1、 1 印月 94 10 月 本標準非經本局同意得翻印 中華民國國家標準 CNS 總號 號 ICS 35.040.00 14731 X6043 經濟部標準檢驗局印 公布日期 修訂公布日期 92 5 月 12 日 月日 (共 39 頁) 資訊安全管理系統 驗證/登錄機構之認證指引 Guidelines for the accreditation of bodies operating certification/registration of information security management systems 用途 本標準的用途係要與應用於資訊安全管系統 (Information Se
2、curity Management Systems, ISMS)域中的 CNS 13285 協同,提供針對認證機構、評鑑員及準備認證的驗證 /登機構所提供的明。 CNS 13285 標準仍有其法定地位;如果發生關於該標準應用上的爭議時,獨之認證機構會仲裁尚未解決的問題。 2 CNS 14731, X 6043 目 錄 資訊安全管理系統 (ISMS)驗證 /登錄機構認證指引導論 . 4 ISMS 驗證 /登錄導論 . 5 1. 概述 6 1.1 適用範圍 6 1.2 參考資料 6 1.3 用語釋義 6 2. 驗證 /登錄機構之要求 . 7 2.1 驗證 /登錄機構 7 2.1.1 一般規定7 2
3、.1.2 結構.8 2.1.3 委辦.13 2.1.4 品質系統13 2.1.5 核發、維護、增列、減列、懸置及撤銷驗證/登錄之條件.15 2.1.6 內部稽核及管理審查.15 2.1.7 文件化.16 2.1.8 紀錄.17 2.1.9 機密性.17 2.2 驗證 /登錄機構之人員 17 2.2.1 概述.17 2.2.2 稽核員及技術專家之資格準則.19 2.2.3 選派程序20 2.2.4 評鑑人員之約聘.22 2.2.5 評鑑人員紀錄22 2.2.6 稽核小組作業程序.22 2.3 驗證 /登錄需求之變更 22 2.4 申訴、抱怨及爭議 22 3 CNS 14731, X 6043 3
4、. 驗證 /登錄作業之要求 . 23 3.1 驗證 /登錄之申請 23 3.1.1 程序資訊23 3.1.2 申請.24 3.2 評鑑準備 24 3.3 評鑑 . 25 3.4 評鑑報告 28 3.5 驗證 /登錄之決定 29 3.6 追查及再評鑑程序 30 3.7 證書及標誌之使用 32 3.8 向組織索閱抱怨紀錄 . 33 附件 1 認證範圍 35 英中名詞對照表 . 37 4 CNS 14731, X 6043 資訊安全管理系統 (ISMS)驗證 /登錄機構認證指引導論 本標準中之應字表示:該等條文反映 CNS 13285 之要求而為強制性之規定。 宜字表示:該等條文之內容雖屬對於認證要
5、求規範之 IAF 詮釋,惟期望驗證 /登錄機構能採用。驗證 /登錄機構對此詮釋內容之任何變更應屬例外之情況,僅限於該驗證 /登錄機構已向認證機構證明該項例外符合 CNS 13285 相關條文之要求,並在以同等方式符合本標準之意旨時,該等詮釋內容之變更始得以個案方式予以同意。 5 CNS 14731, X 6043 ISMS 驗證 /登錄導論 資訊安全管理系統( ISMS)標準為組織提供了最佳的實務規則。 CNS 17800 及其他規範的文件是資訊安全管理的規格,適用於以 ISMS 為基礎之驗證 /登錄。它們提供了一組範圍廣泛的安全管制,包含了目前使用中的最佳資訊安全實務。它們的目標是要提供組織
6、在提供資訊安全及促使組織間分享資訊的共同性基礎。這對於想要藉由電子方式相互連絡的某些組織而言,特別重要。 組織的資訊安全管理系統( ISMS)之驗證 /登錄,是提供保證的方法之一,其保證經驗證 /已登錄之組織,已經實施與標準或正規的文件相符之資訊安全管理系統。 本標準詳述了相關需求,及其應遵循之規則,以確保驗證 /登錄機構會以一致且可靠的方式經營管理第三方驗證 /登錄系統,因此於國家及國際的基礎上使它們易於被廣泛接受。本出版品當做為了國際貿易而認知國家體系的基礎。 本標準的本意是要給那些實施評鑑及 ISMS 驗證 /登錄功能的機構使用。為便於行文起見,這些機構將被稱之為驗證 /登錄機構 。對於
7、負責從事涵蓋於本出版品之活動而具有其它名稱之機構,在使用本文件時, 驗證 /登錄機構一詞不應造成其障礙。實際上,本出版品可適用於涉及 ISMS 驗證 /登錄的任何機構。 ISMS 驗證 /登錄涉及對組織 ISMS 的評鑑,但卻不意味著其產品及服務之資訊安全達到某種特殊水準。對標準或正規文件及任何輔助文件的符合性證據,都以驗證 /登錄文件的形式表示。 ISMS 驗證 /登錄確保組織已經進行了風險評鑑,已識別及實作了符合業務需求的資訊安全管制。 ISMS 的驗證 /登錄完全是自發性的。順利完成驗證 /登錄程序的組織,在資訊安全管理上能擁有較大的信心,並能使用證書向與他們共享資訊的貿易夥伴提出保證。
