CNAS-EC-027-2009 信息安全管理体系认证机构的认可说明

认可说明编号：CNAS-EC-027:2009第1页共16页发布日期:2009年02月15日实施日期:2009年02月15日信息安全管理体系认证机构的认可说明1目的和适用范围1.1为确保CNAS对GB/T22080—2008（ISO/IEC27001:2005,IDT）信息安全管理体系（以下称为“ISMS”）认证机构实施评审和认可的一致性，指导申请和获得认可的ISMS认证机构理解和实施认可规范要求，特制定本文件。1.2本文件是对ISMS认证机构认可规范的补充和必要说明，适用于CNAS对ISMS认证机构的认可试点。CNAS将根据认可试点的经验进一步完善本文件，适时将其转化为相应认可规范。本文件R部分是对相关认可规则的补充和进一步说明。本文件G部分是对相关认可准则的应用指南。2术语和定义GB/T19000－2008和GB/T27000－2006中的术语和定义以及下列术语和定义适用于本文件。2.1技术领域按照信息安全要求、信息技术、信息安全技术和（或）信息安全管理知识、方法、工具在行业、组织和（或）业务活动中的应用特点而划分的范围2.2ISMS专业审核员能够独立实施涉及特定技术领域的ISMS审核活动的审核员2.3ISMS技术专家针对特定技术领域的信息安全要求、信息技术、信息安全技术和（或）信息安全管理知识、方法、工具等为ISMS认证活动提供支持的技术专家3ISMS认证机构认可规范3.1CNAS-RC01:2006《认证机构认可规则》规定了ISMS认证机构认可活动的基本程序规则。CNAS-CC01:2007《管理体系认证机构要求》是ISMS认证机构的基本认可准则。CNAS-CC17:2009《信息安全管理体系认证机构要求》是ISMS认证机构的专用认可准则。3.2其他适用的认可规则包括：a)CNAS-R01:2006《认可标识和认可状态声明管理规则》（2007年第1次修订）；认可说明编号：CNAS-EC-027:2009第2页共16页发布日期:2009年02月15日实施日期:2009年02月15日b)CNAS-R02:2006《公正性和保密规则》；c)CNAS-R03:2008《申诉、投诉和争议处理规则》；d)CNAS-RC02:2006《认证机构认可资格的暂停与撤销规则》；e)CNAS-RC03:2006《认证机构信息通报规则》；f)CNAS-RC04:2008《认证机构认可收费管理规则》；g)CNAS-RC05:2006《多场所认证机构认可规则》；h)CNAS-RC07:2007《具有境外关键场所的认证机构认可规则》。3.3其他适用的认可准则包括：a)CNAS-CC11:2008《基于抽样的多场所认证》；b)CNAS-CC12:2008《已认可的管理体系认证的转换》；c)CNAS-CC14:2008《计算机辅助审核技术在获得认可的管理体系认证中的使用》。认可说明编号：CNAS-EC-027:2009第3页共16页发布日期:2009年02月15日实施日期:2009年02月15日R部分R.1认可申请申请认可的ISMS认证机构（以下称为“申请方”）应具备CNAS-RC01条款5.1.1规定的基本条件以及下列条件：a)ISMS认证活动已被国家认监委批准；b)基本运作符合CNAS-CC01。申请方应提供CNAS-RC01:2006条款5.1.2规定的申请文件以及下列文件和信息：a)ISMS认证活动国家认监委批准文件复印件；b)已审核过的组织（对应到附录一中的相应中类）；c)自申请时间起6个月内计划实施的审核（对应到附录一中的相应中类）；d)需要时CNAS要求的其他信息。R.2初次认可的见证评审CNAS结合申请方ISMS认证活动的范围、规模和风险水平确定初次认可的见证评审安排，通常情况下进行不少于两次见证评审。注：认可试点期间，如果初次认可中仅实施一次见证评审，CNAS将在申请方获得认可后，结合其ISMS认证活动发展情况，至少补充一次见证评审。