1、 2012 年 04月 01日 发布 2012年 04月 01日 实施 CNAS-SC18 信息安全管理体系认证机构认可方案 Accreditation Scheme for ISMS Certification Bodies 中国合格评定国家认可委员会 编号:C N A S - S C 1 8 : 2 0 1 2 第 2页 共 28页 2012 年 04月 01日 发布 2012年 04月 01日 实施 目 次 前 言 3 1 范围 4 2 规范性引用文件 4 3 术语和定义 . 4 4 ISMS 认证机构认可规范的构成 5 R.1 认可申请 . 5 R.2 预访问 . 6 R.3 初次认可
2、的见证评审 . 6 R.4 认证业务范围的认可 . 6 R.5 其他 7 C.1 认证协议 . 7 C.2 风险评估和责任安排 . 7 C.3 ISMS审核员在教育、工作经历、审核员培训和审核经历方面的必备条件 7 C.4 ISMS认证证书 8 C.5 保密 8 C.6 ISMS的变化 . 8 C.7 已认可的 ISMS 认证的转换 . 9 C.8 认证申请 . 9 C.9 认证审核相关要求 . 9 C.10 认证机构的信息安全管理体系 . 9 G.1 ISMS 认证机构能力分析和评价系统指南 10 G.2 ISMS 审核范围和认证范围界定指南 17 G.3 ISMS 审核时间确定指南 . 2
3、0 附录 A(规范性附录)ISMS 认证机构认证业务范围分类与分级 22 附录 B(资料性附录) 通用信息安全技术领域和通用信息技术领域参考分类、知识点及应用 . 24 编号:C N A S - S C 1 8 : 2 0 1 2 第 3页 共 28页 2012 年 04月 01日 发布 2012年 04月 01日 实施 前 言 本文件由中国合格评定国家认可委员会(CNAS)制定。 本文件是CNAS对信息安全管理体系(ISMS)认证机构提出的特定要求和指南,并 与相关认可规则和认可准则共同用于CNAS对ISMS认证机构的认可。 本文件中,用术语“应”表示相应条款是强制性的,用术语“宜”表示建议
4、。 CNAS-SC18:2012代替认可说明文件CNAS-EC-027:2010, 作为认可方案首次发布。 本文件针对CNAS-EC-027:2010的主要修改包括: 1) 在引用文件及相关章节增加ISO/IEC 27007及ISO/IEC TR 27008; 2) 依据CNAS-CC01:2011正文及规范性附录要求对G.1内容修订调整; 3) 在C.8.1认证申请阶段增加监管部门要求的示例; 4)其他引用文件变化。 编号:C N A S - S C 1 8 : 2 0 1 2 第 4页 共 28页 2012 年 04月 01日 发布 2012年 04月 01日 实施 信息安全管理体系认证机
5、构认可方案 1 范围 1.1 为确保CNAS对实施GB/T 220802008(ISO/IEC 27001:2005, IDT)认证的信 息安全管理体系(以下称为“ISMS” )认证机构实施评审和认可的一致性,指导申请 和获得认可的ISMS认证机构理解和实施认可规范要求,特制定本文件。 1.2 本文件包括对信息安全管理体系认证机构认可规范的补充说明和指南,适用于 CNAS对ISMS认证机构的认可。 本文件R部分和C部分分别是对相关认可规则和认可准则的补充和说明。 本文件 G部分是对相关认可准则的应用指南。 2 规范性引用文件 下列文件中的条款通过本文件的引用而成为本文件的条款。以下引用的文件,
6、注 明日期的,仅引用的版本适用;未注明日期的,引用文件的最新版本(包括任何修订) 适用。 CNAS-RC01认证机构认可规则 CNAS-CC01管理体系认证机构要求 CNAS-CC17信息安全管理体系认证机构要求 CNAS-CC11基于抽样的多场所认证 CNAS-CC12已认可的管理体系认证的转换 ISO/IEC 27007 信息技术 安全技术 信息安全管理体系审核指南 ISO/IEC TR 27008 信息技术 安全技术 审核员的信息安全控制措施指南 ISO/IEC 27003 信息技术 安全技术 信息安全管理体系实施指南 3 术语和定义 GB/T 190002008和GB/T 270002
