CNAS-SC170-2017 信息安全管理体系认证机构认可方案.pdf

资源描述

1、 2017 年 01 月 01 日发布 2017 年 01 月 01 日实施 CNAS-SC170 信息安全管理体系认证机构认可方案 Accreditation Scheme for ISMS Certification Bodies 中国合格评定国家认可委员会 CNAS-SC170:2017 第 2 页共 23 页 2017 年 01 月 01 日发布 2017 年 01 月 01 日实施目次前言 . 3 1 范围 . 4 2 规范性引用文件 . 4 3 术语和定义 . 4 4 ISMS 认证机构认可规范的构成 . 5 R.1 认可申请 . 5 R.2 预访问 . 5 R.

2、3 初次认可的见证评审 . 5 R.4 认证业务范围的认可 . 6 R.5 其他 . 6 C.1 认证协议（ CNAS-CC01 条款 5.1.2） . 7 C.2 风险评估和责任安排（ CNAS-CC01 条款 5.3.1） . 7 C.3 选择审核员（ CNAS-CC01 条款 7.2、 CNAS-CC170 条款 7.2.1.1） . 7 C.4 ISMS 认证证书（ CNAS-CC01 条款 8.2.2、 CNAS-CC170 条款 8.2.1） . 7 C.5 保密（ CNAS-CC01 条款 8.4、 CNAS-CC170 条款 8.4.1） . 7 C.6 ISMS 的变化（ C

3、NAS-CC01 条款 8.5.3） . 8 C.7 已认可的 ISMS 认证的转换（ CNAS-CC01 条款 9.1.3.4） . 8 C.8 认证申请（ CNAS-CC01 条款 9.1.2） . 8 C.9 认证审核相关要求（ CNAS-CC01 条款 9.3 至条款 9.9） . 8 C.10 认证机构的管理体系（ CNAS-CC01 条款 10.1、 CANS-CC170 条款 10.1.1） . 9 G.1 ISMS 认证机构能力分析和评价系统指南 . 9 附录 A（规范性附录） ISMS 认证机构认证业务范围分类与分级 . 17 附录 B（资料性附录）通用信息安全技术领域和通

4、用信息技术领域参考分类、知识点及应用 . 19 CNAS-SC170:2017 第 3 页共 23 页 2017 年 01 月 01 日发布 2017 年 01 月 01 日实施前言本文件由中国合格评定国家认可委员会（ CNAS）制定。本文件是 CNAS对信息安全管理体系（ ISMS）认证机构提出的特定要求和指南，并与相关认可规则和认可准则共同用于 CNAS对 ISMS认证机构的认可。本文件中，用术语 “应 ”表示相应条款是强制性的，用术语 “宜 ”表示建议。本文件代替了 CNAS-SC170:2015。 CNAS-SC170:2017 第 4 页共 23 页

5、 2017 年 01 月 01 日发布 2017 年 01 月 01 日实施信息安全管理体系认证机构认可方案 1 范围 1.1 为确保 CNAS 对实施 ISO/IEC 27001:2013 认证的信息安全管理体系（以下称为“ ISMS”）认证机构实施评审和认可的一致性，指导申请和获得认可的 ISMS 认证机构理解和实施认可规范要求，特制定本文件。 1.2 本文件包括对信息安全管理体系认证机构认可规范的补充说明和指南，适用于CNAS 对 ISMS 认证机构的认可。本文件 R 部分和 C 部分分别是对相关认可规则和认可准则

6、的补充和说明。本文件G 部分是对相关认可准则的应用指南。 2 规范性引用文件下列文件中的条款通过本文件的引用而成为本文件的条款。以下引用的文件，注明日期的，仅引用的版本适用；未注明日期的，引用文件的最新版本（包括任何修订）适用。 CNAS-RC01 认证机构认可规则 CNAS-CC01管理体系认证机构要求 CNAS-CC170信息安全管理体系认证机构要求 CNAS-CC11基于抽样的多场所认证 CNAS-CC12已认可的管理体系认证的转换 ISO/IEC 27007 信息技术安全技术信息安全管理体系审核指南 3 术语和定义 GB/T 19000、 GB/T 27000 和 C

