于两次见证评审。 R.4 认证业务范围的认可 R.4.1 CNAS通过对ISMS认证机构的认证业务范围进行认可来确定该机构的认可范围。CNAS按认证业务范围的大类进行认可，必要时可将认可范围限定到中类。CNAS 认可某一大类的基本要求是认证机构的能力分析和评价系统覆盖了该大类，且系统运行基本有效。为此，认证机构应满足以下条件： a) 对该大类和认证活动涉及到的中类进行了适宜、有效的能力需求分析； b) 根据该大类和相关中类的能力需求分析，以适宜、有效的方式确定了能力分析和评价系统的相关组成部分（例如技术

9、领域、能力准则等）； c) 能力分析和评价系统在与相关中类有关的认证活动中有效地发挥了作用。 CNAS按申请认可的每个大类评价认证机构是否满足以上条件。如果认证机构在一个大类中的多个中类实施了认证，CNAS可采用抽样的方式选取其中一部分中类进行评价。通常情况下，一级风险的中类必选，并需要实施见证评审；二、三级风险的中类可以视具体情况抽样，必要时进行见证评审。 R.4.2 CNAS对ISMS认证机构认证业务范围的认可不包括中华人民共和国境内（不含香港、澳门特别行政区，台湾地区）的各级政府机关、政府信息系统运行单位和涉密信息系统建设使用单位，并在认可证书附件中做相应说明。 R.4.3

10、CNAS对某一大类的认可，仅表明CNAS基于评审认为，认证机构的能力分析和评价系统能够保证充分地识别和配备该大类认证活动所需的能力，并不表明CNAS 认为认证机构已经具备了在该大类实施认证活动所需的全部能力，在该大类的每次认证活动都有效，也不意味着CNAS批准认证机构可以对该大类的任何组织实施认证。因此，认证机构应确保运用能力分析和评价系统为该大类的每次认证活动配备所需的全部能力，同时确保客户组织符合工信部联协2010394号文关于加强信息安全管理体系认证安全管理的通知的要求以及有关主管部门/监管部门对信息安全管理体系认证的管理要求，并在满足这些条件后，才实施认证活动和颁发带有

11、CNAS认可标识的认证证书（不包括I级风险的中类）。对于I级风险的中类，通常情况下，认证机构应在CNAS实施见证评审并确认符合认可规范要求后，才可以在认证证书上施加 CNAS认可标识。 R.4.4 CNAS在认可某一大类后，将在后续监督中对认证机构在该大类下自我评价和配备认证能力的情况进行评审（包括对II级或III级风险的中类实施必要的见证评认可说明编号：C N A S - E C - 0 2 7 : 2 0 1 0 第 4 页共 24页发布日期:2009年02月15日修订日期:2010年10月14日实施日期:2010年10月14日审），并依据相关认可规范对发现的不

12、符合进行处理（包括依据CNAS-RC02暂停或撤销部分或全部认可范围）。 R.5 其他 R.5.1 获得CNAS认可的ISMS认证机构不能使用IAF-MLA/CNAS联合标识。 R.5.2 CNAS-RC03条款4.1.2中“获得认证的组织或产品发生重大事故”是指获得 ISMS认证的组织发生具有下列影响的信息安全破坏： a) 已经或可能严重损害国家安全、社会秩序、公共利益或获证组织及其相关方的合法权益；或者 b) 可能损害颁证机构或CNAS的公信力、声誉，或使颁证机构或CNAS承担连带责任。发生上述情况时，颁证机构应及时采取相应措施并向CNAS通报相关情况。 R.5.3 如果CNAS

13、可能需要在评审中接触认证机构的客户组织的相关信息资产，认证机构应向相关组织询问是否同意 CNAS接触这些信息资产。如果组织同意，认证机构应识别CNAS接触这些信息资产时须满足的所有要求，并告知CNAS。如果组织不同意或CNAS无法满足相关要求，CNAS将根据评审所受的影响采取相应的措施。 C 部分 C.1 认证协议（CNAS-CC01 条款 5.1.2）认证协议应就控制审核和认证活动引发的客户组织信息安全风险做出规定，包括明确认证机构和客户组织及其有关人员的责任与义务。 C.2 风险评估和责任安排（CNAS-CC01 条款5.3.1）认证机构应对其审核和认证活动可能给客户组织的

