1.2本文件是對管理體系認(rèn)證機(jī)構(gòu)認(rèn)可規(guī)范的補(bǔ)充和必要說明，適用于CNAS對ISMS認(rèn)證機(jī)構(gòu)的認(rèn)可。本文件R部分和C部分分別是對相關(guān)認(rèn)可規(guī)則和認(rèn)可準(zhǔn)則的補(bǔ)充和說明。本文件G部分是對相關(guān)認(rèn)可準(zhǔn)則的應(yīng)用指南。下列文件中的條款通過本文件的引用而成為本文件的條款。以下引用的文件，注明日期的，僅引用的版本適用；未注明日期的，引用文件的最新版本(包括任何修訂)適用。CNAS-RCO1《認(rèn)證機(jī)構(gòu)認(rèn)可規(guī)則》CNAS-CCO1《管理體系認(rèn)證機(jī)構(gòu)要求》CNAS-CC17《信息安全管理體系認(rèn)證機(jī)構(gòu)要求》CNAS-CC11《基于抽樣的多場所認(rèn)證》CNAS-CC12《已認(rèn)可的管理體系認(rèn)證的轉(zhuǎn)換》GB/T19000-2008和GB/T27000-2006中的術(shù)語和定義以及下列術(shù)語和定義適用于本文件。生產(chǎn)”四個大類，每個大類包含若干中類，每個中類被賦予“一”、“二”或“三”級別(認(rèn)可風(fēng)險水平由高至低)。附錄一介紹了認(rèn)證業(yè)務(wù)范圍分類與分級的相關(guān)考慮。3.3技術(shù)領(lǐng)域：以ISMS相關(guān)過程的共性為特征的領(lǐng)域注：對于ISMS,技術(shù)領(lǐng)域與信息安全控制措施所涉及的信息安全技術(shù)、信息技術(shù)及編號：CNAS-EC-027:20104ISMS認(rèn)證機(jī)構(gòu)認(rèn)可規(guī)范的構(gòu)成R.1認(rèn)可申請）；編號：CNAS-EC-027:2010R.2預(yù)訪問R.3初次認(rèn)可的見證評審R.4認(rèn)證業(yè)務(wù)范圍的認(rèn)可b)根據(jù)該大類和相關(guān)中類的能力需求分析，以適宜、有效的）；和評價系統(tǒng)能夠保證充分地識別和配備該大類認(rèn)證證活動都有效，也不意味著CNAS批準(zhǔn)認(rèn)證機(jī)構(gòu)理體系認(rèn)證安全管理的通知》的要求以及有關(guān)主管部門/監(jiān)管部編號：CNAS-EC-027:2010R.5其他C.1認(rèn)證協(xié)議（CNAS-CC01條款5.1.2）C.2風(fēng)險評估和責(zé)任安排（CNAS-CC01條款5.3.1）認(rèn)證機(jī)構(gòu)應(yīng)對其審核和認(rèn)證活動可能給客戶組織的信C.3ISMS審核員在教育、工作經(jīng)歷、審核員培訓(xùn)和審核經(jīng)歷方面的必備條件（CNAS-CC17條款7.2.1.3）編號：CNAS-EC-027:2010C.4ISMS認(rèn)證證書（CNAS-CC01條款8.2.3、CNAS-CC17條款I(lǐng)S8.2）C.5保密（CNAS-CC01條款8.5、CNAS-CC17條款I(lǐng)S8.5）如果認(rèn)證機(jī)構(gòu)因為未獲得組織的允許或無法滿足C.5.4審核組成員不宜在審核過程中以任何方式記錄受審核組C.6ISMS的變化（CNAS-CC01條款8.6.3）編號：CNAS-EC-027:2010C.7已認(rèn)可的ISMS認(rèn)證的轉(zhuǎn)換（CNAS-CC01條款9.1.1）C.8認(rèn)證申請（CNAS-CC01條款9.2.1）C.8.1認(rèn)證機(jī)構(gòu)應(yīng)確保客戶組織符合全管理體系認(rèn)證安全管理的通知》的要求以及有關(guān)主管部門C.8.2認(rèn)證機(jī)構(gòu)宜要求客戶組織向其說明適用的關(guān)于認(rèn)證機(jī)構(gòu)C.9第一階段審核（CNAS-CC01條款9.2.3.1）C.10認(rèn)證機(jī)構(gòu)的信息安全管理體系（CNAS-CC01條款10.3、CANS-CC17G.1ISMS認(rèn)證機(jī)構(gòu)能力分析和評價系統(tǒng)指南 