8、當組織將其相關資訊安全措施保密時,相關證書就成為能力的公開聲明。 當本標準的本意是要讓關於認定驗證 /登錄機構能力的機構使用時,許多內含於其中的條文,對於第二方的評鑑程序會有用處。 6 CNS 14731, X 6043 1.概述 1.1 適用範圍 本標準為執行資訊安全管理系統 (ISMS)驗證 /登錄之第三方機構規定一般要求,凡能符合該等要求之機構,即可被承認為有能力且可靠之資訊安全管理系統(ISMS)驗證 /登錄機構。 備考:對查證資訊安全管理系統與規定標準的符合性之機構,有些國家稱之為驗證機構( certification bodies);有些國家稱之為登錄機構( registratio
9、n bodies),另有一些國家稱之為評鑑與登錄機構( assessment and registration bodies )或驗證 / 登錄機構( certification/registration bodies),或逕稱為登錄處( registrars)。為易於瞭解,本指引經常將其統稱為驗證 / 登錄機構( certification/registration bodies),但不意味具有限制性。 本標準所含之要求,最重要的是應視為任何執行資訊安全管理系統 (ISMS)驗證 /登錄的機構之一般要求。 1.2 參考資料: CNS 12889 品質管理與品質保證詞彙 CNS 13285 執
10、行品質系統評鑑與驗證 /登錄的機構之一般要求 CNS 13351-1 品質系統稽核指導綱要第一部分:稽核 CNS 13351-2 品質系統稽核指導綱要第二部分:品質系統稽核員之資格準則 CNS 13351-3 品質系統稽核指導綱要第三部分:稽核計畫之管理 CNS 13606 標準化與相關活動一般詞彙 CNS 17799 資訊技術資訊安全管理之作業要點 CNS 17800 資訊技術資訊安全管理系統規範 1.3用語釋義 基於本標準之目的, CNS 13606 與 CNS 17799 和 CNS 17800 相關定義以及下列定義均適用。 1.3.1 組織( organization): 公司、法人組
11、織、商號、企業、機關、公共團體、或其聯合或一部分,不論是否合併為一實體、公共團體或為私人團體,其具有自有功能和管理能力,並能確保資訊安全系統之實施。 1.3.2 驗證 /登錄機構( certification/registration body): 按照已出版之 ISMS 標準及該系統所要求之任何補充文件,對組織之資訊安全管理系統實施評鑑與驗證 /登錄之第三者。 1.3.3 驗證 /登錄文件( certification/registration document): 即指該文件能顯示組織之資訊安全管理系統符合 ISMS 標準及該系統所要求之任何補充文件。 1.3.4 驗證 /登錄系統( ce
12、rtification/registration system): 具有自己的程序與管理規則,以執行評鑑且發行驗證 /登錄文件及其後續維 7 CNS 14731, X 6043 護之作業系統。 IAF 指引 G.1.3.1 以下定義適用於本標準之指引: 評鑑:有關驗證一個機構之所有活動,以決定該機構是否符合核發驗證 /登錄必要之特定標準,並決定該機構是否有效實施前述之要求;該等活 動包括文件審查、稽核、稽核報告之準備及考慮,以及其他足以提供相當資訊,來決定是否授與驗證 /登錄之相關活動。 標識( logo): 某機構用以作為識別之符號,通常是經過設計的。標識也可以是標誌。 標誌( mark):
13、合法登記之商標或其他受保護之符號;其授與係經過認證機構或驗證/登錄機構所要求之程序,以顯示對其機構所運作之系統運作足夠的信心;或顯示相關產品或個人符合特定標準之要求。 不符合項目: 無法執行並維護一項或多項之 ISMS 管理系統要件的情形,或依據可得之客觀證據,對組織達成其安全政策及目標之 ISMS 能力產生嚴重懷疑的情形。 驗證 /登錄機構有權定義不同程度之缺失及需要改進之領域(如主要及次要不符合項目、觀察等) 。但是,所有符合上述不符合項目定義之缺失應依 G.3.5.2 及 G.3.6.1 所述之要求處理。 G.1.3.2 驗證 /登錄機構認證範圍以公認的產業類別或產品種類表之一個或多個項
14、目表示,稱為 ”認證範圍 ”(參考附件 1)。 G.1.3.3 可適用認證之其他限制,例如,一個確定辦公室或場所之限制。 ISMS 指引 IS.1 驗證 /登錄機構的已認證範圍與稽核員的能力有密切關係,其是稽核組織在發展及維護其 ISMS 時所執行之風險分析的諸多要項之一。驗證 /登錄機構有必要向認證機關顯現,其稽核員有能力對業界進行 ISMS 評鑑和驗證 /登錄。 2.驗證 /登錄機構之要求 2.1 驗證 /登錄機構 2.1.1 一般規定 2.1.1.1 驗證 /登錄機構運作之政策與程序應無歧視,且應以公正無私的態度來執行。除非本指引明白規定,程序不應用作阻礙或禁止其他申請者前來申請。 2.