7、006中的术语和定义以及下列术语和定义适 用于本文件。 3.1 认证业务范围:认证机构的ISMS认证活动涉及的行业领域 注:认证业务范围的分类与分级见附录A,包括“政务” 、 “公共” 、 “商务” 、 “产品的 生产”四个大类,每个大类包含若干中类,每个中类被赋予“一” 、 “二”或“三”级 别(认可风险水平由高至低) 。附录A介绍了认证业务范围分类与分级的相关考虑。 3.2 能力:应用知识和技能实现预期结果的本领 3.3 技术领域:以ISMS相关过程的共性为特征的领域 编号:C N A S - S C 1 8 : 2 0 1 2 第 5页 共 28页 2012 年 04月 01日 发布 2
8、012年 04月 01日 实施 注:对于 ISMS,技术领域与信息安全控制措施所涉及的信息安全技术、信息技术及 业务活动的类别有关。 3.3 专业能力:能够应用特定技术领域的知识实现预期结果的本领 4 ISMS认证机构认可规范的构成 4.1 CNAS-RC01认证机构认可规则是ISMS认证机构认可活动的基本程序规则。 CNAS-CC01管理体系认证机构要求是ISMS认证机构的基本认可准则。 CNAS-CC17 信息安全管理体系认证机构要求 是ISMS认证机构的专用认可准则。 4.2 其他适用的认可规则包括: a) CNAS-R01认可标识和认可状态声明管理规则 ; b) CNAS-R02公正性
9、和保密规则 ; c) CNAS-R03申诉、投诉和争议处理规则 ; d) CNAS-RC02认证机构认可资格处理规则 ; e) CNAS-RC03认证机构信息通报规则 ; f) CNAS-RC04认证机构认可收费管理规则 ; g) CNAS-RC05多场所认证机构认可规则 ; h) CNAS-RC07具有境外关键场所的认证机构认可规则 。 4.3 其他适用的认可准则包括: a) CNAS-CC11基于抽样的多场所认证 ; b) CNAS-CC12已认可的管理体系认证的转换 ; c) CNAS-CC14计算机辅助审核技术在获得认可的管理体系认证中的使用 。 R 部分 R.1 认可申请 在中华人民
10、共和国境内从事 ISMS认证活动的认证机构申请认可的 (以下称为 “申 请方” ) ,应具备CNAS-RC01条款5.1.1规定的基本条件以及下列条件: a) ISMS认证活动已被国家认监委批准; b) 已按照CNAS-CC01和CNAS-CC17建立了管理体系, 且运行时间不少于 6 个月。 申请方应提供CNAS-RC01条款5.1.2规定的申请文件以及下列文件和信息: 1) ISMS认证活动国家认监委批准文件复印件; 2) 已审核过的组织(对应到认证业务范围相应中类) ; 3) 自申请时间起6个月内计划实施的审核 (对应到认证业务范围相应中类) ; 4) 本机构确保客户组织符合工信部联协2
11、010394号文 关于加强信息安全 管理体系认证安全管理的通知 的要求以及有关主管部门/监管部门对信息安 全管理体系认证的管理要求的措施; 编号:C N A S - S C 1 8 : 2 0 1 2 第 6页 共 28页 2012 年 04月 01日 发布 2012年 04月 01日 实施 5) 需要时,CNAS要求的其他信息。 R.2 预访问 必要时,CNAS可在受理申请过程中安排预访问,以了解申请方是否已满足认可 申请条件以及是否基本具备接受认可评审的条件。 R.3 初次认可的见证评审 CNAS 结合申请方 ISMS 认证活动的范围、规模和风险水平确定初次认可的见证评 审安排,通常情况下
12、进行不少于两次见证评审。 R.4 认证业务范围的认可 R.4.1 CNAS通过对ISMS认证机构的认证业务范围进行认可来确定该机构的认可范 围。CNAS按认证业务范围的大类进行认可,必要时可将认可范围限定到中类。CNAS 认可某一大类的基本要求是认证机构的能力分析和评价系统覆盖了该大类, 且系统运 行基本有效。为此,认证机构应满足以下条件: a) 对该大类和认证活动涉及到的中类进行了适宜、有效的能力需求分析; b) 根据该大类和相关中类的能力需求分析,以适宜、有效的方式确定了能力分 析和评价系统的相关组成部分(例如技术领域、能力准则等) ; c) 能力分析和评价系统在与相关中类有关的认证活动中
