1、 2017 年 01 月 01 日 发布 2017 年 01 月 01 日 实施 CNAS-SC170 信息安全管理体系认证机构认可方案 Accreditation Scheme for ISMS Certification Bodies 中国合格评定国家认可委员会 CNAS-SC170:2017 第 2 页 共 23 页 2017 年 01 月 01 日 发布 2017 年 01 月 01 日 实施 目 次 前 言 . 3 1 范围 . 4 2 规范性引用文件 . 4 3 术语和定义 . 4 4 ISMS 认证机构认可规范的构成 . 5 R.1 认可申请 . 5 R.2 预访问 . 5 R.
2、3 初次认可的见证评审 . 5 R.4 认证业务范围的认可 . 6 R.5 其他 . 6 C.1 认证协议( CNAS-CC01 条款 5.1.2) . 7 C.2 风险评估和责任安排( CNAS-CC01 条款 5.3.1) . 7 C.3 选择审核员( CNAS-CC01 条款 7.2、 CNAS-CC170 条款 7.2.1.1) . 7 C.4 ISMS 认证证书( CNAS-CC01 条款 8.2.2、 CNAS-CC170 条款 8.2.1) . 7 C.5 保密( CNAS-CC01 条款 8.4、 CNAS-CC170 条款 8.4.1) . 7 C.6 ISMS 的变化( C
3、NAS-CC01 条款 8.5.3) . 8 C.7 已认可的 ISMS 认证的转换( CNAS-CC01 条款 9.1.3.4) . 8 C.8 认证申请( CNAS-CC01 条款 9.1.2) . 8 C.9 认证审核相关要求( CNAS-CC01 条款 9.3 至条款 9.9) . 8 C.10 认证机构的管理体系( CNAS-CC01 条款 10.1、 CANS-CC170 条款 10.1.1) . 9 G.1 ISMS 认证机构能力分析和评价系统指南 . 9 附录 A(规范性附录) ISMS 认证机构认证业务范围分类与分级 . 17 附录 B(资料性附录) 通用信息安全技术领域和通
4、用信息技术领域 参考分类、知识点及应用 . 19 CNAS-SC170:2017 第 3 页 共 23 页 2017 年 01 月 01 日 发布 2017 年 01 月 01 日 实施 前 言 本文件由中国合格评定国家认可委员会( CNAS)制定。 本文件是 CNAS对 信息安全管理体系( ISMS) 认证机构提出的特定要求和指南,并与相关认可规则和认可准则共同用于 CNAS对 ISMS认证机构的认可。 本文件中,用术语 “应 ”表示相应条款是强制性的 ,用术语 “宜 ”表示建议 。 本文件 代替 了 CNAS-SC170:2015。 CNAS-SC170:2017 第 4 页 共 23 页
5、 2017 年 01 月 01 日 发布 2017 年 01 月 01 日 实施 信息安全管理体系认证机构 认可 方案 1 范围 1.1 为 确保 CNAS 对 实施 ISO/IEC 27001:2013 认证的 信息安全管理体系 (以下称为“ ISMS”) 认证机构 实施评审和认可的一致性,指导申请 和 获得认可的 ISMS 认证机构理解和实施认可 规范 要求 , 特 制定本文件。 1.2 本文件 包括对信息安全 管理体系 认证机构 认可 规范 的 补充 说明 和 指南 , 适用于CNAS 对 ISMS 认证机构 的 认可 。 本文件 R 部分 和 C 部分分别 是对相关认可规则 和认可准则