15、1.1.2 驗證 /登錄機構應為所有申請者服務。服務不應有不正當之財務或其他條件,不應以組織之大小或任何協會或團體之會員身分予以限制,也不應以獲得驗證 /登錄組織之數目為驗證 /登錄之條件。 2.1.1.3 評鑑申請者 ISMS 所依據之準則應如 ISMS 標準,或如其他有關執行功能的規範性文件所述。若有要求說明該等文件是否適用於特定驗證 8 CNS 14731, X 6043 /登錄方案,應由相關且公正之委員會或具有必要技術能力之個人提出說明,並由驗證 /登錄機構予以公布。 2.1.1.4 驗證 /登錄機構對其驗證 /登錄之要求、評鑑及決定,應侷限於驗證 /登錄範圍內之特定相關事項。 IAF
16、 指引 G.2.1.1 第 2.1.1.3 節所述之若有要求說明 ,得將範圍限定於認證機構承認之文件。第 1.3.2 節及第 1.3.3 節所述之該系統所需要求之任何補充文件,係指認證機構承認,適用於相關標準或導引所提供額外或補充之指引(參照G.2.1.9)。在例外情況下,驗證 /登錄機構依循第 2.1.1.3 節之規定及要求可自行公布補充文件。 G.2.1.2 ISMS 之驗證 /登錄應對已符合特定之要求之系統有適當之信賴。組織 ISMS若符合 ISMS 之驗證 /登錄,應證明組織已於證書核定之特定範圍內,執行及維護有效之系統,且此系統依其作業運作。 G.2.1.3 上述 G.2.1.2 中
17、所提特定之要求係指組織與客戶間雙方同意之要求。如果組織按客戶要求之規格提供服務,客戶於購買時,可與其訂定 ”同意之要求 ”。但如果符合之要求是由組織述及或必備項目,則 ”同意之要求 ”包括 ”法規要求 ”。如果僅為合約審查要考慮實施之項目,在任何情況下,符合適用於所提供之產品或服務之法規要求,一般可視為客戶要求。 G.2.1.4. 驗證 /登錄機構之運作不應有差別待遇,例如:以加速或延遲申請而造成隱藏的差別待遇。 G.2.1.5 第 2.1.1.2 節要求驗證 /登錄機構對所有申請者應提供服務。然而,驗證 /登錄機構在未被驗證 /登錄之範圍內應不提供驗證 /登錄服務,或選擇在特定之行業領域中不
18、提供服務於任何組織。例如,驗證 /登錄機構在法律允許的情況下,對於其可認證之範圍,可限定對某一特定地區之申請者提供服務,或可限定對某一特定技術領域或部分領域之組織提供服務。 G.2.1.6 驗證 /登錄機構可以提供 ISMS 驗證 /登錄與品質系統驗證 /登錄適當連結之產品驗證 /登錄符合性驗證,或僅只提供 ISMS 驗證 /登錄。 G.2.1.7 當驗證 /登錄機構以本標準以外之其他規範文件驗證 /登錄組織時,該規範文件應公布。 G.2.1.8 第 2.1.1.3 節所指之特定驗證 /登錄方案,可包括特定領域計畫。 G.2.1.9 參照第 2.1.1.3 節所指對文件適用之解釋格式,應由認證
19、機構授權驗證 /登錄機構規定。 2.1.2 結構 驗證 /登錄機構之組織架構應能對其所作驗證 /登錄產生信心。 驗證 /登錄機構應: (a) 立場公正。 9 CNS 14731, X 6043 (b) 對驗證 /登錄之核發、維護、增列、減列、懸置及撤銷所作決定負責。 (c) 指定管理階層 (委員會、小組或個人 )全權對下列各項負責: (1) 依本標準規定執行評鑑及驗證 /登錄。 (2) 與驗證 /登錄機構運作有關的政策性事務之規劃。 (3) 驗證 /登錄之決定。 (4) 政策執行之監督。 (5) 驗證 /登錄機構財務之監督。 (6) 對各個委員會,視需要代表機構承當所既定之活動。 (d) 持有