編號：CNAS-EC-027:2010列舉了承擔(dān)申請評審、認(rèn)證決定、審核和領(lǐng)b)應(yīng)用知識/技能所要實現(xiàn)的結(jié)果。它與人員所承擔(dān)的職能有關(guān)審核員需要考慮受審核組織的整體信息安全風(fēng)險++++++++——對審核員和審核組長的審核原則、實務(wù)和技巧知識、ISMS標(biāo)準(zhǔn)知識以及技G.1.1.1.2認(rèn)證機(jī)構(gòu)宜在能力要求中進(jìn)一步定義表G.1中每承擔(dān)同種職能的人員在不同的認(rèn)證活動風(fēng)險和復(fù)雜性水平下需要具有的知識/技能水編號：CNAS-EC-027:2010信息安全技術(shù)和信息技術(shù)在組織業(yè)務(wù)活動中的應(yīng)用特點。技術(shù)領(lǐng)域的一種劃分方法G.1.1.2.2通用信息安全技術(shù)領(lǐng)域和G.1.1.2.2.1通用信息安全技術(shù)領(lǐng)域和通用信息技術(shù)領(lǐng)域是考慮G.1.1.2.2.2認(rèn)證機(jī)構(gòu)宜確定通用信息安全技術(shù)領(lǐng)域和通用信息G.1.1.2.3業(yè)務(wù)應(yīng)用技術(shù)領(lǐng)域編號：CNAS-EC-027:2010G.1.1.2.3.2附錄一的認(rèn)證業(yè)務(wù)范圍分類為認(rèn)證機(jī)構(gòu)確定業(yè)務(wù)應(yīng)****a)認(rèn)證業(yè)務(wù)范圍專業(yè)能力需求分析：認(rèn)證機(jī)構(gòu)對b)技術(shù)領(lǐng)域的分類和專業(yè)能力要求的確定和調(diào)整：認(rèn)證機(jī)構(gòu)所有認(rèn)證業(yè)務(wù)范圍大類和中類分析出的知識進(jìn)行歸納認(rèn)證人員的專業(yè)能力要求，必要時編制特定技術(shù)領(lǐng)域證業(yè)務(wù)范圍類別增加時，或者當(dāng)特定客戶組織的專業(yè)c)特定客戶組織專業(yè)能力需求分析：在情況和本機(jī)構(gòu)技術(shù)領(lǐng)域的分類與專業(yè)能力要求，分析和核和認(rèn)證所涉及的技術(shù)領(lǐng)域類別以及相應(yīng)的專業(yè)能力，證人員以及改進(jìn)技術(shù)領(lǐng)域分類和專業(yè)能力要求提供輸入d)能力評價：在認(rèn)證活動管理和實施的依據(jù)專業(yè)能力要求，對擬使用的人員實施能時，通過適當(dāng)方式（例如培訓(xùn)）提升其能力，f)選擇和使用對特定客戶組織實施審核和(1)(1)認(rèn)證業(yè)務(wù)范圍能力需求分析認(rèn)證業(yè)務(wù)范圍專業(yè)能力需求來自審核的相關(guān)反饋(4)(2)來自審核的相關(guān)反饋(4)技術(shù)領(lǐng)域的分類和專業(yè)能力要求的確定和調(diào)整人員能力評價審核指導(dǎo)文件技術(shù)領(lǐng)域分類和專業(yè)能力要求(3)能力提升和補(bǔ)充否具備能力？特定客戶組人員能力評價審核指導(dǎo)文件技術(shù)領(lǐng)域分類和專業(yè)能力要求(3)能力提升和補(bǔ)充否具備能力？