6、 的 补充和 说明。本文件G 部分是对相关认可 准则 的应用指南。 2 规范性引用文件 下列文件中的条款通过本文件的引用而成为本文件的条款。以下引用的文件,注明日期的,仅引用的版本适用;未注明日期的,引用文件的最新版本(包括任何修订)适用 。 CNAS-RC01 认证机构认可规则 CNAS-CC01管理体系认证机构要求 CNAS-CC170信息安全管理体系认证机构要求 CNAS-CC11基于抽样的多场所认证 CNAS-CC12已认可的管理体系认证的转换 ISO/IEC 27007 信息技术 安全技术 信息安全管理体系审核指南 3 术语和定义 GB/T 19000、 GB/T 27000 和 C
7、NAS-CC01 中的术语和定义以及下列术语和定义适用于本文件。 3.1 认证业务范围 : 认证机构的 ISMS 认证 活动涉及 的 行业领域 注:认证业务范围 的分类与分级 见附录 A,包括 “政务”、 “公共”、“商务”、“产品的生产” 四 个大类,每个大类包含若干中类,每个中类被赋予“ 一 ”、“ 二 ”或“ 三 ”级别 (认可风险水平由高至低) 。 附录 A 介绍了认证业务范围分类与分级的相关考虑。 注: 对于 ISMS, 技术领域与 信息安全控制措施所涉及的信息安全技术、信息技术及业务活动的类别有关。 3.2 专业能力 : 能够 应用特定技术领域的知识实现预期结果的本领 CNAS-S
8、C170:2017 第 5 页 共 23 页 2017 年 01 月 01 日 发布 2017 年 01 月 01 日 实施 4 ISMS 认证机构认可规范 的构成 4.1 CNAS-RC01 认证机构认可规则 是 ISMS 认证机构认可活动的基本程序规则 。 CNAS-CC01管理体系认证机构要求是 ISMS 认证机构的基本认可准则。 CNAS-CC170信息安全管理体系认证机构要求是 ISMS 认证机构的专用认可准则。 4.2 其他 适用的认可规则包括: a) CNAS-R01 认可标识 使用 和认可状态声明规则 ; b) CNAS-R02 公正性和保密规则 ; c) CNAS-R03 申
9、诉、投诉和争议处理规则 ; d) CNAS-RC02 认证机构认可资格 处理 规则 ; e) CNAS-RC03 认证机构信息通报规则 ; f) CNAS-RC04 认证机构认可收费管理规则 ; g) CNAS-RC05 多场所认证机构认可规则 ; h) CNAS-RC07 具有境外场所的认证机构认可规则 。 4.3 其他 适用的认可准则包括: a) CNAS-CC11基于抽样的多场所认证; b) CNAS-CC12已认可的管理体系认证的转换; c) CNAS-CC14计算机辅助审核技术在获得认可的管理体系认证中的使用 ; d) CNAS-CC106 CNAS-CC01 在一体化管理体系审核中
10、的应用 。 R 部分 R.1 认可 申请 申请方应提供 CNAS-RC01 条款 5.1.2 规定的申请文件 以及 下列 文件 和 信息 : 1) 已审核过的 客户 (对应到 附录 A 的 相应中类); 2) 自申请时间起 6 个月内计划实施的审核(对应到 附录 A 的 相应中类) ; 3) 本机构确保 客户 符合 工信部联协 2010394 号文关于加强信息安全管理体系认证安全管理的通知 的要求以及有关主管部门 /监管部门对信息安全管理体系认证的管理 要求的措施; 4) 需要时 , CNAS 要求 的其他信息。 R.2 预访问 必要时, CNAS 可在 受理申请过程中安排 预访问,以了解申请
11、方是否已 满足 认可申请 条件以及是否基本具备 接受 认可评审的条件。 R.3 初次认可的 见证评审 CNAS 结合申请方 ISMS 认证活动的范围、规模和风险水平确定 初次认可的 见证评审安排 。 CNAS-SC170:2017 第 6 页 共 23 页 2017 年 01 月 01 日 发布 2017 年 01 月 01 日 实施 R.4 认证业务范围的 认可 R.4.1 CNAS 按 附录 A 的大类进行认可,必要时可将认可范围限定到中类 。 CNAS 认可某一大类的基本 要求 是认证机构的 能力分析和评价系统 覆盖了该大类,且系统 运行基本有效 。为此,认证机构应满足以下条件 : a)