13、有效地发挥了作用。 CNAS按申请认可的每个大类评价认证机构是否满足以上条件。如果认证机构在 一个大类中的多个中类实施了认证,CNAS可采用抽样的方式选取其中一部分中类进 行评价。通常情况下,一级风险的中类必选,并需要实施见证评审;二、三级风险的 中类可以视具体情况抽样,必要时进行见证评审。 R.4.2 CNAS对ISMS认证机构认证业务范围的认可不包括中华人民共和国境内(不 含香港、澳门特别行政区,台湾地区)的各级政府机关、政府信息系统运行单位和涉 密信息系统建设使用单位,并在认可证书附件中做相应说明。 R.4.3 CNAS对某一大类的认可,仅表明CNAS基于评审认为,认证机构的能力分析 和
14、评价系统能够保证充分地识别和配备该大类认证活动所需的能力,并不表明CNAS 认为认证机构已经具备了在该大类实施认证活动所需的全部能力, 在该大类的每次认 证活动都有效,也不意味着CNAS批准认证机构可以对该大类的任何组织实施认证。 因此, 认证机构应确保运用能力分析和评价系统为该大类的每次认证活动配备所需的 全部能力,同时确保客户组织符合工信部联协2010394号文关于加强信息安全管 理体系认证安全管理的通知的要求以及有关主管部门/监管部门对信息安全管理体 系认证的管理要求,并在满足这些条件后,才实施认证活动和颁发带有CNAS认可标 识的认证证书(不包括I级风险的中类) 。对于I级风险的中类,
15、通常情况下,认证 机构应在CNAS实施见证评审并确认符合认可规范要求后,才可以在认证证书上施加 CNAS认可标识。 R.4.4 CNAS在认可某一大类后,将在后续监督中对认证机构在该大类下自我评价和编号:C N A S - S C 1 8 : 2 0 1 2 第 7页 共 28页 2012 年 04月 01日 发布 2012年 04月 01日 实施 配备认证能力的情况进行评审(包括对II级或III级风险的中类实施必要的见证评 审) ,并依据相关认可规范对发现的不符合进行处理(包括依据CNAS-RC02暂停或撤 销部分或全部认可范围) 。 R.5 其他 R.5.1 获得CNAS认可的ISMS认证
16、机构不能使用IAF-MLA/CNAS联合标识。 R.5.2 CNAS-RC03条款5.1.2中“获得认证的组织或产品发生重大事故”是指获得 ISMS认证的组织发生具有下列影响的信息安全破坏: a) 已经或可能严重损害国家安全、社会秩序、公共利益或获证组织及其相关方 的合法权益;或者 b) 可能损害颁证机构或CNAS的公信力、声誉,或使颁证机构或CNAS承担连带 责任。 发生上述情况时,颁证机构应及时采取相应措施并向CNAS通报相关情况。 R.5.3 如果CNAS可能需要在评审中接触认证机构的客户组织的相关信息资产, 认证 机构应向相关组织询问是否同意 CNAS接触这些信息资产。如果组织同意,认
17、证机构 应识别CNAS接触这些信息资产时须满足的所有要求,并告知CNAS。如果组织不同意 或CNAS无法满足相关要求,CNAS将根据评审所受的影响采取相应的措施。 C 部分 C.1 认证协议(CNAS-CC01 条款 5.1.2) 认证协议应就控制审核和认证活动引发的客户组织信息安全风险做出规定, 包括 明确认证机构和客户组织及其有关人员的责任与义务。 C.2 风险评估和责任安排(CNAS-CC01 条款5.3.1) 认证机构应对其审核和认证活动可能给客户组织的信息安全带来的风险以及认 证机构可能承担的责任进行评估,并做出充分的安排(例如购买职业责任保险或设立 储备金) 。 C.3 ISMS
18、审核员在教育、工作经历、审核员培训和审核经历方面的必 备条件(CNAS-CC17 条款 7.2.1.3) ISMS审核员在教育、工作经历、审核员培训和审核经历等方面应满足下列条件: a) 教育:与信息安全技术相关的专业的本科学历; b) 工作经历:至少4年信息技术方面全职实际工作经历,其中至少2年的工作 经历来自与信息安全有关的职责或职能; c) 审核员培训:成功完成5天或40小时的ISMS审核员培训; d) 审核经历:参加至少4次ISMS审核,审核总天数不少于20天,其中包括文 件评审、风险分析的评审、现场审核和审核报告。 认证机构应注意:教育、工作经历、审核员培训和审核经历仅是认证人员获取