14、信息安全带来的风险以及认证机构可能承担的责任进行评估，并做出充分的安排（例如购买职业责任保险或设立储备金）。 C.3 ISMS 审核员在教育、工作经历、审核员培训和审核经历方面的必备条件（CNAS-CC17 条款 7.2.1.3） ISMS审核员在教育、工作经历、审核员培训和审核经历等方面应满足下列条件： a) 教育：与信息安全技术相关的专业的本科学历； b) 工作经历：至少4年信息技术方面全职实际工作经历，其中至少2年的工作经历来自与信息安全有关的职责或职能； c) 审核员培训：成功完成5天或40小时的ISMS审核员培训； d) 审核经历：参加至少4次ISMS审核，审核总天数不少于

15、20天，其中包括文件评审、风险分析的评审、现场审核和审核报告。认证机构应注意：教育、工作经历、审核员培训和审核经历仅是认证人员获取认证所需能力的途径，认证人员具有相关的经历并不等于一定具备认证所需的能力。因认可说明编号：C N A S - E C - 0 2 7 : 2 0 1 0 第 5 页共 24页发布日期:2009年02月15日修订日期:2010年10月14日实施日期:2010年10月14日此，认证机构应按照其能力分析和评价系统（参见G.1）的相关规定，对满足上述条件的人员实际所具有的能力进行评价和证实，而不应用资格条件的审查代替能力的评价和证实。 C.4

16、ISMS 认证证书（CNAS-CC01 条款 8.2.3、CNAS-CC17 条款IS 8.2） C.4.1 认证机构宜在ISMS认证证书中从客户组织的业务、组织结构、位置、场所、资产和技术特点等方面清晰地界定认证所覆盖的ISMS范围。如果由于组织的信息安全的原因不能在认证证书上明示上述全部与组织ISMS范围相关的信息时，通过在认证证书上引用组织的适用性声明的方式是一种可以采取的间接方式。 C.4.2 ISMS认证证书中宜体现适用性声明的版本信息。认证机构应对获证组织适用性声明的版本变化情况进行监视和控制，这需要认证机构和组织间的信息沟通渠道通畅。 C.5 保密（CNAS-CC01

17、条款 8.5、CNAS-CC17条款 IS 8.5） C.5.1 在认证审核前，认证机构应要求客户组织识别并向认证机构告知其 ISMS 范围内的哪些信息资产不允许认证机构接触，或者认证机构在接触相关信息资产时应满足哪些要求，包括法律要求、相关方的要求和组织自身的要求。认证机构应满足所有这些要求，否则不应在认证活动中接触组织的相关信息资产。如果认证机构因为未获得组织的允许或无法满足适用的要求而不能接触相关信息资产，那么认证机构应对审核和认证所受到的影响进行评估并采取相应的措施（例如终止审核、缩小审核和认证的范围等）。如果组织事先没有禁止认证机构接触某一信息资产，或未告知认

18、证机构应满足的要求，但认证机构在认证过程中发现自己并不具备接触该信息资产的资格和条件，应立即向组织提出。 C.5.2 认证机构应与其ISMS认证相关人员签订在法律上具有强制实施力的协议，以确保认证相关人员对审核和认证过程中接触到的组织的保密或敏感信息予以保密。认证机构还宜要求直接接触组织信息的认证人员（例如审核组成员）按照组织的保密要求与组织签署保密协议，或向组织做出保密承诺。 C.5.3 认证机构宜对其ISMS认证人员进行保密意识教育，并进行保密方面的法律法规、标准、规章制度、知识技能的培训。 C.5.4 审核组成员不宜在审核过程中以任何方式记录受审核组织的保密或敏感信息

19、。审核组在离开受审核组织前，宜请受审核组织检查和确认审核组携带的文件、资料和设备中未夹带受审核组织的任何保密或敏感信息。 C.5.5 认证机构应为包含客户组织保密或敏感信息的文件、资料和其他物品的制作、收发、传递、使用、复制、摘抄、保存和销毁建立保密程序。 C.6 ISMS 的变化（CNAS-CC01 条款8.6.3）认证机构应要求客户组织即时报告其业务、组织结构、位置、场所、资产和技术认可说明编号：C N A S - E C - 0 2 7 : 2 0 1 0 第 6 页共 24页发布日期:2009年02月15日修订日期:2010年10月14日实施日期:2010年10