12、 对 该大类 和认证活动涉及到的 中类 进行了 适宜、有效的 能力需求分析; b) 根据 该大类和相关中类的 能力需求分析 ,以适宜、有效的方式 确定了能力分析和评价系统的相关 组成部分 (例如技术领域、能力准则等) ; c) 能力分析和评价系统在与相关中类有关的认证活动中有效地发挥了作用 。 CNAS 按申请认可的每个大类评价认证机构是否满足以上条件。如果认证机构在一个大类中的多个中类实施了认证, CNAS 可采用抽样的方式 优先 选取 风险 级别 高的中类进行评价,并实施见证评审。 R.4.2 CNAS 对 ISMS 认证机构认证业务范围的认可不包括 中华人民共和国境内( 不含 香港 、澳
13、门特别行政区 , 台湾地区 ) 的 各级政府机关、政府信息系统运行单位和涉密信息系统建设使用单位 ,并在认可证书附件中做相应说明。 R.4.3 认 证机构 应 确保运用 能力 分析和评价 系统 为 该大类 的 每次 认证活动配备 所需的全部能力 , 同时 确保 客户 符合 工信部联协 2010394 号文关于加强信息安全管理体系认证安全管理的通知的要求以及有关主管部门 /监管部门对信息安全管理体系认证的管理要求 。只有 在满足 这些条件 之 后, 认证机构 才 可 实施认证活动 和 颁发带有CNAS 认可标识的 认证证书。 此外 , 对于 一 级 风险的中类 ,认证机构 还应在该大类中某个一级
14、风险的中类已通过 了 CNAS 的见证 评审 之后 , 才可以 在认证证书上施加 CNAS认可标识 。 R.4.4 CNAS 在认可某一大类后, 将 在后续监督中 对 认证机构在 该 大类下自我评价和配备 认证 能力的情况进行 评审( 包括在见证时优先选取风险等级高的中类 ), 并依据相关认可规范对发现的 不符合 进行处理(包括 依据 CNAS-RC02 暂停或撤销部分或全部认可范围)。 R.5 其他 R.5.1 CNAS 对 ISMS 认证机构认可标识的管理遵循 CNAS-R01认可标识 使用 和认可状态声明规则 的 相关要求。 R.5.2 CNAS-RC03 条款 5.2 中 “ 获证组织
15、发生 重大事故 /事件 ”是指 获得 ISMS 认证的组织发生 具有下列影响的信息安全破坏: a) 已经或可能严重损害国家安全、社会秩序、公共利益或获证组织及其相关方的合法权益;或者 b) 可能损害颁证机构或 CNAS 的公信力、声誉,或使颁证机构或 CNAS 承担连带责任。 发生上述情况时, 颁证 机构应及时采取相应措施并向 CNAS 通报相关情况。 CNAS-SC170:2017 第 7 页 共 23 页 2017 年 01 月 01 日 发布 2017 年 01 月 01 日 实施 R.5.3 如果 CNAS 可能需要 在评审中接触 认证机构的 客户 的相关信息资产,认证机构应向 相关
16、组织 询问 是否同意 CNAS 接触这些信息资产 。如果组织同意,认证机构应 识别 CNAS接触 这些 信息资产时 须 满足的所有要求,并告知 CNAS。 如果组织不同意或 CNAS无法满足相关要求, CNAS 将根据 评审 所受 的影响 采取相应 的措施。 C 部分 C.1 认证协议( CNAS-CC01 条款 5.1.2) 认证协议应 就 控制审核和认证活动引发的 客户 信息安全风险 做出 规定,包括明确认证机构和 客户 及其 有关 人员的责任与义务 。 C.2 风险评估和责任安排 ( CNAS-CC01 条款 5.3.1) 认证机构应对其 审核和认证活动可能给 客户 的 信息安全 带来