19、认编号:C N A S - S C 1 8 : 2 0 1 2 第 8页 共 28页 2012 年 04月 01日 发布 2012年 04月 01日 实施 证所需能力的途径,认证人员具有相关的经历并不等于一定具备认证所需的能力。因 此,认证机构应按照其能力分析和评价系统(参见G.1)的相关规定,对满足上述条 件的人员实际所具有的能力进行评价和证实, 而不应用资格条件的审查代替能力的评 价和证实。 C.4 ISMS 认证证书(CNAS-CC01 条款 8.2.3、CNAS-CC17 条款IS 8.2) C.4.1 认证机构宜在ISMS认证证书中从客户组织的业务、组织结构、位置、场所、 资产和技术
20、特点等方面清晰地界定认证所覆盖的ISMS范围。如果由于组织的信息安 全的原因不能在认证证书上明示上述全部与组织ISMS范围相关的信息时,通过在认 证证书上引用组织的适用性声明的方式是一种可以采取的间接方式。 C.4.2 ISMS认证证书中宜体现适用性声明的版本信息。认证机构应对获证组织适用 性声明的版本变化情况进行监视和控制, 这需要认证机构和组织间的信息沟通渠道通 畅。 C.5 保密(CNAS-CC01 条款 8.5、CNAS-CC17条款 IS 8.5) C.5.1 在认证审核前, 认证机构应要求客户组织识别并向认证机构告知其 ISMS 范围 内的哪些信息资产不允许认证机构接触, 或者认证
21、机构在接触相关信息资产时应满足 哪些要求,包括法律要求、相关方的要求和组织自身的要求。认证机构应满足所有这 些要求,否则不应在认证活动中接触组织的相关信息资产。 如果认证机构因为未获得组织的允许或无法满足适用的要求而不能接触相关信 息资产,那么认证机构应对审核和认证所受到的影响进行评估并采取相应的措施(例 如终止审核、缩小审核和认证的范围等) 。 如果组织事先没有禁止认证机构接触某一信息资产, 或未告知认证机构应满足的 要求,但认证机构在认证过程中发现自己并不具备接触该信息资产的资格和条件,应 立即向组织提出。 C.5.2 认证机构应与其ISMS认证相关人员签订在法律上具有强制实施力的协议,
22、以 确保认证相关人员对审核和认证过程中接触到的组织的保密或敏感信息予以保密。 认 证机构还宜要求直接接触组织信息的认证人员(例如审核组成员)按照组织的保密要 求与组织签署保密协议,或向组织做出保密承诺。 C.5.3 认证机构宜对其ISMS认证人员进行保密意识教育, 并进行保密方面的法律法 规、标准、规章制度、知识技能的培训。 C.5.4 审核组成员不宜在审核过程中以任何方式记录受审核组织的保密或敏感信 息。审核组在离开受审核组织前,宜请受审核组织检查和确认审核组携带的文件、资 料和设备中未夹带受审核组织的任何保密或敏感信息。 C.5.5 认证机构应为包含客户组织保密或敏感信息的文件、 资料和其
23、他物品的制作、 收发、传递、使用、复制、摘抄、保存和销毁建立保密程序。 C.6 ISMS 的变化(CNAS-CC01 条款8.6.3) 编号:C N A S - S C 1 8 : 2 0 1 2 第 9页 共 28页 2012 年 04月 01日 发布 2012年 04月 01日 实施 认证机构应要求客户组织即时报告其业务、组织结构、位置、场所、资产和技术 特点等方面可能导致其ISMS范围和边界变化的情况, 以及与其ISMS相关的法律法规 的变化情况。 C.7 已认可的 ISMS 认证的转换(CNAS-CC01条款 9.1.1) 认证机构仅应根据CNAS-CC12对CNAS认可的其他认证机构
24、颁发的ISMS认证实施 转换。除此以外的其他情况应按照初次认证对待。此时,认证机构若要考虑客户组织 以往所获的ISMS认证,应满足CNAS-CC01条款9.1.1的要求。 C.8 认证申请(CNAS-CC01 条款 9.2.1) C.8.1 认证机构应确保客户组织符合工信部联协2010394号文关于加强信息安 全管理体系认证安全管理的通知的要求,以及有关主管部门/监管部门对信息安全 管理体系认证的管理要求(如工信部2011年第21号公告工业和信息化部加强政府 部门信息技术外包服务安全管理等) 。 C.8.2 认证机构宜要求客户组织向其说明适用的关于认证机构的资质、诚信守法记 录或认证人员身份背