20、月14日特点等方面可能导致其ISMS范围和边界变化的情况，以及与其ISMS相关的法律法规的变化情况。 C.7 已认可的 ISMS 认证的转换（CNAS-CC01条款 9.1.1）认证机构仅应根据CNAS-CC12:2008对CNAS认可的其他认证机构颁发的ISMS认证实施转换。除此以外的其他情况应按照初次认证对待。此时，认证机构若要考虑客户组织以往所获的ISMS认证，应满足CNAS-CC01条款9.1.1的要求。 C.8 认证申请（CNAS-CC01 条款 9.2.1） C.8.1 认证机构应确保客户组织符合工信部联协2010394号文关于加强信息安全管理体系认证安全管理的通知的

21、要求以及有关主管部门/监管部门对信息安全管理体系认证的管理要求。 C.8.2 认证机构宜要求客户组织向其说明适用的关于认证机构的资质、诚信守法记录或认证人员身份背景的要求，以及适用的与保守国家秘密或维护国家安全有关的法律法规要求，并即时更新该说明，以便认证机构判断其是否具备对该组织实施认证活动的资格或条件。 C.9 第一阶段审核（CNAS-CC01 条款 9.2.3.1） ISMS 初次认证审核的第一阶段审核宜包括在客户组织现场实施的审核活动，现场审核时间不宜少于1个审核人日。当客户组织由于信息安全的原因在申请评审阶段不能提供给认证机构足够的信息时，认证机构应通过第一阶段审核

22、在客户组织的现场补充对上述信息的确认，并完成申请评审任务。这种情况下，认证机构应增加第一阶段现场审核时间。 C.10 认证机构的信息安全管理体系（CNAS-CC01 条款10.3、CANS-CC17 条款IS 10.3）当认证机构采用方式二建立其管理体系时，宜在其方针、政策、目标和承诺上体现认证机构自身的信息安全意识和追求，并在管理体系建立和实施中予以体现。认可评审中需要关注认证机构自身的信息安全管理体系（方针、政策、目标、文件控制）、信息安全风险评估、内审。管理评审等。认证机构宜将认证机构的信息安全绩效，以及为其ISMS认证活动所采取的、与客户组织信息安全相关的措施的绩效作

23、为管理评审的关注点之一。 G 部分 G.1 ISMS 认证机构能力分析和评价系统指南 G.1.1 概述 G.1.1.1 能力要求 G.1.1.1.1 能力是应用知识和技能实现预期结果的本领。ISMS 认证人员的能力要求宜包括：认可说明编号：C N A S - E C - 0 2 7 : 2 0 1 0 第 7 页共 24页发布日期:2009年02月15日修订日期:2010年10月14日实施日期:2010年10月14日 a) 所需的知识/技能。表G.1（参考ISO/IEC FDIS 17021:2010附录A的表A.1）列举了承担申请评审、认证决定、审核和领导审核组四种职能

24、的人员宜掌握的知识和技能的类型； b) 应用知识/技能所要实现的结果。它与人员所承担的职能有关，例如：ISMS 审核员需要考虑受审核组织的整体信息安全风险，分析和判断组织的控制措施的充分性、适宜性和有效性，然后追溯到组织ISMS的符合性和有效性。认证机构宜参考表G.1定义其他人员宜掌握的知识和技能。注：其他人员包括认证机构的管理人员、行政支持性人员、相关委员会的成员以及技术专家等。表G.1 四种ISMS认证人员的知识和技能的类型认证人员知识和技能实施申请评审以确定所需的审核组能力、选择审核组成员和确定审核时间复核审核报告和做出认证决定审核领导审核组工商管

25、理实务的知识审核原则、实务和技巧的知识 + + 认证机构过程的知识 ISMS 标准的知识 + + 技术领域的知识 + + 适合于客户组织所有层级的语言技能做笔记和撰写报告的技能表达技能 + 面谈技能审核管理技能 + 注： 1. “”表示宜掌握。 2. “+”表示对知识或技能水平的要求宜相对较高，即：对审核员和审核组长的审核原则、实务和技巧知识、ISMS 标准知识以及技术领域知识水平的要求宜高于认证决定人员和申请评审人员；对审核组长的表达技能和审核管理技能水平的要求宜高于审核员。 G.1.1.1.2 认证机构宜在能力要求中进一步定义表 G.1 中每类知识/技能的具体内容。由于承