7、NAS-CC01 中的术语和定义以及下列术语和定义适用于本文件。 3.1 认证业务范围：认证机构的 ISMS 认证活动涉及的行业领域注：认证业务范围的分类与分级见附录 A，包括 “政务”、 “公共”、“商务”、“产品的生产” 四个大类，每个大类包含若干中类，每个中类被赋予“ 一 ”、“ 二 ”或“ 三 ”级别（认可风险水平由高至低）。附录 A 介绍了认证业务范围分类与分级的相关考虑。注：对于 ISMS，技术领域与信息安全控制措施所涉及的信息安全技术、信息技术及业务活动的类别有关。 3.2 专业能力：能够应用特定技术领域的知识实现预期结果的本领 CNAS-S

8、C170:2017 第 5 页共 23 页 2017 年 01 月 01 日发布 2017 年 01 月 01 日实施 4 ISMS 认证机构认可规范的构成 4.1 CNAS-RC01 认证机构认可规则是 ISMS 认证机构认可活动的基本程序规则。 CNAS-CC01管理体系认证机构要求是 ISMS 认证机构的基本认可准则。 CNAS-CC170信息安全管理体系认证机构要求是 ISMS 认证机构的专用认可准则。 4.2 其他适用的认可规则包括： a) CNAS-R01 认可标识使用和认可状态声明规则； b) CNAS-R02 公正性和保密规则； c) CNAS-R03 申

9、诉、投诉和争议处理规则； d) CNAS-RC02 认证机构认可资格处理规则； e) CNAS-RC03 认证机构信息通报规则； f) CNAS-RC04 认证机构认可收费管理规则； g) CNAS-RC05 多场所认证机构认可规则； h) CNAS-RC07 具有境外场所的认证机构认可规则。 4.3 其他适用的认可准则包括： a) CNAS-CC11基于抽样的多场所认证； b) CNAS-CC12已认可的管理体系认证的转换； c) CNAS-CC14计算机辅助审核技术在获得认可的管理体系认证中的使用； d) CNAS-CC106 CNAS-CC01 在一体化管理体系审核中

10、的应用。 R 部分 R.1 认可申请申请方应提供 CNAS-RC01 条款 5.1.2 规定的申请文件以及下列文件和信息： 1）已审核过的客户（对应到附录 A 的相应中类）； 2）自申请时间起 6 个月内计划实施的审核（对应到附录 A 的相应中类）； 3）本机构确保客户符合工信部联协 2010394 号文关于加强信息安全管理体系认证安全管理的通知的要求以及有关主管部门 /监管部门对信息安全管理体系认证的管理要求的措施； 4）需要时， CNAS 要求的其他信息。 R.2 预访问必要时， CNAS 可在受理申请过程中安排预访问，以了解申请

11、方是否已满足认可申请条件以及是否基本具备接受认可评审的条件。 R.3 初次认可的见证评审 CNAS 结合申请方 ISMS 认证活动的范围、规模和风险水平确定初次认可的见证评审安排。 CNAS-SC170:2017 第 6 页共 23 页 2017 年 01 月 01 日发布 2017 年 01 月 01 日实施 R.4 认证业务范围的认可 R.4.1 CNAS 按附录 A 的大类进行认可，必要时可将认可范围限定到中类。 CNAS 认可某一大类的基本要求是认证机构的能力分析和评价系统覆盖了该大类，且系统运行基本有效。为此，认证机构应满足以下条件： a)

12、对该大类和认证活动涉及到的中类进行了适宜、有效的能力需求分析； b) 根据该大类和相关中类的能力需求分析，以适宜、有效的方式确定了能力分析和评价系统的相关组成部分（例如技术领域、能力准则等）； c) 能力分析和评价系统在与相关中类有关的认证活动中有效地发挥了作用。 CNAS 按申请认可的每个大类评价认证机构是否满足以上条件。如果认证机构在一个大类中的多个中类实施了认证， CNAS 可采用抽样的方式优先选取风险级别高的中类进行评价，并实施见证评审。 R.4.2 CNAS 对 ISMS 认证机构认证业务范围的认可不包括中华人民共和国境内（不含香港、澳