20、可以展示該機構為一法律實體之文件。 (e) 具有文件化的架構足以保證機構之公正性,並訂有保證驗證 /登錄機構運作公正之條款。此架構應能使非常關切驗證 /登錄系統內容與功能之各團體,能參與政策及原則之制定。 (f) 確保驗證 /登錄之決定者不是評鑑之執行者。 (g) 具有和驗證 /登錄活動相關之權責。 (h) 具有適當之處置足以涵蓋因其運作及 /或活動所產生之責任。 (i) 具有驗證 /登錄系統運作所需之資源及穩定之財務。 (j) 雇用足夠人員,具備必要學歷、訓練、技術知識及經驗,在負有實責之高級主管督導下,執行各類型、範圍及工作量之驗證 /登錄功能。 (k) 具有如第 2.1.4 節所述品質系
21、統,令人對其執行組織之驗證 /登錄系統的能力產生信心。 (l) 訂有政策與程序,以區分組織之驗證 /登錄業務與驗證 /登錄機構所從事之任何其他活動。 (m) 高級主管和幕僚人員應免於受到可能影響驗證 /登錄過程結果之任何商業、財務及其他壓力。 (n) 具有正式之規定與架構,以供參與驗證 /登錄過程之任何委員會指派及運作,該等委員會應免於受到可能影響決定之商業、財務及 其他壓力。 備考:如果某架構其成員之遴選能顧及利益之平衡,而無單獨之利益壟斷者,則此架構即能滿足此一規定。 (o) 確保相關機構之活動,不影響其驗證 /登錄之機密性、客觀性或公正性,且不應提供: (1) 其驗證 /登錄所不允許提供
22、之服務。 (2) 為獲得或維護驗證 /登錄之顧問服務。 (3) 為設計、執行或維護 ISMS 之服務。 備考:驗證 /登錄機構可直接或間接提供其他產品、過程或服務,但須不影響驗證 /登錄過程及決定之機密性、客觀性或公正性。 (p) 訂有政策及程序,以解決來自各組織或其他團體,因辦理驗證 /登錄或其他相關事務所提出之抱怨、申訴及爭議。 10 CNS 14731, X 6043 IAF 指引 G.2.1.10 認證應僅能授與如第 2.1.2( d)節所述之法律實體,且限定於宣稱之範圍、活動及地點。若執行驗證 /登錄業務之法律實體為另一較大實體之一部分時,其與歸屬實體其他部門之關係應予以明定,並應證
23、明其中無 G.2.1.22及 G.2.1.23 節所述之利益衝突之存在。該歸屬實體其他部門執行活動之相關資訊亦應由驗證 /登錄機構提供予認證機構。 G.2.1.11 第 2.1.2( d)節要求驗證 /登錄機構應證明其為法律實體,係指若申請之驗證/登錄機構為一較大實體之一部分,認證應僅能授與該法律實體。在此情況下,這個法律實體之相關業務可能要接受認證機構之稽核,以便能夠進行特定之稽核存底及 /或審查有關驗證 /登錄機構之紀錄。法律實體中實際組成驗證 /登錄機構之部分得以特有的名稱對外營運,該名稱得列於認證證書上。 第 2.1.2( d)節之目的,即驗證 /登錄機構若為政府單位之一部分,或為政府
24、部會,以其政府地位之性質可視為法律實體。此類機構之地位及架構應予以正式文件化,並應符合本標準。 G.2.1.12 驗證 /登錄機構之公正性及獨立性,得在三個層次予以確保: (1) 策略及政策。 (2) 驗證 /登錄之決定。 (3) 稽核。 第 2.1.2 節之指引,即是要在這三個層次確保公正性及獨立性。 G.2.1.13 第 2.1.2( a)節要求之公正性,僅能以第 2.1.2( e)節要求之結構來確保,該結構能使“所有關切其驗證 /登錄系統內容及功能之政策及原則發展之重要相關團體皆能參與”。 G.2.1.14 為符合第 2.1.2( c)節之要求而建立的管理階層,不一定要和 CNS 132
25、85條文第 2.1.2( e)中所要求之架構相同。 G.2.1.15 符合第 2.1.2( e)節之要求可以避免驗證 /登錄機構之擁有者允許商業或其他考量來影響其提供客觀技術性服務的一致性。當驗證 /登錄機構之財務來源,係由其股東及 /或董事會中具有支配力量之特定利益團體所提供時,這點特別重要。 G.2.1.16 第 2.1.2( e)節要求驗證 /登錄機構在其文件化之架構中,列出所有重要相關團體參與之條款。這通常得透過某種委員會之方式。該架構應由最高階層正式建立於驗證 /登錄機構合法地位之文件中,而該架構在未通知認證機構之前,不得做任何變更。 G.2.1.17 是否所有重要的相關團體皆能參與