26、担不同职能的人员需要具有的知识/技能水平可能不同（如表G.1所示），承担同种职能的人员在不同的认证活动风险和复杂性水平下需要具有的知识/技能水平也可能不同，因此能力要求宜体现出各种职能在各种认证活动风险和复杂性水平下认可说明编号：C N A S - E C - 0 2 7 : 2 0 1 0 第 8 页共 24页发布日期:2009年02月15日修订日期:2010年10月14日实施日期:2010年10月14日宜具有的知识/技能水平。相应的，认证机构宜定义： a) 认证活动风险和复杂性的确定方法和水平分级； b) 知识/技能的水平分级。知识/技能的水平宜从知识/技能的广度

27、和深度、知识 /技能的熟练程度等方面来体现。 G.1.1.2 专业能力和技术领域 G.1.1.2.1 ISMS认证人员应用表G.1中的“技术领域的知识”实现预期结果的本领是认证人员的专业能力。技术领域是以ISMS相关过程的共性为特征的领域。ISMS相关过程包括分析和评价业务活动中信息资产面临的信息安全风险，即风险评估；然后选择和实施保护信息资产的安全控制措施，以消除信息安全风险或把风险降至可接受的水平，即风险处置；以及风险评估和风险处置的持续改进。这些过程是信息安全技术和信息技术在组织业务活动中的应用，因此归纳过程的共性和划分技术领域宜基于信息安全技术、信息技术和组织业务活

28、动的种类（参见 ISO/IEC FDIS 17021:2010 条款 7.1.2 注），并考虑信息安全技术和信息技术在组织业务活动中的应用特点。技术领域的一种划分方法是： a) 通用信息安全技术领域； b) 通用信息技术领域； c) 业务应用技术领域。 G.1.1.2.2 通用信息安全技术领域和通用信息技术领域 G.1.1.2.2.1 通用信息安全技术领域和通用信息技术领域是考虑到信息安全技术和信息技术具有通用性，不同种类业务活动中所应用的信息安全技术和信息技术很多是相同或相近的，与之相关的知识构成了ISMS认证人员专业能力的基础。因此，认证机构可将通用的信息安全技术知识和信息技

29、术知识分别作为两个技术领域，即通用信息安全技术领域和通用信息技术领域。 G.1.1.2.2.2 认证机构宜确定通用信息安全技术领域和通用信息技术领域的具体分类方式，以确保专业能力分析和评价的系统性和充分性。附录二提供了通用信息安全技术领域和通用信息技术领域的参考分类，认证机构可根据认证业务范围专业能力需求分析结果对其进行调整或补充，以形成本机构的分类。附录二还对通用信息安全技术领域和通用信息技术领域的知识点及其应用提供了指南，可供认证机构在分析通用信息安全技术领域和通用信息技术领域的知识以及相应的专业能力时参考。 G.1.1.2.3 业务应用技术领域和认证业务范围 G.1.1

30、.2.3.1 业务应用技术领域是考虑到ISMS是为了控制组织业务活动中的信息安全风险，为组织的业务活动提供保障。ISMS认证人员需要适当掌握与组织业务活动相关的知识，例如流程、资产、风险、安全要求、控制措施以及信息安全技术和信息技术在业务活动中的特定应用等方面的知识，以便能够分析和判断组织信息安全控制措施的充分性、有效性和适宜性，进而追溯到组织ISMS的符合性和有效性。认证认可说明编号：C N A S - E C - 0 2 7 : 2 0 1 0 第 9 页共 24页发布日期:2009年02月15日修订日期:2010年10月14日实施日期:2010年10月14日机

31、构可将与特定种类业务活动相关的这些知识归为一个技术领域，即业务应用技术领域。 G.1.1.2.3.2 附录一的认证业务范围分类为认证机构确定业务应用技术领域分类提供了框架（参见附录一相关说明）。认证机构宜根据认证业务范围专业能力需求分析的结果，通过认证业务范围中类的进一步细分和（或）合并来确定本机构业务应用技术领域的分类。注：认证业务范围中类进一步细分后得到的类别，可以与其他中类或其他中类里的细分类别合并。 G.1.1.2.4 技术领域知识的水平在能力评价时，认证机构宜确定认证人员技术领域知识的水平，作为选择和使用认证人员的依据。认证机构可以对认证人员的通用信息安全技术领