25、景的要求, 以及适用的与保守国家秘密或维护国家安全有关的法 律法规要求,并即时更新该说明,以便认证机构判断其是否具备对该组织实施认证活 动的资格或条件。 C.9 认证审核相关要求(CNAS-CC01 条款 9.2 至条款9.9) C.9.1 初次认证第一阶段审核(CNAS-CC01条款9.2.3.1) ISMS 初次认证审核的第一阶段审核宜包括在客户组织现场实施的审核活动,现 场审核时间不宜少于1个审核人日。 当客户组织由于信息安全的原因在申请评审阶段 不能提供给认证机构足够的信息时, 认证机构应通过第一阶段审核在客户组织的现场 补充对上述信息的确认,并完成申请评审任务。这种情况下,认证机构应
26、增加第一阶 段现场审核时间。 C.9.2 对ISMS认证审核的指南 ISO/IEC 27007信息技术 安全技术 信息安全管理体系审核指南的第5章和 第6章为ISMS认证机构涉及的审核方案管理、审核实施等内容提供了指南,并于附 录A中提供了ISMS审核实践的指导示例,认证机构可参考采用。 ISO/IEC TR 27008 信息技术 安全技术 审核员的信息安全控制措施指南为 ISMS认证审核员在审核过程中评价可能涉及的信息安全控制措施的贯彻和运作提供 了指南,认证机构可参考采用。 C.10 认证机构的信息安全管理体系(CNAS-CC01 条款10.3、CANS-CC17 条款IS 10.3) 当
27、认证机构采用方式二建立其管理体系时,宜在其方针、政策、目标和承诺上体 现认证机构自身的信息安全意识和追求,并在管理体系建立和实施中予以体现。 认可评审中需要关注认证机构自身的信息安全管理体系(方针、政策、目标、文编号:C N A S - S C 1 8 : 2 0 1 2 第 10页 共 28页 2012 年 04月 01日 发布 2012年 04月 01日 实施 件控制) 、信息安全风险评估、内审。管理评审等。 认证机构宜将认证机构的信息安全绩效,以及为其ISMS认证活动所采取的、与 客户组织信息安全相关的措施的绩效作为管理评审的关注点之一。 G 部分 G.1 ISMS 认证机构能力分析和评
28、价系统指南 G.1.1 概述 G.1.1.1 能力要求 G.1.1.1.1 能力是应用知识和技能实现预期结果的本领。ISMS 认证人员的能力要求 应包括: a) 所需的知识/技能。表G.1(参照CNAS-CC01附录A的表A.1)列举了承担申 请评审、认证决定、审核和领导审核组四种职能的人员应掌握的知识和技能 的类型; b) 应用知识/技能所要实现的结果。它与人员所承担的职能有关,例如:ISMS 审核员需要考虑受审核组织的整体信息安全风险,分析和判断组织的控制措 施的充分性、适宜性和有效性,然后追溯到组织ISMS的符合性和有效性。 认证机构宜参考表G.1定义其他人员宜掌握的知识和技能。 注:其
29、他人员包括认证机构的管理人员、行政支持性人员、相关委员会的成员以及技 术专家等。 表G.1 承担四种ISMS认证职能的人员所需知识和技能列表 承担认证职能知识和技能 实施申请评审 以确定所需的 审核组能力、 选择 审核组成员和 确定审核时间 复核审核 报告和做出 认证决定 审核 领导 审核组 经营管理实务的知识 审核原则、实务和技巧的知识 + + ISMS 标准和规范的知识 + + 认证机构过程的知识 涉及 ISMS 活动的客户的业务领域的知 识 + + 客户的产品、过程和组织的知识 与客户组织中的各个层级相适应的语 言技能 作记录和撰写报告的技能 表达技能 + 编号:C N A S - S
30、C 1 8 : 2 0 1 2 第 11 页 共 28页 2012 年 04月 01日 发布 2012年 04月 01日 实施 承担认证职能知识和技能 实施申请评审 以确定所需的 审核组能力、 选择 审核组成员和 确定审核时间 复核审核 报告和做出 认证决定 审核 领导 审核组 面谈技能 审核管理技能 + 注: 1. “ ”表示应掌握。 2. “+”表示对知识或技能水平的要求应相对较高,即: 对审核员和审核组长的审核原则、实务和技巧的知识、ISMS 标准和规范的知识以及 对客户业务领域的知识的要求应高于认证决定人员和申请评审人员; 对审核组长的表达技能和审核管理技能水平的要求应高于审核员。 3