13、门特别行政区，台湾地区）的各级政府机关、政府信息系统运行单位和涉密信息系统建设使用单位，并在认可证书附件中做相应说明。 R.4.3 认证机构应确保运用能力分析和评价系统为该大类的每次认证活动配备所需的全部能力，同时确保客户符合工信部联协 2010394 号文关于加强信息安全管理体系认证安全管理的通知的要求以及有关主管部门 /监管部门对信息安全管理体系认证的管理要求。只有在满足这些条件之后，认证机构才可实施认证活动和颁发带有CNAS 认可标识的认证证书。此外，对于一级风险的中类，认证机构还应在该大类中某个一级

14、风险的中类已通过了 CNAS 的见证评审之后，才可以在认证证书上施加 CNAS认可标识。 R.4.4 CNAS 在认可某一大类后，将在后续监督中对认证机构在该大类下自我评价和配备认证能力的情况进行评审（包括在见证时优先选取风险等级高的中类），并依据相关认可规范对发现的不符合进行处理（包括依据 CNAS-RC02 暂停或撤销部分或全部认可范围）。 R.5 其他 R.5.1 CNAS 对 ISMS 认证机构认可标识的管理遵循 CNAS-R01认可标识使用和认可状态声明规则的相关要求。 R.5.2 CNAS-RC03 条款 5.2 中 “ 获证组织

15、发生重大事故 /事件 ”是指获得 ISMS 认证的组织发生具有下列影响的信息安全破坏： a) 已经或可能严重损害国家安全、社会秩序、公共利益或获证组织及其相关方的合法权益；或者 b) 可能损害颁证机构或 CNAS 的公信力、声誉，或使颁证机构或 CNAS 承担连带责任。发生上述情况时，颁证机构应及时采取相应措施并向 CNAS 通报相关情况。 CNAS-SC170:2017 第 7 页共 23 页 2017 年 01 月 01 日发布 2017 年 01 月 01 日实施 R.5.3 如果 CNAS 可能需要在评审中接触认证机构的客户的相关信息资产，认证机构应向相关

16、组织询问是否同意 CNAS 接触这些信息资产。如果组织同意，认证机构应识别 CNAS接触这些信息资产时须满足的所有要求，并告知 CNAS。如果组织不同意或 CNAS无法满足相关要求， CNAS 将根据评审所受的影响采取相应的措施。 C 部分 C.1 认证协议（ CNAS-CC01 条款 5.1.2）认证协议应就控制审核和认证活动引发的客户信息安全风险做出规定，包括明确认证机构和客户及其有关人员的责任与义务。 C.2 风险评估和责任安排（ CNAS-CC01 条款 5.3.1）认证机构应对其审核和认证活动可能给客户的信息安全带来

17、的风险以及认证机构可能承担的责任进行评估，并做出充分的安排（例如购买职业责任保险或设立储备金）。 C.3 选择审核员（ CNAS-CC01 条款 7.2、 CNAS-CC170 条款 7.2.1.1） ISMS 审核员应参加至少 4 次、总天数不少于 20 天（其中最多 5 天可来自于监督审核）的 ISMS 审核。注：教育、工作经历、审核员培训和审核经历仅是认证人员获取认证所需能力的途径。因此，对认证人员资格条件的审查不能代替对其能力的评价与证实。 C.4 ISMS 认证证书（ CNAS-CC01 条款 8.2.2、 CNAS

18、-CC170 条款 8.2.1） C.4.1 认证机构宜在 ISMS 认证证书中从客户的业务、组织结构、位置和技术特点等方面清晰地界定认证所覆盖的 ISMS 范围。如果由于客户的信息安全的原因不能在认证证书上明示上述全部与客户 ISMS 范围相关的信息时，通过在认证证书上引用客户的适用性声明的方式是一种可以采取的间接方式。 C.5 保密（ CNAS-CC01 条款 8.4、 CNAS-CC170 条款 8.4.1） C.5.1 在认证审核前，认证机构应要求客户识别并向认证机构告知其 ISMS 范围内的哪些信息资产不允许认证机构接触，或者认证机构在接触相关信息资