26、一直是判斷的問題。重要的是所有可界定出之重要利益團體皆有機會參與,並達到利益平衡,而此利益亦即不受個別單一團體所支配。 ISMS 指引 IS.2 在第 2.1.2(e)節所提到的各團體可能是工商業的顧客與供應者、管理者、貿易雙 11 CNS 14731, X 6043 方、資訊安全管理專家與相關的專家、和政府。 IAF 指引 G.2.1.18 第 2.1.2( c)節所述負責不同功能之管理階層,得提供委員會或第 2.1.2( e)節所述相當組織所有必要之資訊,包括與驗證 /登錄相關之所有重要決定及措施之理由,以及負責特定作業人員之選派,以確保適當及公正之驗證 /登錄。若委員會或相當組織意見不被
27、管理階層尊重,委員會或相當之組織應採取適當之措施,包括通知認證機構。 G.2.1.19 如果驗證 /登錄機構及申請者或已驗證 /登錄組織,皆為政府之一部門,該兩單位不得同時直接對其具有運作實權之個人或團體直接提出報告。基於公正性之考量,驗證 /登錄機構應能展現證明處理這樣該等個案之方式。 G.2.1.20 如果依第 2.1.2( n)節核發或撤銷驗證 /登錄之決定,係由一個或一個以上已驗證 /登錄組織代表所組成之委員會所決定,則驗證 /登錄機構之運作程序宜確保這些代表對決定有之作成不具顯著影響。例如:可藉由分配投票權或其他具同等效力之方式來確保。 G.2.1.21 第 2.1.2( o)節提出
28、兩項不同要求。第一:驗證 /登錄機構在任何情況下,不應提供該條款之( 1)、( 2)及( 3)所述之服務。第二:雖然對相關機構所提供之服務或活動,並無特別之限制,但不應影響驗證 /登錄機構之保密性、客觀性或公正性。 G.2.1.22 提供顧問服務,係指以積極、創造性之態度,參與被稽核之 ISMS 之發展與維護,例如: (a) 準備或製作手冊、指南或程序。 (b) 參與管理系統事務之決定過程。 (c) 針對管理系統獲得最後驗證 /登錄之發展及實施提供特定之建議。 備考: G.2.1.22 所提之管理系統,包括該系統之所有層面,包括財務部分。 G.2.1.23 驗證 /登錄機構執行下列任務時,可不
29、被視為提供顧問服務或必然產生之利益衝突,但所有潛在利益衝突得依據 G 2.1.29 處理: (a) 驗證 /登錄,包括資訊會議、計畫會議、文件審查、稽核(非內部稽核或內部安全審查)及不符合項目複查。 (b) 以演講者之身分安排及參與訓練課程,前提是課程與品質保證、相關管理系統或稽核有關時,演講者得限於提供可為大眾公開之一般性資訊及建議,亦即不能針對公司提供特定建議,否則將違反 G.2.1.22( c)之要求。 (c) 當有人針對驗證 /登錄機構之評鑑標準請求詮釋時,提供或出版資訊。 (d) 在稽核前僅決定是否可進行評鑑之活動;但此類活動不宜提供違反G.2.1.22 要求之建議或勸告,而且驗證
30、/登錄機構得確認這些作業不會違反這些需求,亦不能作為縮減最終評鑑期之正當理由。 (e) 依認證範圍以外之其他標準或法規所執行之第二方及第三方稽核。 12 CNS 14731, X 6043 (f) 稽核及追查中產生之附加價值,例如:在稽核期間,適時指出可改善之處,但不能建議特定之解決方案。 G.2.1.24 相關團體之顧問服務與驗證 /登錄絕不得一起行銷,且不得於任何行銷文件或展示中,以書面或口頭之方式陳述,使人對該兩活動產生 有關聯之印象。驗證 /登錄機構有責任確保其客戶不會因使用該兩種服務(驗證 /登錄及顧問服務)而會對客戶帶來任何商業利益之印象,以使得驗證 /登錄作業維持公正。 G.2.