17、的 风险以及认证机构 可能承担的责任进行评估, 并 做出 充分的安排 ( 例如 购买职业责任保险或设立储备金) 。 C.3 选择 审核员( CNAS-CC01 条款 7.2、 CNAS-CC170 条款 7.2.1.1) ISMS 审核员 应 参加至少 4 次 、 总天数不少于 20 天 (其中最多 5 天可来自于监督审核) 的 ISMS 审核 。 注: 教育、 工作 经历、 审核员 培训 和审核经历仅 是 认证人员 获取 认证所需 能力的途径 。 因此, 对认证人员资格条件的审查不能代替对其能力的评价与证实。 C.4 ISMS 认证 证书 ( CNAS-CC01 条款 8.2.2、 CNAS
18、-CC170 条款 8.2.1) C.4.1 认证机构宜在 ISMS 认证证书 中 从 客户 的业务、组织结构、位置和技术特点等方面清晰地界定认证所覆盖的 ISMS 范围。 如果 由于 客户 的 信息安全的原因不能在认证证书上明示上述全部与 客户 ISMS 范围相关 的 信息时,通过在认证证书上引用 客户的适用性声明的方式是一种可以采取的间接方式。 C.5 保密( CNAS-CC01 条款 8.4、 CNAS-CC170 条款 8.4.1) C.5.1 在认证审核前,认证机构应要求 客户 识别 并向认证机构告知 其 ISMS 范围内的哪些信息资产不允许认证机构接触,或者认证机构在接触相关信息资
19、产时应满足 哪些要求,包括法律要求、相关方的要求和 客户 自身的要求 。认证机构应满足所有这些要求,否则不应 在认证活动中接触 客户 的 相关信息资产 。 如果认证机构因为未获得 客户 的允许或无法满足适用的要求而不能接触相关信息资产,那么认证机构应对审核和认证所受到的影响进行评估并采取相应的措施(例如终止审核、缩小审核和认证的范围等)。 如果 客户 事先没有禁止认证机构接触某一信息资产,或未告知认证机构应满足的要求,但认证机构在认证过程中发现自己 并 不 具备 接触 该信息资产 的资格和条件,应立即 向 客户 提出。 C.5.2 认证机构应与其 ISMS 认证 相关 人员签订在法律上具有强制
20、实施力的协议,以CNAS-SC170:2017 第 8 页 共 23 页 2017 年 01 月 01 日 发布 2017 年 01 月 01 日 实施 确保 认证 相关 人员对审核和认证过程中接触到的 客户 的保密 或 敏感 信息予以保密 。 认证机构还宜要求直接接触 客户 信息的 认证 人员 (例如审核组成员) 按照 客户 的保密要求与 客户 签署保密协议 , 或 向 客户 做出保密承诺。 C.5.3 认证机构宜 对 其 ISMS 认证 人员 进行保密意识教育,并进行保密方面的法律法规、标准、规章制度、知识技能的培训。 C.5.4 审核组成员 不宜在审核过程中 以任何方式记录受审核 客户
21、的保密 或 敏感信息。审核组在离开受审核 客户 前,宜请受审核 客户 检查和确认审核组携带的文件 、 资料和设备中未夹带受审核 客户 的 任何 保密 或 敏感信息 。 C.5.5 认证机构应 为 包含 客户 保密 或 敏感信息的 文件、资料和其他物品的制作、收发、传递、使用、复制、摘抄、保存和销毁 建立保密程序。 C.6 ISMS 的变化( CNAS-CC01 条款 8.5.3) 认证机构应要求 客户 即时报告其业务、组织结构、位置和技术特点等方面可能导致 其 ISMS 范围和边界 变化的情况,以及与其 ISMS 相关的法律法规的变化情况。 C.7 已认可的 ISMS 认证的转换 ( CNAS
22、-CC01 条款 9.1.3.4) 在 CNAS 签署 国际认可论坛( IAF) ISMS 多边承认协议( MLA)之前, 认证机构仅应根据 CNAS-CC12 对 CNAS 认可的其他认证机构颁发的 ISMS 认证实施转换。除此以外的其他情况应按照初次认证对待 。 C.8 认证申请( CNAS-CC01 条款 9.1.2) C.8.1 认证机构应 确保 客户 符合工信部联协 2010394 号文关于加强信息安全管理体系认证安全管理的通知的要求 , 以及有关主管部门 /监管部门对信息安全管理体系认证的管理要求 ( 如工信部 2011 年第 21 号公告 工业和信息化部加强政府部门信息技术外包服