19、产时应满足哪些要求，包括法律要求、相关方的要求和客户自身的要求。认证机构应满足所有这些要求，否则不应在认证活动中接触客户的相关信息资产。如果认证机构因为未获得客户的允许或无法满足适用的要求而不能接触相关信息资产，那么认证机构应对审核和认证所受到的影响进行评估并采取相应的措施（例如终止审核、缩小审核和认证的范围等）。如果客户事先没有禁止认证机构接触某一信息资产，或未告知认证机构应满足的要求，但认证机构在认证过程中发现自己并不具备接触该信息资产的资格和条件，应立即向客户提出。 C.5.2 认证机构应与其 ISMS 认证相关人员签订在法律上具有强制

20、实施力的协议，以CNAS-SC170:2017 第 8 页共 23 页 2017 年 01 月 01 日发布 2017 年 01 月 01 日实施确保认证相关人员对审核和认证过程中接触到的客户的保密或敏感信息予以保密。认证机构还宜要求直接接触客户信息的认证人员（例如审核组成员）按照客户的保密要求与客户签署保密协议，或向客户做出保密承诺。 C.5.3 认证机构宜对其 ISMS 认证人员进行保密意识教育，并进行保密方面的法律法规、标准、规章制度、知识技能的培训。 C.5.4 审核组成员不宜在审核过程中以任何方式记录受审核客户

21、的保密或敏感信息。审核组在离开受审核客户前，宜请受审核客户检查和确认审核组携带的文件、资料和设备中未夹带受审核客户的任何保密或敏感信息。 C.5.5 认证机构应为包含客户保密或敏感信息的文件、资料和其他物品的制作、收发、传递、使用、复制、摘抄、保存和销毁建立保密程序。 C.6 ISMS 的变化（ CNAS-CC01 条款 8.5.3）认证机构应要求客户即时报告其业务、组织结构、位置和技术特点等方面可能导致其 ISMS 范围和边界变化的情况，以及与其 ISMS 相关的法律法规的变化情况。 C.7 已认可的 ISMS 认证的转换（ CNAS

22、-CC01 条款 9.1.3.4）在 CNAS 签署国际认可论坛（ IAF） ISMS 多边承认协议（ MLA）之前，认证机构仅应根据 CNAS-CC12 对 CNAS 认可的其他认证机构颁发的 ISMS 认证实施转换。除此以外的其他情况应按照初次认证对待。 C.8 认证申请（ CNAS-CC01 条款 9.1.2） C.8.1 认证机构应确保客户符合工信部联协 2010394 号文关于加强信息安全管理体系认证安全管理的通知的要求，以及有关主管部门 /监管部门对信息安全管理体系认证的管理要求（如工信部 2011 年第 21 号公告工业和信息化部加强政府部门信息技术外包服

23、务安全管理等）。 C.8.2 认证机构宜要求客户向其说明适用的关于认证机构的资质、诚信守法记录或认证人员身份背景的要求，以及适用的与保守国家秘密或维护国家安全有关的法律法规要求，并即时更新该说明，以便认证机构判断其是否具备对该客户实施认证活动的资格或条件。 C.9 认证审核相关要求（ CNAS-CC01 条款 9.3 至条款 9.9） C.9.1 初次认证第一阶段审核（ CNAS-CC01 条款 9.3.1.2） ISMS 初次认证审核的第一阶段审核宜包括在客户现场实施的审核活动，现场审核时间不宜少于 1 个审核人日。当客户由于信息安全的原因在申请评审阶段不能提供

24、给认证机构足够的信息时，认证机构应通过第一阶段审核在客户的现场补充对上述信息的确认，并完成申请评审任务。这种情况下，认证机构应增加第一阶段现场审核时间。 C.9.2 对 ISMS 认证审核的指南 ISO/IEC 27007 信息技术安全技术信息安全管理体系审核指南为 ISMS 审核CNAS-SC170:2017 第 9 页共 23 页 2017 年 01 月 01 日发布 2017 年 01 月 01 日实施方案管理、审核实施等内容提供了指南，认证机构可参考采用。 C.10 认证机构的管理体系（ CNAS-CC01 条款 10.1、 CANS-CC170 条款10.