32、域知识的整体水平和通用信息技术领域知识的整体水平进行评价，但每个业务应用技术领域的知识水平宜分别进行评价。表 G.2给出了从事申请评审、认证决定、审核和领导审核组四种职能的人员在不同的认证活动风险和复杂性水平下，在认证活动涉及的技术领域宜具有的知识水平。由于风险和复杂性水平、知识水平可以有不同的分级方式，表G.2仅用“*”的数量表示了相对水平， “*”数量越多，相对水平越高。表G.2 四种ISMS认证人员技术领域知识的水平实施申请评审以确定所需的审核组能力、选择审核组成员和确定审核时间复核审核报告和做出认证决定审核领导审核组 * * * * * * * *

33、* * * * * * * * * * * G.1.2 能力分析和评价系统认证机构应按照认可规范的所有适用要求建立覆盖所有ISMS认证人员的能力分析和评价系统。在专业能力方面，该系统宜包括以下过程（见图G.1），以确保为每个客户组织配备有效审核和认证所需的专业能力： a) 认证业务范围专业能力需求分析：认证机构对本机构认证活动涉及的所有认证业务范围大类和中类进行专业能力需求分析（参见G.1.3.1）。 b) 技术领域的分类和专业能力要求的确定和调整：认证机构对从本机构涉及的所有认证业务范围大类和中类分析出的知识进行归纳，形成本机构技术领域分类（参见G.1.1.2），然后基于每

34、个技术领域的知识确定该技术领域对每类认证人员的专业能力要求，必要时编制特定技术领域的审核指导文件。当认证业务范围类别增加时，或者当特定客户组织的专业能力需求分析或者来自风险和复杂性水平技术领域知识水平职能认可说明编号：C N A S - E C - 0 2 7 : 2 0 1 0 第 10页共 24页发布日期:2009年02月15日修订日期:2010年10月14日实施日期:2010年10月14日审核过程的相关反馈显示有必要时，调整和完善技术领域的分类和专业能力要求。 c) 特定客户组织专业能力需求分析：在申请评审中，根据特定客户组织的具体情况和本机构技术领

35、域的分类与专业能力要求，分析和确定对该组织实施审核和认证所涉及的技术领域类别以及相应的专业能力，以便为选择和使用认证人员以及改进技术领域分类和专业能力要求提供输入，并在后续的审核方案管理中根据组织情况的变化予以必要调整（参见G.1.3.2）。 d) 能力评价：在认证活动管理和实施的相应阶段，采用适宜的能力评价方法, 依据专业能力要求，对拟使用的人员实施能力评价，以确定其是否具备所需的专业能力（参见G.1.4）。下列情况时宜对人员能力进行补充评价： 1) 技术领域分类和（或）专业能力要求得到了更新； 2) 通过能力的持续监视获得了相关反馈； 3) 对人员能力进行了提升。 e) 能力提

36、升和补充：当能力评价结果显示相关人员的能力不满足专业能力要求时，通过适当方式（例如培训）提升其能力，或通过其他途径（例如技术专家）补足所需的能力。 f) 选择和使用对特定客户组织实施审核和认证的人员：根据特定客户组织涉及的技术领域类别和专业能力，从经评价可供使用的人员中选择具备相应能力的人员，用于对该客户组织实施审核和认证。 g) 能力的持续监视：对人员专业能力的运用、保持和发展情况进行持续监视，以便为人员能力补充评价提供输入。认可说明编号：C N A S - E C - 0 2 7 : 2 0 1 0 第 11 页共 24页发布日期:2009年02月15日修订日期:

37、2010年10月14日实施日期:2010年10月14日认证业务范围专业能力需求技术领域分类和专业能力要求特定客户组织具体情况认证业务范围能力需求分析特定客户组织专业能力需求分析特定客户组织涉及的技术领域类别和专业能力来自审核的相关反馈技术领域的分类和专业能力要求的确定和调整具备能力？是否能力提升和补充人员能力评价可用的人力资源能力的持续监视审核指导文件过程输入或输出选择和使用对特定客户组织实施审核和认证的人员判定 (1) (2) (3) (4) (5) (6) (7)图G.1 ISMS认证人员专业能力的分析和评价 G