31、. 对“涉及 ISMS 活动的客户的业务领域的知识” ,可以已通过确定相关“技术领域”来定义 各种必要的知识和技能。 G.1.1.1.2 认证机构宜在能力要求中进一步定义表 G.1 中每类知识/技能的具体内 容。 由于承担不同职能的人员需要具有的知识/技能水平可能不同(如表G.1所示) , 承担同种职能的人员在不同的认证活动风险和复杂性水平下需要具有的知识/技能水 平也可能不同, 因此能力要求宜体现出各种职能在各种认证活动风险和复杂性水平下 宜具有的知识/技能水平。相应的,认证机构宜定义: a) 认证活动风险和复杂性的确定方法和水平分级; b) 知识/技能的水平分级。知识/技能的水平宜从知识/
32、技能的广度和深度、知识 /技能的熟练程度等方面来体现。 G.1.1.2 专业能力和技术领域 G.1.1.2.1 ISMS认证人员应用表G.1中的“技术领域”的知识,实现预期结果的本 领是认证人员的专业能力。 技术领域是以ISMS相关过程的共性为特征的领域。ISMS相关过程包括分析和评 价业务活动中信息资产面临的信息安全风险,即风险评估;然后选择和实施保护信息 资产的安全控制措施, 以消除信息安全风险或把风险降至可接受的水平, 即风险处置; 以及风险评估和风险处置的持续改进。 这些过程是信息安全技术和信息技术在组织业 务活动中的应用,因此归纳过程的共性和划分技术领域宜基于信息安全技术、信息技 术
33、和组织业务活动的种类(参见CNAS-CC01 条款7.1.2注) ,并考虑信息安全技术和 信息技术在组织业务活动中的应用特点。技术领域的一种划分方法是: a) 通用信息安全技术领域; b) 通用信息技术领域; c) 业务应用技术领域。 G.1.1.2.2 通用信息安全技术领域和通用信息技术领域 编号:C N A S - S C 1 8 : 2 0 1 2 第 12页 共 28页 2012 年 04月 01日 发布 2012年 04月 01日 实施 G.1.1.2.2.1 通用信息安全技术领域和通用信息技术领域是考虑到信息安全技术和 信息技术具有通用性, 不同种类业务活动中所应用的信息安全技术和
34、信息技术很多是 相同或相近的,与之相关的知识构成了ISMS认证人员专业能力的基础。因此,认证 机构可将通用的信息安全技术知识和信息技术知识分别作为两个技术领域, 即通用信 息安全技术领域和通用信息技术领域。 G.1.1.2.2.2 认证机构宜确定通用信息安全技术领域和通用信息技术领域的具体分 类方式,以确保专业能力分析和评价的系统性和充分性。本文件附录B提供了通用信 息安全技术领域和通用信息技术领域的参考分类, 认证机构可根据认证业务范围专业 能力需求分析结果对其进行调整或补充,以形成本机构的分类。本文件附录B还对通 用信息安全技术领域和通用信息技术领域的知识点及其应用提供了指南, 可供认证机
35、 构在分析通用信息安全技术领域和通用信息技术领域的知识以及相应的专业能力时 参考。 G.1.1.2.3 业务应用技术领域和认证业务范围 G.1.1.2.3.1 业务应用技术领域是考虑到ISMS是为了控制组织业务活动中的信息 安全风险,为组织的业务活动提供保障。ISMS认证人员需要适当掌握与组织业务活 动相关的知识,例如流程、资产、风险、安全要求、控制措施以及信息安全技术和信 息技术在业务活动中的特定应用等方面的知识, 以便能够分析和判断组织信息安全控 制措施的充分性、有效性和适宜性,进而追溯到组织ISMS的符合性和有效性。认证 机构可将与特定种类业务活动相关的这些知识归为一个技术领域, 即业务
36、应用技术领 域。 G.1.1.2.3.2 本文件附录A的认证业务范围分类为认证机构确定业务应用技术领域 分类提供了框架(参见附录A相关说明) 。认证机构宜根据认证业务范围专业能力需 求分析的结果,通过认证业务范围中类的进一步细分和(或)合并来确定本机构业务 应用技术领域的分类。 注:认证业务范围中类进一步细分后得到的类别,可以与其他中类或其他中类里的细 分类别合并。 G.1.1.2.4 技术领域知识的水平 在能力评价时,认证机构宜确定认证人员技术领域知识的水平,作为选择和使用 认证人员的依据。 认证机构可以对认证人员的通用信息安全技术领域知识的整体水平 和通用信息技术领域知识的整体水平进行评价
37、, 但每个业务应用技术领域的知识水平 宜分别进行评价。 表 G.2给出了从事申请评审、认证决定、审核和领导审核组四种职能的人员在不 同的认证活动风险和复杂性水平下,在认证活动涉及的技术领域宜具有的知识水平。 由于风险和复杂性水平、知识水平可以有不同的分级方式,表G.2仅用“*”的数量 表示了相对水平, “*”数量越多,相对水平越高。 表G.2 四种ISMS认证人员技术领域知识的水平 编号:C N A S - S C 1 8 : 2 0 1 2 第 13页 共 28页 2012 年 04月 01日 发布 2012年 04月 01日 实施 实施申请评审 以确定所需的审核组 能力、选择审核组成员 和