25、1.1）认证机构宜在其方针、政策、目标和承诺上体现自身的信息安全意识和追求，并在管理体系建立和实施中予以体现。认证机构宜将认证机构的信息安全绩效，以及为其 ISMS 认证活动所采取的、与客户信息安全相关的措施的绩效作为管理评审的关注点之一。 G 部分 G.1 ISMS 认证机构能力分析和评价系统指南 G.1.1 概述 G.1.1.1 能力要求 G.1.1.1.1 能力是应用知识和技能实现预期结果的本领。 ISMS 认证人员的能力要求应包括： a) 所需的知识 /技能。表 G.1（参照 CNAS-CC01 附录 A 的表 A.1）列举了承担申请评审、认证决定、审核三种职能的人员应

26、掌握的知识和技能的类型； b) 应用知识 /技能所要实现的结果。它与人员所承担的职能有关，例如： ISMS审核员需要考虑客户的整体信息安全风险，分析和判断客户的控制措施的充分性、适宜性和有效性，然后追溯到客户 ISMS 的符合性和有效性。认证机构宜参考表 G.1 定义其他人员宜掌握的知识和技能。注：其他人员包括认证机构的管理人员、行政支持性人员、相关委员会的成员以及技术专家等。表 G.1 承担三种 ISMS 认证职能的人员所需知识和技能列表承担认证职能知识和技能实施申请评审以确定所需的审核组能力、选择审核组成员和确定审核时间复核审核报

27、告和做出认证决定审核和领导审核组业务管理实践的知识审核原则、实践和技巧的知识 ISMS 标准和规范的知识认证机构过程的知识客户的业务领域的知识客户的产品、过程和组织的知识与客户组织中的各个层级相适应的语言技能作记录和撰写报告的技能 CNAS-SC170:2017 第 10 页共 23 页 2017 年 01 月 01 日发布 2017 年 01 月 01 日实施承担认证职能知识和技能实施申请评审以确定所需的审核组能力、选择审核组成员和确定审核时间复核审核报告和做出认证决定审核和领导审核组表达技能面谈技能审核管理技能 G.

28、1.1.1.2 认证机构宜在能力要求中进一步定义表 G.1 中每类知识 /技能的具体内容。由于承担不同职能的人员需要具有的知识 /技能水平可能不同（如表 G.1 所示），承担同种职能的人员在不同的认证活动风险和复杂性水平下需要具有的知识 /技能水平也可能不同，因此能力要求宜体现出各种职能在各种认证活动风险和复杂性水平下宜具有的知识 /技能水平。相应的，认证机构宜定义： a) 认证活动风险和复杂性的确定方法和水平分级； b) 知识 /技能的水平分级。知识 /技能的水平宜从知识 /技能的广度和深度、知识/技能的熟练程度等方面来体现。 G.1.1.2 专业能力和技术领域 G.1.1.2.1 ISM

29、S 认证人员应用表 G.1 中的“技术领域 ” 的知识，实现预期结果的本领是认证人员的专业能力。技术领域是以 ISMS 相关过程的共性为特征的领域。 ISMS 相关过程包括分析和评价业务活动中信息资产面临的信息安全风险，即风险评估；然后选择和实施保护信息资产的安全控制措施，以消除信息安全风险或把风险降至可接受的水平，即风险处置；以及风险评估和风险处置的持续改进。这些过程是信息安全技术和信息技术在客户业务活动中的应用，因此归纳过程的共性和划分技术领域宜基于信息安全技术、信息技术和客户业务活动的种类，并考虑信息安全技术和信息技术在客户业务活动中的应用特点。技术领域的一种划分方法

30、是： a) 通用信息安全技术领域； b) 通用信息技术领域； c) 业务应用技术领域。 G.1.1.2.2 通用信息安全技术领域和通用信息技术领域 G.1.1.2.2.1 通用信息安全技术领域和通用信息技术领域是考虑到信息安全技术和信息技术具有通用性，不同种类业务活动中所应用的信息安全技术和信息技术很多是相同或相近的，与之相关的知识构成了 ISMS 认证人员专业能力的基础。因此，认证机构可将通用的信息安全技术知识和信息技术知识分别作为两个技术领域，即通用信息安全技术领域和通用信息技术领域。 G.1.1.2.2.2 认证机构宜确定通用信息安全技术领域和通用信息技术领域的具体分CNAS-SC17