23、务安全管理 等 ) 。 C.8.2 认证机构宜要求 客户 向其说明适用的关于认证机构的资质、诚信守法记录或认证人员身份背景的要求,以及适用的与保守国家秘密或维护国家安全有关的法律法规要求,并即时更新该说明,以便认证机构判断其是否具备对该 客户 实施认证活动的资格或条件。 C.9 认证审核 相关要求 ( CNAS-CC01 条款 9.3 至 条款 9.9) C.9.1 初次认证 第一阶段审核( CNAS-CC01 条款 9.3.1.2) ISMS 初次认证审核的第一阶段审核宜包括在 客户 现场实施的审核活动,现场审核时间不宜少于 1 个审核人日。当 客户 由于信息安全的原因在申请评审阶段不能提供
24、给认证机构足够的信息时,认证机构应通过第一阶段审核在 客户 的现场补充对上述信息的确认,并完成申请评审任务。这种情况下,认证机构应增加第一阶段现场审核时间。 C.9.2 对 ISMS 认证审核的指南 ISO/IEC 27007 信息技术 安全技术 信息安全管理体系审核指南 为 ISMS 审核CNAS-SC170:2017 第 9 页 共 23 页 2017 年 01 月 01 日 发布 2017 年 01 月 01 日 实施 方案管理、审核实施等内容提供了指南,认证机构可参考 采用 。 C.10 认证机构 的 管理体系 ( CNAS-CC01 条款 10.1、 CANS-CC170 条款10.
25、1.1) 认证机构宜在其方针、政策、目标和承诺上体现自身的信息安全意识和追求,并在管理体系建立和实施中予以体现。 认证机构宜将认证机构的信息安全绩效,以及为其 ISMS 认证活动所采取的、与客户 信息安全相关的措施的绩效作为管理评审的关注点之一。 G 部分 G.1 ISMS 认证机构能力分析和评价系统指南 G.1.1 概述 G.1.1.1 能力要求 G.1.1.1.1 能力是应用知识和技能实现预期结果的本领。 ISMS 认证人员的能力要求应 包括: a) 所需的知识 /技能。表 G.1( 参照 CNAS-CC01 附录 A 的表 A.1)列举了承担申请评审、认证决定、审核 三 种职能的人员 应
26、 掌握的知识和技能的类型; b) 应用知识 /技能所要实现的结果。它与人员所承担的职能有关,例如: ISMS审核员需要考虑 客户 的整体信息安全风险,分析和判断 客户 的控制措施的充分性、适宜性和有效性,然后追溯到 客户 ISMS 的符合性和有效性。 认证机构宜参考表 G.1 定义其他人员宜掌握的知识和技能。 注:其他人员包括认证机构的管理人员、行政支持性人员、相关委员会的成员以及技术专家等。 表 G.1 承担 三 种 ISMS 认证 职能 的 人员 所需 知识和技能 列 表 承担 认证 职能 知识和技能 实施申请评审 以确定所需的 审核组能力、选择 审核组成员和 确定审核时间 复核 审核 报
27、告和做出 认证决定 审核 和领导审核组 业务 管理 实践 的知识 审核原则、 实践 和技巧的知识 ISMS 标准和规范的知识 认证机构过程的知识 客户的业务领域的知识 客户的产品、过程和组织的知识 与客户组织中的各个层级相适应的语言技能 作记录 和撰写报告的技能 CNAS-SC170:2017 第 10 页 共 23 页 2017 年 01 月 01 日 发布 2017 年 01 月 01 日 实施 承担 认证 职能 知识和技能 实施申请评审 以确定所需的 审核组能力、选择 审核组成员和 确定审核时间 复核 审核 报告和做出 认证决定 审核 和领导审核组 表达技能 面谈技能 审核管理技能 G.