38、确定审核时间 复核审核 报告和做出 认证决定 审核 领导 审核组 * * * * * * * * * * * * * * * * * * * G.1.2 能力分析和评价系统 认证机构应按照认可规范的所有适用要求建立覆盖所有ISMS认证人员的能力分 析和评价系统。在专业能力方面,该系统宜包括以下过程(见图G.1) ,以确保为每 个客户组织配备有效审核和认证所需的专业能力: a) 认证业务范围专业能力需求分析:认证机构对本机构认证活动涉及的所有认 证业务范围大类和中类进行专业能力需求分析(参见G.1.3.1) 。 b) 技术领域的分类和专业能力要求的确定和调整:认证机构对从本机构涉及的 所有认证业
39、务范围大类和中类分析出的知识进行归纳,形成本机构技术领域 分类(参见G.1.1.2) ,然后基于每个技术领域的知识确定该技术领域对每类 认证人员的专业能力要求,必要时编制特定技术领域的审核指导文件。当认 证业务范围类别增加时,或者当特定客户组织的专业能力需求分析或者来自 审核过程的相关反馈显示有必要时,调整和完善技术领域的分类和专业能力 要求。 c) 特定客户组织专业能力需求分析:在申请评审中,根据特定客户组织的具体 情况和本机构技术领域的分类与专业能力要求,分析和确定对该组织实施审 核和认证所涉及的技术领域类别以及相应的专业能力,以便为选择和使用认 证人员以及改进技术领域分类和专业能力要求提
40、供输入,并在后续的审核方 案管理中根据组织情况的变化予以必要调整(参见G.1.3.2) 。 d) 能力评价:在认证活动管理和实施的相应阶段,采用适宜的能力评价方法, 依据专业能力要求,对拟使用的人员实施能力评价,以确定其是否具备所需 的专业能力(参见G.1.4) 。下列情况时宜对人员能力进行补充评价: 1) 技术领域分类和(或)专业能力要求得到了更新; 2) 通过能力的持续监视获得了相关反馈; 3) 对人员能力进行了提升。 e) 能力提升和补充:当能力评价结果显示相关人员的能力不满足专业能力要求 时,通过适当方式(例如培训)提升其能力,或通过其他途径(例如技术专 家)补足所需的能力。 f) 选
41、择和使用对特定客户组织实施审核和认证的人员:根据特定客户组织涉及 的技术领域类别和专业能力,从经评价可供使用的人员中选择具备相应能力 风险和复杂性水平 技术领域 知识水平 职 能 编号:C N A S - S C 1 8 : 2 0 1 2 第 14页 共 28页 2012 年 04月 01日 发布 2012年 04月 01日 实施 的人员,用于对该客户组织实施审核和认证。 g) 能力的持续监视:对人员专业能力的运用、保持和发展情况进行持续监视, 以便为人员能力补充评价提供输入。 认证业务范围 专业能力需求 技术领域分类和 专业能力要求 特定客户组 织具体情况 认证业务范围 能力需求分析 特定
42、客户组织 专业能力需求分析 特定客户组织涉 及的技术领域类 别和专业能力 来自审核的 相关反馈 技术领域的分类和专业能力 要求的确定和调整 具备能力? 是 否 能 力 提 升 和 补 充 人员能力评价 可用的 人力资源 能力的持续监视 审核指导 文件 过程 输入或输出 选择和使用对特定客户组织 实施审核和认证的人员 判定 (1) (2) (3) (4) (5) (6) (7)图G.1 ISMS认证人员专业能力的分析和评价 G.1.3 能力需求分析 G.1.3.1 认证业务范围专业能力需求分析 G.1.3.1.1 作为ISMS认证人员专业能力分析和评价的起点, 认证机构宜对本机构认 证活动涉及的
43、认证业务范围大类和中类进行专业能力需求分析。 认证业务范围专业能力需求分析是为了初步识别实施涉及某个大类或中类的认 证活动所需的专业知识,以便为归纳技术领域分类和确定专业能力要求,搭建能力分 析和评价系统的框架,以及后续的针对特定客户组织实施专业能力分析奠定基础。因 此,认证业务范围大类和中类的专业能力需求分析可基于该类别的典型的、有代表性 的情况,而不必穷尽该类别涉及的所有情况。 G.1.3.1.2 实施认证活动需要了解ISMS建立与实施中涉及的知识, 而信息安全风险编号:C N A S - S C 1 8 : 2 0 1 2 第 15页 共 28页 2012 年 04月 01日 发布 20