31、0:2017 第 11 页共 23 页 2017 年 01 月 01 日发布 2017 年 01 月 01 日实施类方式，以确保专业能力分析和评价的系统性和充分性。本文件附录 B 提供了通用信息安全技术领域和通用信息技术领域的参考分类，认证机构可根据认证业务范围专业能力需求分析结果对其进行调整或补充，以形成本机构的分类。本文件附录 B 还对通用信息安全技术领域和通用信息技术领域的知识点及其应用提供了指南，可供认证机构在分析通用信息安全技术领域和通用信息技术领域的知识以及相应的专业能力时参考。 G.1.1.2.3 业务应用技术领域和认证业务范围 G.1.1.2.3.1 业务应用

32、技术领域是考虑到 ISMS 是为了控制客户业务活动中的信息安全风险，为客户的业务活动提供保障。 ISMS 认证人员需要适当掌握与客户业务活动相关的知识，例如流程、资产、风险、安全要求、控制措施以及信息安全技术和信息技术在业务活动中的特定应用等方面的知识，以便能够分析和判断客户信息安全控制措施的充分性、有效性和适宜性，进而追溯到客户 ISMS 的符合性和有效性。认证机构可将与特定种类业务活动相关的这些知识归为一个技术领域，即业务应用技术领域。 G.1.1.2.3.2 本文件附录 A 的认证业务范围分类为认证机构确定业务应用技术领域分类提供了框架（参见附录 A 相关说明）。认

33、证机构宜根据认证业务范围专业能力需求分析的结果，通过认证业务范围中类的进一步细分和（或）合并来确定本机构业务应用技术领域的分类。注：认证业务范围中类进一步细分后得到的类别，可以与其他中类或其他中类里的细分类别合并。 G.1.1.2.4 技术领域知识的水平在能力评价时，认证机构宜确定认证人员技术领域知识的水平，作为选择和使用认证人员的依据。认证机构可以对认证人员的通用信息安全技术领域知识的整体水平和通用信息技术领域知识的整体水平进行评价，但每个业务应用技术领域的知识水平宜分别进行评价。表 G.2 给出了从事申请评审、认证决定、审核和领导审核组四种职能的人员在不同的认

34、证活动风险和复杂性水平下，在认证活动涉及的技术领域宜具有的知识水平。由于风险和复杂性水平、知识水平可以有不同的分级方式，表 G.2 仅用“ *”的数量表示了相对水平，“ *”数量越多，相对水平越高。表 G.2 四种 ISMS 认证人员技术领域知识的水平实施申请评审以确定所需的审核组能力、选择审核组成员和确定审核时间复核审核报告和做出认证决定审核领导审核组 * * * * * * * * * * 风险和复杂性水平技术领域知识水平职能 CNAS-SC170:2017 第 12 页共 23 页 2017 年 01 月 01 日发布 2017

35、年 01 月 01 日实施 * * * * * G.1.2 能力分析和评价系统认证机构应按照认可规范的所有适用要求建立覆盖所有 ISMS 认证人员的能力分析和评价系统。在专业能力方面，该系统宜包括以下过程（见图 G.1），以确保为每个客户配备有效审核和认证所需的专业能力： a) 认证业务范围专业能力需求分析：认证机构对本机构认证活动涉及的所有认证业务范围大类和中类进行专业能力需求分析（参见 G.1.3.1）。 b) 技术领域的分类和专业能力要求的确定和调整：认证机构对从本机构涉及的所有认证业务范围大类和中类分析出的知识进行归纳，形成本机构技术领域分类（参见 G.1.1.2），然后

36、基于每个技术领域的知识确定该技术领域对每类认证人员的专业能力要求，必要时编制特定技术领域的审核指导文件。当认证业务范围类别增加时，或者当特定客户的专业能力需求分析或者来自审核过程的相关反馈显示有必要时，调整和完善技术领域的分类和专业能力要求。 c) 特定客户专业能力需求分析：在申请评审中，根据特定客户的具体情况和本机构技术领域的分类与专业能力要求，分析和确定对该客户实施审核和认证所涉及的技术领域类别以及相应的专业能力，以便为选择和使用认证人员以及改进技术领域分类和专业能力要求提供输入，并在后续的审核方案管理中根据客户情况的变化予以必要调整（参见 G.1.3.2）。 d