31、1.25 驗證 /登錄機構不得說明若採用特定之顧問或訓練服務,驗證 /登錄會較簡單、容易或較便宜地取得。 G.2.1.26 第 2.1.2( o)節所指之相關機構,係指以共同股權或董事、合約安排、共同名稱、非正式之瞭解或其他方式,與驗證 /登錄機構相關者,亦即該機構對稽核結果有既得利益或對稽核結果有潛在影響力者。 G.2.1.27 驗證 /登錄機構與此類相關機構之關係得予以分析並書面文件化,以決定其提供驗證 /登錄之服務是否有利益衝突之可能性,並指出這些相關機構及活動,若無適當之管制,可能會影響驗證 /登錄之機密性、客觀性或公正性。 G.2.1.28 驗證 /登錄機構應舉證其如何管理驗證 /登
32、錄業務及其他任何作業以減少實際的利益衝突,並將任何經識別危及公正性之風險降至最低。這種舉證應能涵蓋所有潛在利益衝突之來源,不論其是來自於驗證 /登錄機構之內部或相關機構之活動。認證機構會希望驗證 /登錄機構將此過程公開並列入稽核。在實際可行及合理的範圍內,可包括稽核時追溯稽核存底以審查驗證 /登錄機構及其相關機構活動之紀錄。在考慮這些稽核存底範圍時,得將驗證 /登錄機構其公正驗證 /登錄之歷史列入考量。如發現不能維持公正性之證據,則可能有需要擴增稽核存底回溯至相關機構,以確保對潛在利益衝突之管制已重新建立。 G.2.1.29 第 2.1 節及第 2.2.3 節之需求,是指提供顧問服務者,包括那
33、些管理階層,在過去兩年內,若曾參與任何與審查中組織(或任何與該組織相關之公司)有關的顧問活動,則不得受雇執行驗證 /登錄之稽核。如果有雇主涉及或曾涉及受稽核組織之情形,可能對參與驗證 /登錄過程之個人造成利益衝突。驗證 /登錄機構有責任指出並評估此種情況,指派相關權責及任務,以確保不會損及公正性。 G.2.1.30 第 2.1.2 節所述之資深管理階層、幕僚及 /或人員,並非一定要由全職人員擔任,但上述人員之其他職務不應影響驗證 /登錄機構之公正性。 G.2.1.31 驗證 /登錄機構得要求所有委辦機構或外部之稽核員,對相當於 G.2.1.24 及G.2.1.25 所規定之任何顧問服務提出保證
34、。 G.2.1.32 驗證 /登錄機構得負責確保其相關機構、委辦機構或外部之稽核員,不違反其所為之保證,若有違反之情事,驗證 /登錄機構得負責實行適當之矯正措施。 G.2.1.33 驗證 /登錄機構得與提供申請驗證 /登錄之組織之 ISMS 內部稽核的機構(包 13 CNS 14731, X 6043 括個人)保持獨立。 G.2.1.34 稽核員應於稽核過程中及 /或結束會議時,解釋稽核之發現及 /或澄清稽核標準要求,但不應提供規範性之建議或諮詢而作為稽核的一部分。 G.2.1.35 第 2.1.2( p)節所指之政策及程序得能確保所有爭議及抱怨皆以建設性及適時的態度方式處理。當這些程序運作之
35、結果無法被接受,或該程序無法為抱怨者或其他團體接受時,驗證 /登錄機構之程序應提供申訴流程。該申訴程序宜包括下列條款: (a) 提供申訴者正式提出申訴案件之機會。 (b) 提供個別之要件或其他方法確保申訴程序之公正性。 (c) 提供申訴者書面之申訴結果,包括作成決定之理由。 驗證 /登錄機構應確保所有利益團體均能儘量且適時瞭解申訴過程之存在及應遵循之程序。 2.1.3 委辦 當驗證 /登錄機構決定將驗證 /登錄之相關作業(例如稽核)委託外界機構或個人時,應簽訂適當之書面協議,包括保密、利益衝突等辦法。驗證 /登錄機構應: (a) 對委辦工作負起全部責任,並保有核發、維護、增列、減列、懸置或撤銷
36、驗證 /登錄之責任。 (b) 確保其委辦機構或個人有能力並符合本規範中之適用條款,且不得直接或透過其雇主參與 ISMS 或相關管理系統之設計、執行或維護,以免影響其公正性。 (c) 取得申請者或已驗證 /登錄組織之同意。 備考:當驗證 /登錄機構依據簽有協議之另一驗證 /登錄機構所提供服務來決定核發驗證 /登錄時,上述( a)及( b)項需求因延伸而相關。 IAF 指引 G.2.1.36 驗證 /登錄機構可以另一機構所執行之評鑑為基礎核發驗證 /登錄證書,如果其與執行稽核之委辦機構的協議符合之所有相關需求,特別是第 2.2 節之要求。委辦機構所執行之評鑑應與驗證 /登錄機構本身執行之稽核具有同
37、樣的信心。對該評鑑報告之評估及驗證 /登錄之決定應僅能由驗證 /登錄機構本身作業不應委由任一其他驗證 /登錄機構為之。當以聯合評鑑之方式作業時,每一驗證 /登錄機構本身應確保整個評鑑作業均由有資格之評鑑員 /稽核員執行。 G.2.1.37 當驗證 /登錄機構依據 G.2.1.36 之 IAF 指引核發證書時,應有確保委辦機構符合本文件所有相關條款之程序。 2.1.4 品質系統 14 CNS 14731, X 6043 2.1.4.1 驗證 /登錄機構負品質實責之管理階層,應明文訂定其機構之品質政策,包括品質目標及對品質之承諾。管理階層應確保此品質政策於組織中所有階層均瞭解、實施及維護。 2.1