28、1.1.1.2 认证机构宜在能力要求中进一步定义表 G.1 中每类知识 /技能的具体内容。 由于承担不同职能的人员需要具有的知识 /技能水平可能不同(如表 G.1 所示),承担同种职能的人员在不同的认证活动风险和复杂性水平下需要具有的知识 /技能水平也可能不同,因此能力要求宜体现出各种职能在各种认证活动风险和复杂性水平下宜具有的知识 /技能水平。相应的,认证机构宜定义: a) 认证活动风险和复杂性的确定方法和水平分级; b) 知识 /技能的水平分级。知识 /技能的水平宜从知识 /技能的广度和深度、知识/技能的熟练程度等方面来体现。 G.1.1.2 专业能力和技术领域 G.1.1.2.1 ISM
29、S 认证人员应用表 G.1 中的“技术领域 ” 的知识 , 实现预期结果的本领是认证人员的专业能力。 技术领域是以 ISMS 相关过程的共性为特征的领域。 ISMS 相关过程包括分析和评价业务活动中信息资产面临的信息安全风险,即风险评估;然后选择和实施保护信息资产的安全控制措施,以消除信息安全风险或把风险降至可接受的水平,即风险处置;以及风险评估和风险处置的持续改 进。这些过程是信息安全技术和信息技术在 客户 业务活动中的应用,因此归纳过程的共性和划分技术领域宜基于信息安全技术、信息技术和 客户 业务活动的种类,并考虑信息安全技术和信息技术在 客户 业务活动中的应用特点。技术领域的一种划分方法
30、是: a) 通用信息安全技术领域; b) 通用信息技术领域; c) 业务应用技术领域。 G.1.1.2.2 通用信息安全技术领域和通用信息技术领域 G.1.1.2.2.1 通用信息安全技术领域和通用信息技术领域是考虑到 信息安全技术和信息技术具有通用性,不同种类业务活动中所应用的信息安全技术和信息技术很多是相同或相近的,与之相关的知识构成了 ISMS 认证人员专业能力的基础。因此,认证机构可将通用的信息安全技术知识和信息技术知识分别作为两个技术领域,即通用信息安全技术领域和通用信息技术领域。 G.1.1.2.2.2 认证机构宜确定通用信息安全技术领域和通用信息技术领域的具体分CNAS-SC17
31、0:2017 第 11 页 共 23 页 2017 年 01 月 01 日 发布 2017 年 01 月 01 日 实施 类方式,以确保专业能力分析和评价的系统性和充分性。 本文件 附录 B 提供了通用信息安全技术领域和通用信息技术领域的参考分类,认证机构可根据认证业务范围专业能力 需求分析结果对其进行调整或补充,以形成本机构的分类。 本文件 附录 B 还对通用信息安全技术领域和通用信息技术领域的知识点及其应用提供了指南,可供认证机构在分析通用信息安全技术领域和通用信息技术领域的知识以及相应的专业能力时参考。 G.1.1.2.3 业务应用技术领域和认证业务范围 G.1.1.2.3.1 业务应用
32、技术领域是考虑到 ISMS 是为了控制 客户 业务活动中的信息安全风险,为 客户 的业务活动提供保障。 ISMS 认证人员需要适当掌握与 客户 业务活动相关的知识,例如流程、资产、风险、安全要求、控制措施以及信息安全技术 和信息技术在业务活动中的特定应用等方面的知识,以便能够分析和判断 客户 信息安全控制措施的充分性、有效性和适宜性,进而追溯到 客户 ISMS 的符合性和有效性。认证机构可将与特定种类业务活动相关的这些知识归为一个技术领域,即业务应用技术领域。 G.1.1.2.3.2 本文件 附录 A 的认证业务范围分类为认证机构确定业务应用技术领域分类提供了框架(参见附录 A 相关说明)。认