38、.1.3 能力需求分析 G.1.3.1 认证业务范围专业能力需求分析 G.1.3.1.1 作为ISMS认证人员专业能力分析和评价的起点，认证机构宜对本机构认证活动涉及的认证业务范围大类和中类进行专业能力需求分析。认证业务范围专业能力需求分析是为了初步识别实施涉及某个大类或中类的认证活动所需的专业知识，以便为归纳技术领域分类和确定专业能力要求，搭建能力分析和评价系统的框架，以及后续的针对特定客户组织实施专业能力分析奠定基础。因此，认证业务范围大类和中类的专业能力需求分析可基于该类别的典型的、有代表性的情况，而不必穷尽该类别涉及的所有情况。 G.1.3.1.2 实施认证活动需要了解I

39、SMS建立与实施中涉及的知识，而信息安全风险评估和处置是建立与实施ISMS的基础。因此，认证业务范围大类或中类的能力需求分析可采用信息安全风险评估和处置的思路（见图G.2），分析该类别ISMS建立与实认可说明编号：C N A S - E C - 0 2 7 : 2 0 1 0 第 12页共 24页发布日期:2009年02月15日修订日期:2010年10月14日实施日期:2010年10月14日施的典型情况及相应的知识，包括： a) 分析典型的业务流程和信息处理流程； b) 基于典型的业务流程和信息处理流程，分析典型资产（包括硬件、软件、网络、业务系统、人员和数据资料等

40、）和典型信息安全风险（包括脆弱性和威胁）； c) 基于典型信息处理流程和典型资产，分析信息技术在该类别中的典型应用； d) 基于业务活动要求、法规要求和合同/相关方要求分析典型信息安全要求； e) 基于典型资产和典型信息安全要求，分析典型信息资产的典型信息安全特性，例如保密性、可用性、完整性、、真实性、不可抵赖性、可追溯性等； f) 基于典型信息安全风险和典型信息资产的典型信息安全特性，分析典型控制措施； g) 基于典型控制措施，分析信息安全技术在该类别中的典型应用。典型信息处理流程信息安全技术的典型应用典型业务流程典型资产信息技术的典型应用典型信息安全要求

41、业务活动要求合同/相关方要求典型信息资产的典型信息安全特性典型控制措施典型信息安全风险 (1) (2) (3) (4) (5) (6) (7) 法规要求图G.2 ISMS认证业务范围能力需求分析思路 G.1.3.2 特定客户组织能力需求分析 G.1.3.2.1 认证机构在对特定客户组织实施申请评审时，宜根据该组织的具体情况以及本机构技术领域的分类和专业能力要求，分析和确定对该组织实施审核和认证所涉及的技术领域类别和相应的专业能力（即能力需求），并从经评价可用的人力资源中选择具备这些专业能力的人员，对该组织实施审核和认证。认证机构在授予客户组织初次认证后，宜在审核方案

42、管理中关注客户组织发生的任何可能影响其能力需求的变化，并及时根据此类变化对客户组织的能力需求和配备的认证人员进行必要的调整。 G.1.3.2.2 由于技术领域的分类和专业能力要求主要在认证业务范围能力需求分析的基础上确定，而后者基于相关业务范围类别的典型情况，不一定考虑到所有可能的情况，因此对特定客户组织进行能力需求分析时宜注意识别该组织是否存在认证业务范围能力需求分析时未考虑到的情况。如果存在，宜基于所识别的情况进行补充分析（可采用图 G.2 的分析思路），并根据补充分析的结果对现有的技术领域的分类和认可说明编号：C N A S - E C - 0 2 7 : 2

43、0 1 0 第 13页共 24页发布日期:2009年02月15日修订日期:2010年10月14日实施日期:2010年10月14日（或）专业能力要求进行调整和完善，然后相应地对相关认证人员的能力进行补充评价，并在必要时进行能力的提升或补充，以确保具有充分的能力对特定客户组织实施审核和认证活动。 G.1.3.2.3 特定客户组织的能力需求分析由申请评审人员实施。由于申请评审人员的能力依据现有的专业能力要求评定，所以当特定客户组织能力需求分析的过程中有迹象显示该组织涉及的专业能力可能超出现有的专业能力要求时，认证机构宜及时确认申请评审人员的能力，并在必要时通过适宜方式补足对