38、.4.2 驗證 / 登錄機構應按本標準之有關要項,並適合其所執行工作之類型、範圍及工作量,運作其品質系統,此品質系統應予文件化並便於提供驗證 /登錄機構之工作人員使用。驗證 /登錄機構應確保文件化的品質系統之作業程序與指導書能有效執行。驗證 /登錄機構應指派一位能與最高管理階層直接接觸之人員,除原有職責外,應授權從事下列工作: (a) 確保品質系統係依照本標準建立、實施及維護。 (b) 將品質系統之運作績效向驗證 /登錄機構之管理階層提出報告,以供審查並作為改進品質系統之依據。 2.1.4.3 品質系統應於品質手冊及相關品質程序中予以文件化。品質手冊應包含或至少引用下列各項: (a) 品質政策
39、聲明。 (b) 關於驗證 /登錄機構法定地位之簡要說明,如屬可行包括所有者之姓名;且若由不同人員管理時,則實際管理者姓名亦應列入。 (c) 高級主管與其他能影響驗證 /登錄功能品質者之姓名、資格、經驗及職權。 (d) 組織圖,以顯示從高級主管由上而下之指揮系統、職責及功能分配,特別是顯示負責評鑑者與驗證 /登錄決定者之關係。 (e) 驗證 /登錄機構之組織說明,包括管理階層(委員會、小組或個人)如第 2.1.2( c)節所述、組織章程、職權及程序規則之細節。 (f) 辦理管理審查之政策與程序。 (g) 行政程序,包括文件管制。 (h) 與品質有關之作業及功能方面之責任及服務,如此可使所有相關人
40、員知悉每一位工作人員職責之範圍及限制。 (i) 驗證 /登錄機構人員(包括稽核員)的招募、訓練及績效監督之政策及程序。 (j) 委辦者名單和對委辦者能力之評鑑、記錄及監督之細部程序。 (k) 處理不符合項目及保證任何矯正措施有效實施之程序。 (l) 實作驗證 /登錄過程之政策及程序,包括: (1) 驗證 /登錄文件發行、保留及撤銷之條件。 (2) ISMS 驗證 /登錄文件使用及應用之檢查。 (3) 對受評組織 ISMS 進行評鑑及驗證 /登錄之程序。 (4) 對已驗證 /登錄組織追查及再評鑑之程序。 (m) 處理申訴、抱怨及爭議之政策與程序。 (n) 按 CNS 13351-1 所列條款,執
41、行內部稽核之程序。 15 CNS 14731, X 6043 IAF 指引 G.2.1.38 第 2.1.4.3 (e) 節所要求之敘述得指出委員會或董事會各成員所代表之團體。 2.1.5 核發、維護、增列、減列、懸置及撤銷驗證 /登錄之條件 2.1.5.1 驗證 /登錄機構應訂定核發、 維護、增列及減列驗證 /登錄之條件,以及懸置或撤銷組織部分或全部驗證 /登錄範圍之條件。特別是驗證 /登錄機構應要求組織,於有意變更 ISMS 或將作其他足以影響符合性之變更時,迅速通知驗證 /登錄機構。 2.1.5.2 驗證 /登錄機構應要求組織建立文件化之 ISMS,並符合 ISMS 標準或其他規範性文件
42、。 2.1.5.3 驗證 /登錄機構應有程序以處理: (a) 核發、維護、撤銷及必要時懸置驗證 /登錄。 (b) 增列或減列驗證 /登錄範圍。 (c) 當有顯著影響組織活動與運作之變更(如所有權變更、人員或設備變更),或當分析一項抱怨或任何其他資訊顯示已驗證 /登錄組織不再符合驗證 /登錄機構之要求時,應辦理再評鑑。 2.1.5.4 驗證 /登錄機構應有下列書面程序,以供備索: (a) 依 CNS 13351-1 及其他相關文件之條款,對組織之 ISMS 作初次評鑑。 (b) 依 CNS 13351-1 對組織之 ISMS 作定期追查及再評鑑,使能持續符合相關要求,並查證及記錄組織對所有不符合
43、所採取之及時矯正措施。 (c) 當組織因驗證 /登錄資料之不當或誤導引用驗證 /登錄資訊時,鑑定並記錄其不符合與及時採取矯正措施之需求。 IAF 指引 G.2.1.39 第 2.1.5 節並未提及組織 ISMS 至少應辦理執行一次完整的內部稽核及一次管理審查之特定期限,驗證 /登錄機構可自訂期限。不論驗證 /登錄機構是否已選定了最低頻率,皆應有一套辦法以確保組織之管理審查及內部稽核之有效性。 G.2.1.40 直到有充分證據證明管理審查及內部稽核已被執行,且為有效並能持續維護時,始得授與驗證 /登錄。 2.1.6 內部稽核及管理審查 2.1.6.1 驗證 /登錄機構應依計畫且有系統地辦理涵蓋所