33、证机构宜根据认证业务范围专业能力需求分析的结果,通过认证业务范围中类的进一步细分和(或)合并来确定本机构业务应用技术领域的分类。 注:认证业务范围中类进 一步细分后得到的类别,可以与其他中类或其他中类里的细分类别合并。 G.1.1.2.4 技术领域知识的水平 在能力评价 时 ,认证机构 宜确定认证人员技术领域知识的水平, 作为选择和使用认证人员的依据。 认证机构 可以对认证人员的通用信息安全技术领域知识 的整体水平和通用信息技术领域知识的整体水平进行评价 ,但 每个业务应用技术领域的知识水平宜分别 进行评价。 表 G.2 给出了 从事申请评审、认证决定、审核和领导审核组四种职能的人员在不同的认
34、证活动风险和复杂性水平下 , 在 认证活动涉及的 技术领域 宜具有的 知识 水平 。由于风险和复杂性水平、知识水平可 以 有不同的分级方式,表 G.2 仅用“ *”的数量表示了相对水平,“ *”数量越多,相对水平越高。 表 G.2 四种 ISMS 认证人员 技术领域知识的 水平 实施申请评审 以确定所需的审核组 能力、选择审核组成员 和确定审核时间 复核 审核 报告和做出 认证决定 审核 领导 审核组 * * * * * * * * * * 风险和复杂性水平 技术领域 知识水平 职 能 CNAS-SC170:2017 第 12 页 共 23 页 2017 年 01 月 01 日 发布 2017
35、 年 01 月 01 日 实施 * * * * * G.1.2 能力分析和评价系统 认证机构应按照认可规范的所有适用要求建立覆盖所有 ISMS 认证人员的能力分析和评价系统。在专业能力方面,该系统宜包括以下过程(见图 G.1),以确保为每个 客户 配备有效审核和认证所需的专业能力: a) 认证业务范围专业能力需求分析 :认证机构对本机构认证活动涉及的所有认证业务范围大类和中类进行专业能力需求分析(参见 G.1.3.1)。 b) 技术领域的分类和专业能力要求的确定和调整: 认证机构对从本机构涉及的所有认证业务范围大类和中类分析出的知识进行归纳,形成本机构技术领域分类(参见 G.1.1.2),然后
36、基于每个技术领域的知识确定 该技术领域对每类认证人员的专业能力要求,必要时编制特定技术领域的审核指导文件。当认证业务范围类别增加时,或者当特定 客户 的专业能力需求分析或者来自审核过程的相关反馈显示有必要时,调整和完善技术领域的分类和专业能力要求。 c) 特定 客户 专业能力需求分析 :在申请评审中,根据特定 客户 的具体情况和本机构技术领域的分类与专业能力要求,分析和确定对该 客户 实施审核和认证所涉及的技术领域类别以及相应的专业能力,以便为选择和使用认证人员以及改进技术领域分类和专业能力要求提供输入,并在后续的审核方案管理中根据 客户 情况的变化予以必要调整 (参见 G.1.3.2)。 d
37、) 能力评价 :在认证活动管理和实施的相应阶段,采用适宜的能力评价方法 ,依据专业能力要求,对拟使用的人员实施能力评价,以确定其是否具备所需的专业能力(参见 G.1.4)。下列情况时宜对人员能力进行补充评价: 1) 技术领域分类和(或)专业能力要求得到了更新; 2) 通过能力的持续监视获得了相关反馈; 3) 对人员能力进行了提升。 e) 能力提升和补充 :当能力评价结果显示相关人员的能力不满足专业能力要求时,通过适当方式(例如培训)提升其能力,或通过其他途径(例如技术专家)补足所需的能力。 f) 选择和使用对特定 客户 实施审 核和认证的人员: 根据特定 客户 涉及的技术领域类别和专业能力,从