44、特定客户组织实施能力需求分析所需的能力。 G.1.4 能力评价 G.1.4.1 能力评价是获取被评价人能力的证据，并将能力的证据与能力要求进行比较，以确定被评价人是否满足能力要求的过程。能力评价宜保留能力证据、评价活动和评价结论的记录（包括音像资料）。 G.1.4.2 能力的证据宜与能力要求的内容相关，并且能够为评价结论提供支持。因此，认证机构宜通过适宜的评价方法获取充分的能力证据。评价方法的选择宜考虑： a) 评价所依据的能力要求的内容（包括知识、技能、所要实现的结果）； b) 评价的目的，例如：初次聘用、持续监视、扩大能力范围、能力要求更新后的补充评价等； c) 已建立的对被

45、评价人能力的了解和信心。以下介绍了一些常用的评价方法。这些方法宜组合使用，以获得关于被评价人员能力的充分证据和全面评价；通常，仅采用其中某一种方法不足以对被评价人的能力做出全面评价。 a) 记录审查：对被评价人的教育、工作、培训、审核的相关记录进行审查，以获取其知识和技能的证据，获得对其能力的基本了解。记录审查的注意事项包括： 1) 记录内容宜尽可能详细、充分，以便于识别被评价人所具有的知识和技能； 2) 宜通过调查、面谈等方法对记录中的相关信息进行必要的验证、澄清和确认； 3) 在通过记录审查获得对被评价人能力的基本了解后，宜进一步通过考试、见证等方法对其能力进行确认； 4

46、) 不宜直接根据被评价人的学历、工作年限、培训时间、审核次数/天数等经历认定其满足相关能力要求。 b) 意见反馈：通过被评价人的工作单位、同事或客户组织等方面反映的意见了解被评价人员的知识、技能、表现等情况。意见反馈宜作为其他评价方法的补充，不宜仅根据某方面的意见对被评价人的能力做出判断。 c) 面谈：面谈有助于详细了解被评价人的知识或技能，并可用于评估语言、沟通、人际管理方面的技能。依据能力要求对被评价人进行结构化面谈，并予认可说明编号：C N A S - E C - 0 2 7 : 2 0 1 0 第 14页共 24页发布日期:2009年02月15日修订日期:2010

47、年10月14日实施日期:2010年10月14日以适当记录，可以获得其能力的直接证据。面试的示例： - 人员招聘时进行面谈，以从人员的简历和过去的工作经历详细了解其知识和技能； - 在绩效考评中进行面谈，了解人员知识和技能的具体情况； - 在见证或审核报告的复核中与审核组成员进行面谈，以了解审核员的知识和技能、做出某项结论的理由或选择审核方法、审核路径的理由。 d) 考试：包括笔试、口试和实际操作考试。笔试可以为人员的知识提供良好的文件化证据。对于人员的技能也可通过适宜的笔试方法获取证据。口试可为人员的知识提供良好的证据，但在人员技能的评价上作用有限。实际操作考试的示例包括情景演练

48、、案例分析、压力模拟、岗位实操考核等。 e) 见证：对人员实施工作任务的情况进行观察，可以用于认证机构的所有人员。见证可以为人员的能力提供直接证据。 G.2 ISMS 审核范围和认证范围界定指南 G.2.1 概述 G.2.1.1 鉴于： a) GB/T22080-2008/ISO/IEC27001:2005 条款 4.2.1 a)明确提出“组织应根据业务、组织、位置、资产和技术等方面的特性，确定ISMS的范围和边界，包括对范围任何删减的详细说明和正当性理由” ； b) ISO/IEC 27003:2010信息技术-安全技术-信息安全管理体系实施指南就组织ISMS范围的确定提供了指南；

49、c) CNAS-CC17:2009中，条款9.1.2 IS 9.1.2“认证范围”对认证机构确定组织 ISMS的范围和边界提出了要求；条款8.2.1 IS 8.2“ISMS的认证文件”对认证文件中认证范围的描述提出了要求；认证机构宜在审核中确认： a) 客户组织根据其业务、组织、技术、物理和资产的特性充分、清晰地界定了其ISMS的范围和边界； b) 客户组织的信息安全风险评估和风险处置与其ISMS的范围和边界一致，并其适用性声明中得到体现；与不完全属于客户组织ISMS范围内的服务或活动的接口已得到说明，并已包括在客户组织的信息安全风险评估中，例如：与其他机构共享设施的情况（信息技术系统、数据库和通讯系统等）。认证机构宜在申请评审和第一阶段审核中确认客户组织ISMS范围和边界的界定是否清晰和充分。适宜时，审核组宜在第

展开阅读全文