44、12年 04月 01日 实施 评估和处置是建立与实施ISMS的基础。因此,认证业务范围大类或中类的能力需求 分析可采用信息安全风险评估和处置的思路(见图G.2) ,分析该类别ISMS建立与实 施的典型情况及相应的知识,包括: a) 分析典型的业务流程和信息处理流程; b) 基于典型的业务流程和信息处理流程,分析典型资产(包括硬件、软件、网 络、业务系统、人员和数据资料等)和典型信息安全风险(包括脆弱性和威 胁) ; c) 基于典型信息处理流程和典型资产,分析信息技术在该类别中的典型应用; d) 基于业务活动要求、法规要求和合同/相关方要求分析典型信息安全要求; e) 基于典型资产和典型信息安全
45、要求, 分析典型信息资产的典型信息安全特性, 例如保密性、可用性、完整性、 、真实性、不可抵赖性、可追溯性等; f) 基于典型信息安全风险和典型信息资产的典型信息安全特性,分析典型控制 措施; g) 基于典型控制措施,分析信息安全技术在该类别中的典型应用。 典型信息 处理流程 信息安全技术 的典型应用 典型 业务流程 典型资产 信息技术 的典型应用 典型信息 安全要求 业务活动要求 合同/相关方要求 典型信息资产的 典型信息安全特性 典型 控制措施 典型信息 安全风险 (1) (2) (3) (4) (5) (6) (7) 法规要求图G.2 ISMS认证业务范围能力需求分析思路 G.1.3.2
46、 特定客户组织能力需求分析 G.1.3.2.1 认证机构在对特定客户组织实施申请评审时,宜根据该组织的具体情况 以及本机构技术领域的分类和专业能力要求, 分析和确定对该组织实施审核和认证所 涉及的技术领域类别和相应的专业能力(即能力需求) ,并从经评价可用的人力资源 中选择具备这些专业能力的人员,对该组织实施审核和认证。 认证机构在授予客户组织初次认证后, 宜在审核方案管理中关注客户组织发生的 任何可能影响其能力需求的变化, 并及时根据此类变化对客户组织的能力需求和配备 的认证人员进行必要的调整。 G.1.3.2.2 由于技术领域的分类和专业能力要求主要在认证业务范围能力需求分析 的基础上确定
47、,而后者基于相关业务范围类别的典型情况,不一定考虑到所有可能的 情况, 因此对特定客户组织进行能力需求分析时宜注意识别该组织是否存在认证业务编号:C N A S - S C 1 8 : 2 0 1 2 第 16页 共 28页 2012 年 04月 01日 发布 2012年 04月 01日 实施 范围能力需求分析时未考虑到的情况。如果存在,宜基于所识别的情况进行补充分析 (可采用图 G.2 的分析思路) ,并根据补充分析的结果对现有的技术领域的分类和 (或)专业能力要求进行调整和完善,然后相应地对相关认证人员的能力进行补充评 价,并在必要时进行能力的提升或补充,以确保具有充分的能力对特定客户组织
48、实施 审核和认证活动。 G.1.3.2.3 特定客户组织的能力需求分析由申请评审人员实施。由于申请评审人员 的能力依据现有的专业能力要求评定, 所以当特定客户组织能力需求分析的过程中有 迹象显示该组织涉及的专业能力可能超出现有的专业能力要求时, 认证机构宜及时确 认申请评审人员的能力, 并在必要时通过适宜方式补足对特定客户组织实施能力需求 分析所需的能力。 G.1.4 能力评价 G.1.4.1 能力评价是获取被评价人能力的证据,并将能力的证据与能力要求进行比 较,以确定被评价人是否满足能力要求的过程。能力评价宜保留能力证据、评价活动 和评价结论的记录(包括音像资料) 。 G.1.4.2 能力的证据宜与能力要求的内容相关,并且能够为评价结论提供支持。因 此,认证机构宜通过适宜的评价方法获取充分的能力证据。评价方法的选择宜考虑: a) 评价所依据的能力要求的内容(包括知识、技能、所要实现的结果) ; b) 评价的目的,例如:初次聘用、持续监视、扩大能力范围、能力要求更新后 的补充评价等; c) 已建立的对被评价人能力的了解和信心。 以下介绍了一些常用的评价方法。这些方法宜组合使用,以获得关于