38、经评价可供使用的人员中选择具备相应能力的人员,用于对该 客户 实施审核和认证。 g) 能力的持续监视 :对人员专业能力的运用、保持和发展情况进行持续监视,以便为人员能力补充评价提供输入。 CNAS-SC170:2017 第 13 页 共 23 页 2017 年 01 月 01 日 发布 2017 年 01 月 01 日 实施 认 证 业 务 范 围专 业 能 力 需 求技 术 领 域 分 类 和专 业 能 力 要 求特 定 客 户 组织 具 体 情 况认 证 业 务 范 围能 力 需 求 分 析特 定 客 户 组 织专 业 能 力 需 求 分 析特 定 客 户 组 织 涉及 的 技 术 领 域
39、 类别 和 专 业 能 力来 自 审 核 的相 关 反 馈技 术 领 域 的 分 类 和 专 业 能 力要 求 的 确 定 和 调 整具 备 能 力 ?是否能力提升和补充人 员 能 力 评 价可 用 的人 力 资 源能 力 的 持 续 监 视审 核 指 导文 件过 程输 入 或 输 出选 择 和 使 用 对 特 定 客 户 组 织实 施 审 核 和 认 证 的 人 员判 定( 1 )( 2 )( 3 )( 4 )( 5 )( 6 )( 7 )图 G.1 ISMS 认证人员专业能力的分析和评价 G.1.3 能力需求分析 G.1.3.1 认证业务范围专业能力需求分析 G.1.3.1.1 作为 IS
40、MS 认证人员专业能力分析和评价的起点,认证机构宜对本机构认证活动涉及的认证业务范围大类和中类进行专业能力需求分析。 认证业务范围专业能力需求分析是为了初步识别实施涉及某个大类或中类的认证活动所需的专业知识,以便为归纳技术领域分类和确定专业能力要求,搭建能力分析和评价系统的框架,以及后续的针对特定 客户 实施专业能力分析奠定基础。因此,认证业务范围大类和中类的专业能力需求分析可基于该类别的典型的、有代表性的情况,而不必穷尽该类别涉及的所有情况。 G.1.3.1.2 实施认证活动需要了解 ISMS 建立与实施 中涉及的知识,而信息安全风险评估和处置是建立与实施 ISMS 的基础。因此,认证业务范
41、围大类或中类的能力需求分析可采用信息安全风险评估和处置的思路(见图 G.2),分析该类别 ISMS 建立与实施的典型情况及相应的知识,包括: CNAS-SC170:2017 第 14 页 共 23 页 2017 年 01 月 01 日 发布 2017 年 01 月 01 日 实施 a) 分析典型的业务流程和信息处理流程; b) 基于典型的业务流程和信息处理流程,分析典型资产(包括硬件、软件、网络、业务系统、人员和数据资料等)和典型信息安全风险(包括脆弱性和威胁); c) 基于典型信息处理流程和典型资产,分析信息技术在该类别中的典型应用; d) 基于业务活动要求、法规要求和合同 /相关方要求分析典 型信息安全要求; e) 基于典型资产和典型信息安全要求,分析典型信息资产的典型信息安全特性,例如保密性、可用性、完整性、真实性、不可抵赖性、可追溯性等; f) 基于典型信息安全风险和典型信息资产的典型信息安全特性,分析典型控制措施; g) 基于典型控制措施,分析信息安全技术在该类别中的典型应用。 典 型 信 息处 理 流 程信 息 安 全 技 术的 典 型 应 用典 型