37、) 能力评价：在认证活动管理和实施的相应阶段，采用适宜的能力评价方法 ,依据专业能力要求，对拟使用的人员实施能力评价，以确定其是否具备所需的专业能力（参见 G.1.4）。下列情况时宜对人员能力进行补充评价： 1) 技术领域分类和（或）专业能力要求得到了更新； 2) 通过能力的持续监视获得了相关反馈； 3) 对人员能力进行了提升。 e) 能力提升和补充：当能力评价结果显示相关人员的能力不满足专业能力要求时，通过适当方式（例如培训）提升其能力，或通过其他途径（例如技术专家）补足所需的能力。 f) 选择和使用对特定客户实施审核和认证的人员：根据特定客户涉及的技术领域类别和专业能力，从

38、经评价可供使用的人员中选择具备相应能力的人员，用于对该客户实施审核和认证。 g) 能力的持续监视：对人员专业能力的运用、保持和发展情况进行持续监视，以便为人员能力补充评价提供输入。 CNAS-SC170:2017 第 13 页共 23 页 2017 年 01 月 01 日发布 2017 年 01 月 01 日实施认证业务范围专业能力需求技术领域分类和专业能力要求特定客户组织具体情况认证业务范围能力需求分析特定客户组织专业能力需求分析特定客户组织涉及的技术领域

39、类别和专业能力来自审核的相关反馈技术领域的分类和专业能力要求的确定和调整具备能力？是否能力提升和补充人员能力评价可用的人力资源能力的持续监视审核指导文件过程输入或输出选择和使用对特定客户组织实施审核和认证的人员判定( 1 )( 2 )( 3 )( 4 )( 5 )( 6 )( 7 )图 G.1 ISMS 认证人员专业能力的分析和评价 G.1.3 能力需求分析 G.1.3.1 认证业务范围专业能力需求分析 G.1.3.1.1 作为 IS

40、MS 认证人员专业能力分析和评价的起点，认证机构宜对本机构认证活动涉及的认证业务范围大类和中类进行专业能力需求分析。认证业务范围专业能力需求分析是为了初步识别实施涉及某个大类或中类的认证活动所需的专业知识，以便为归纳技术领域分类和确定专业能力要求，搭建能力分析和评价系统的框架，以及后续的针对特定客户实施专业能力分析奠定基础。因此，认证业务范围大类和中类的专业能力需求分析可基于该类别的典型的、有代表性的情况，而不必穷尽该类别涉及的所有情况。 G.1.3.1.2 实施认证活动需要了解 ISMS 建立与实施中涉及的知识，而信息安全风险评估和处置是建立与实施 ISMS 的基础。因此，认证业务范

41、围大类或中类的能力需求分析可采用信息安全风险评估和处置的思路（见图 G.2），分析该类别 ISMS 建立与实施的典型情况及相应的知识，包括： CNAS-SC170:2017 第 14 页共 23 页 2017 年 01 月 01 日发布 2017 年 01 月 01 日实施 a) 分析典型的业务流程和信息处理流程； b) 基于典型的业务流程和信息处理流程，分析典型资产（包括硬件、软件、网络、业务系统、人员和数据资料等）和典型信息安全风险（包括脆弱性和威胁）； c) 基于典型信息处理流程和典型资产，分析信息技术在该类别中的典型应用； d) 基于业务活动要求、法规要求和合同 /相关方要求分析典型信息安全要求； e) 基于典型资产和典型信息安全要求，分析典型信息资产的典型信息安全特性，例如保密性、可用性、完整性、真实性、不可抵赖性、可追溯性等； f) 基于典型信息安全风险和典型信息资产的典型信息安全特性，分析典型控制措施； g) 基于典型控制措施，分析信息安全技术在该类别中的典型应用。典型信息处理流程信息安全技术的典型应用典型

展开阅读全文