44、有程序之定期內部稽核,以查證品質系統已執行且有效。驗證 /登錄機構應確保: (a) 將稽核結果通知被稽核單位之負責人。 (b) 及時且適當地採取矯正措施。 16 CNS 14731, X 6043 (c) 將稽核結果予以記錄。 2.1.6.2 驗證 /登錄機構負實責之管理階層應在所設定適當之期間內審查其品質系統,以確保其符合本指引之要求,及既定之品質政策與目標持續的適合與有效。審查紀錄應予以維護。 IAF 指引 G.2.1.41 第 2.1.6 節並未提及驗證 /登錄機構品質系統至少得執行一次完整的內部稽核及一次管理審查之特定期限。完整的內部稽核,及隨後之管理審查每年至少得執行一次。認證機構可
45、根據內部稽核及管理審查之結果,視其符合要求之程度以及送交認證機構之報告,指定較短之期限。 G.2.1.42 內部稽核及管理審查紀錄於認證機構提出要求時得隨時提供查閱。 2.1.7 文件化 2.1.7.1 驗證 /登錄機構應定期將下列資訊文件化且定期更新,以供備索(經由出版、電子媒體或其他方式): (a) 驗證 /登錄機構運作依據之資訊。 (b) 驗證 /登錄系統之書面說明,包括核發、維護、增列、減列、懸置及撤銷驗證 /登錄之規定與程序。 (c) 驗證 /登錄過程與評鑑之資訊。 (d) 驗證 /登錄機構獲得財務支援方式之說明,以及有關申請者與已驗證 /登錄組織付費之一般資訊。 (e) 申請者及已
46、驗證 /登錄組織其權利與義務之說明,包括驗證 /登錄機構標誌之使用及引用所核發驗證 /登錄的方式之要求、約束及限制。 (f) 處理抱怨、申訴及爭議程序之資訊。 (g) 已驗證 /登錄組織之名錄,包括地點及對每一核發的驗證 /登錄範圍之說明。 2.1.7.2 驗證 /登錄機構應建立並維持所需程序,以管制其驗證 /登錄功能有關之所有文件及資料。該等文件在制定後頒布前或修改、變更後,均須由被授權之有能力人員對其適切性加以審查及批准,始可發出使用。應維持所有適用文件之清單,註明個別之發行版本及 /或修訂狀況。該等文件之分發應予以管制,以確保驗證 /登錄機構人員或組織當其被要求執行與申請者及已驗證 /登
47、錄組織之任何職能有關之活動時,均可獲得所需文件。 IAF 指引 G.2.1.43 第 2.1.7.1( d)節所指機構獲得財務支援方式的說明得足以展現該機構是否可保持公正性。 17 CNS 14731, X 6043 2.1.8 紀錄 2.1.8.1 驗證 /登錄機構應維持適合其特定情況且符合現行法規之紀錄系統。紀錄應顯示驗證 /登錄程序均已有效地實施,特別是關於申請表單、評鑑報告及其他有關驗證 /登錄之核發、維護、增列、減列、懸置或撤銷之文件。紀錄應予識別、管理及處置,以確保驗證 /登錄過程之完整及資訊之保密。紀錄應保存一段時間,使至少在一個完整驗證 /登錄週期或法定期限內,以展示其持續之公
48、信力。 2.1.8.2 驗證 /登錄機構對保管紀錄應訂有政策和程序,其保存期限應符合合約、法律或其他義務之規定。驗證 /登錄機構應按第 2.1.9 節規定,訂定關於使用該等紀錄之政策與程序。 2.1.9 機密性 2.1.9.1 驗證 / 登錄機構應依適用之法律作適當安排,以確保組織內所有階層,包括委員會及外部機構或代表組織之個人,於驗證 /登錄活動中所取得之資訊,予以保密。 2.1.9.2 除本指引之規定外,有關某特定產品或某受評組織之資訊,在未取得該組織之書面同意前,不得洩漏給第三者。惟法律若規定需提供資訊給第三者時,則應告知該組織法律所允許提供之資訊。 IAF 指引 G.2.1.44 機密
49、性之需求,包括可能取得驗證 /登錄機構宜保密之資訊的人員,委辦人員應保持所有此類資訊之機密性,特別是對其同事或其他雇主。 G.2.1.45 第 2.1.9.2 節所指之書面同意,僅適用於機密之資訊。 2.2 驗證 /登錄機構人員 2.2.1 概述 2.2.1.1 驗證 /登錄機構參與驗證 /登錄作業之人員,應具備勝任工作之能力。 2.2.1.2 參與驗證 /登錄過程之每一成員其相關資格、訓練及經驗之資訊,應由驗證 /登錄機構維護。訓練及經驗之紀錄應隨時更新。 2.2.1.3 需備妥明確的人員職位說明書,說明每人之職掌及責任。該說明書應隨時更新。 IAF 指引 G.2.2.1 第 2.1.2( j)節係指對於取得認證範圍之全部(或其執行之部分),驗證 /登錄機構應使用在其自有控制下之資源,執行符合 CNS 13351 要求及適用個別行業計畫之評鑑作業。 G.2.2.2 所謂在其自有控制下之資源可包括驗證 /登錄機構有合約關係之個別評鑑員 /稽核員或其他外在資源。驗證 /登錄機構應居管理、管制之地位,並負責所有資源之績效,且對特別領域人員之適任性維護詳盡之紀錄,不論他們 18