R.3认证业务范围的认可R.3.1认证业务范围的分类与分级CNAS对ISMS认证机构认证业务范围的认可采用本文件附录一的分类方法：分为“政务”、“公共”、“商务”、“产品的生产”四个大类，每个大类包含若干中类，每个中类被赋予“I”、“II”或“III”（由高至低）的风险级别。本文件附录一对以上分类和分级做了进一步说明。R.3.2认证业务范围的认可程序ISMS认证机构申请认证业务范围认可应符合CNAS认可规范的相关要求。通常情况下，在申请认可的认证业务范围内，认证机构的能力分析和评价系统应能够有效地识别和配备开展相关ISMS认证活动所需的能力。R.3.2.1评审认证业务范围的评审方法包括档案和记录审查、见证评审、与有关人员面谈、对获证组织的实地访问等。评审的内容主要包括：a)按申请认可的大类确认认证机构能力分析和评价系统的完整性、符合性和总体运行情况；b)在申请认可的每个大类中选取一定数量的中类，按中类从认证活动管理和实认可说明编号：CNAS-EC-027:2009第4页共16页发布日期:2009年02月15日实施日期:2009年02月15日施的各个环节验证认证机构能力分析和评价系统运行的有效性。通常情况下，I级风险的中类必选，并需要实施见证评审；II级和III级风险的中类采用适当的抽样方法选取，必要时进行见证评审；c)基于以上评审活动的结果，评价认证机构能力分析和评价系统整体运行的有效性。R.3.2.2认可通常情况下，如果CNAS经过认证业务范围的评审，认为认证机构的能力分析和评价系统运行基本有效，能够在某一大类中识别和配备认可活动所需的能力，则认可该大类。CNAS对某一大类的认可，仅表明CNAS基于评审认为，认证机构在该大类中开展认证活动时，能够运用能力分析和评价系统有效地识别和配备所需的能力，并不意味着认证机构已经具备了对该大类中所有组织实施认证的能力，更不代表认证机构在该大类中的每次审核都一定有效。因此，认证机构应充分发挥能力分析和评价系统的作用，在该大类中按照技术领域和认证活动的职能来自我评价并配备实施认证活动所需的能力（见G.1.2），尤其要确保为每次审核配备的审核组具备实施有效审核所需的全部能力（见G.1.3b））。对于该大类中的每个特定组织，认证机构应在确认具备对该组织实施审核和认证所需的能力（特别是相应技术领域的能力）后，才实施认证活动和颁发带有CNAS认可标识的认证证书（不包括I级风险的中类）。对于I级风险的中类，通常情况下，认证机构应在CNAS实施见证评审并确认符合认可规范要求后，才可以在认证证书上施加CNAS认可标识。CNAS将在后续监督中对认证机构在该大类下自我评价和配备认证能力的情况进行评审（包括对II级或III级风险的中类实施必要的见证评审），并依据相关认可规范对发现的不符合进行处理（包括依据CNAS-RC02暂停或撤销部分或全部认可范围）。R.4其他R.4.1获得CNAS认可的ISMS认证机构不能使用IAF-MLA/CNAS联合标识。R.4.2CNAS-RC03条款4.1.2中“获得认证的组织或产品发生重大事故”是指获得ISMS认证的组织发生具有下列影响的信息安全破坏：a)已经或可能严重损害国家安全、社会秩序、公共利益或获证组织及其相关方的合法权益；或者b)可能损害颁证机构或CNAS的公信力、声誉，或使颁证机构或CNAS承担连带责任。发生上述情况时，颁证机构应及时采取相应措施并向CNAS通报相关情况。认可说明编号：CNAS-EC-027:2009第5页共16页发布日期:2009年02月15日实施日期:2009年02月15日G部分G.1ISMS认证机构的人员能力G.1.1技术领域CNAS-CC01条款7.1.1要求ISMS认证机构确定与ISMS认证相关的每个技术领域所需的能力。因此，认证机构首先需要识别和确定与ISMS认证相关的技术领域。识别和确定技术领域宜考虑行业、组织或业务活动特定的过程、产品（包括服务）、信息安全要求、信息技术、信息安全技术以及信息安全管理知识、方法、工具。认证机构宜理解技术领域和认证业务范围的区别：认证业务范围分类的主要目的是规范认可的实施与管理、控制认可风险，而确定技术领域是为了使认证机构能够充分、有效地分析和评价开展ISMS认证所需的能力；两者所考虑的因素（认证业务范围分类的考虑因素见附录一）也有很大区别，所以不能认为认证业务范围分类就是技术领域。实际情况有可能是认证业务范围的一个中类涉及若干特定技术领域，或者一个技术领域涉及多个中类。因此，认证机构宜结合本机构ISMS认证活动的特点和能力分析与评价的需要来识别和确定技术领域。如果认证机构参考认证业务范围分类来确定技术领域，宜按照技术领域的定义（见2.1）重新予以调整，以确保能力分析与评价的充分性和有效性。G.1.2能力分析和评价系统ISMS认证机构宜按照认可规范要求建立能力分析和评价系统。该系统宜覆盖ISMS认证活动涉及的所有人员（包括直接实施审核与认证活动的人员、支持性人员、管理层、各委员会成员以及行政人员），并至少包含下列过程：a)根据本机构特点和需要，分析和识别与ISMS认证相关的技术领域和ISMS认证活动的职能（例如申请评审、配备审核组、实施审核、认证决定等）；b)确定每个技术领域和每项职能所需的能力（即能力要求）及能力评价方法；注：某项职能所需的能力包括当该职能涉及某个技术领域时，有效履行职能所需的该技术领域的相关能力，例如对某一客户组织进行申请评审所需的技术能力。c)依据能力要求，使用能力评价方法，评价和证实有关人员是否具备所需的能力；d)使用经证实具备能力的人员履行相应的职能，或为相应技术领域提供支持；e)对所使用人员的表现及能力保持与发展情况进行持续的监控；f)当通过评价、监控等发现有关人员的实际能力与能力要求存在差距时，通过提供培训、指导、实践机会、技术专家等，确保能力要求得到满足；g)评审和改进技术领域划分、能力要求、评价方法等的充分性和适宜性。h)维护公正性的委员会对认证业务范围发展的意见。认可说明编号：CNAS-EC-027:2009第6页共16页发布日期:2009年02月15日实施日期:2009年02月15日认证机构宜记录能力评价的证据、发现和结论，以证实评价过程的完整性、可信性和充分性。G.1.3ISMS审核员能力本文件附录二参考GB/T19011－2003的相关指南和认可规范相关要求，通过列举ISMS审核员能力的基本方面，为ISMS认证机构确定审核员能力要求的具体内容提供了一个指导性框架。附录二不一定覆盖对某一客户组织实施有效审核所需的能力的所有方面，同时在很多方面并未描述ISMS审核员能力的具体内容。ISMS认证机构宜按照认可规范要求，运用能力分析和评价系统，参考附录二确定：a)ISMS审核员基本能力要求的具体内容；b)每次审核的审核组能力要求的具体内容，即通过分析拟审核组织的结构、业务过程、信息安全要求、信息系统、ISMS的规模和复杂程度、信息安全风险、适用性声明等，确定对该组织实施有效审核所需的全部能力。ISMS审核员能力的评价方法可以包括（但不限于）：记录评价、考试、面谈、模拟演练（角色扮演）、审核活动的见证等。G.1.4ISMS审核员和ISMS技术专家的资格条件ISMS审核员和ISMS技术专家宜满足教育、经历、培训等方面适用的资格条件。教育、经历、培训是获取能力的可能途径，但满足资格条件并不代表相关人员一定具备所需的能力，认证机构还宜按照能力分析和评价系统的规定评价和证实该人员具备所需的能力。资格条件的审查不能代替能力的评价和证实。G.1.4.1ISMS审核员资格条件a)教育：1)ISMS相应专业本科学历（或同等学力），包括：计算机科学技术，电子、通信和自动控制技术，数学，物理；或2)ISMS相关专业本科学历（或同等学力），包括：G.1.4.1a）1）以外的其他理工学科，管理。b)工作经历：1)满足G.1.4.1a）1）时，至少4年信息技术方面全职实际工作经历，其中至少2年的工作经历来自与信息安全有关的职责或职能；或2)满足G.1.4.1a）