特定客戶組織具體情況特定客戶組織專業(yè)能力需求分析是可用的可用的人力資源及的技術(shù)領(lǐng)域類別和專業(yè)能力過程(6)輸入或輸出判定(7)過程(6)輸入或輸出判定(7)選擇和使用對特定客戶組織實施審核和認(rèn)證的人員能力的持續(xù)監(jiān)視認(rèn)證業(yè)務(wù)范圍專業(yè)能力需求分析是為了初步識別實施b)基于典型的業(yè)務(wù)流程和信息處理流程，分析典型資產(chǎn)（包絡(luò)、業(yè)務(wù)系統(tǒng)、人員和數(shù)據(jù)資料等）和典型信息安全風(fēng)f)基于典型信息安全風(fēng)險和典型信息資產(chǎn)典型信息處理流程業(yè)務(wù)活動要求信息技術(shù)的典型應(yīng)用(1)典型信息處理流程業(yè)務(wù)活動要求信息技術(shù)的典型應(yīng)用(1)(4)典型業(yè)務(wù)流程典型資產(chǎn)典型信息安全要求(2)(6)合同/相關(guān)方要求典型信息安全風(fēng)險(7)典型控制措施(5)(4)典型業(yè)務(wù)流程典型資產(chǎn)典型信息安全要求(2)(6)合同/相關(guān)方要求典型信息安全風(fēng)險(7)典型控制措施法規(guī)要求典型信息資產(chǎn)的典型信息安全特性信息安全技術(shù)的典型應(yīng)用G.1.3.2.1認(rèn)證機(jī)構(gòu)在對特定客戶組織實施申請評審時，宜根據(jù)該組織的具體情況G.1.3.2.2由于技術(shù)領(lǐng)域的分類和專業(yè)能力要求主要在認(rèn)證業(yè)務(wù)范圍能力需求分析G.1.3.2.3特定客戶組織的能力需求分析由申請評審人員實施。由于申請評審人員G.1.4.1能力評價是獲取被評價人能力的證據(jù)，并將能力的證據(jù)G.1.4.2能力的證據(jù)宜與能力要求的內(nèi)容相關(guān)，并且能夠為評價b)評價的目的，例如：初次聘用、持續(xù)監(jiān)視、擴(kuò)大能力范圍a)記錄審查：對被評價人的教育、工作、培訓(xùn)、獲取其知識和技能的證據(jù)，獲得對其能力的基本了4)不宜直接根據(jù)被評價人的學(xué)歷、工作年限、培訓(xùn)時b)意見反饋：通過被評價人的工作單位、同事或客戶組織等解被評價人員的知識、技能、表現(xiàn)等情況。意見反饋c)面談：面談有助于詳細(xì)了解被評價人通、人際管理方面的技能。依據(jù)能力要求對被評價人-人員招聘時進(jìn)行面談，以從人員的簡歷和過去的-在見證或?qū)徍藞蟾娴膹?fù)核中與審核組成員進(jìn)行面d)考試：包括筆試、口試和實際操作考文件化證據(jù)。對于人員的技能也可通過適宜的筆試方法獲人員的知識提供良好的證據(jù)，但在人員技能的評價上作用G.2ISMS審核范圍和認(rèn)證范圍界定指南b)ISO/IEC27003:2010《信息技術(shù)-安全技術(shù)-信息安全管理a)客戶組織根據(jù)其業(yè)務(wù)、組織、技術(shù)、物理和資接口已得到說明，并已包括在客戶組織的信息安全風(fēng)G.2.1.2認(rèn)證機(jī)構(gòu)審核組宜針對所有適用的認(rèn)證要求，對包含在 業(yè)務(wù)范圍和邊界主要包括關(guān)鍵業(yè)務(wù)及業(yè)務(wù)特性描述（業(yè)務(wù)、之外的業(yè)務(wù)流程共用的資產(chǎn)和技術(shù)，要識別其可能產(chǎn)生的風(fēng)險及相應(yīng)的織申請認(rèn)證的業(yè)務(wù)范圍是軟件開發(fā)，則覆蓋的組織范層組織高層的發(fā)起人來作為信息安全利益的代表職能部門共用的資產(chǎn)與技術(shù)，要識別其可能產(chǎn)生的風(fēng)險基于以上考慮，在界定組織的邊界時，宜識別ISMS所影a)結(jié)合職能部門或過程的物理位置以及組織對其認(rèn)證機(jī)構(gòu)在確定客戶組織審核范圍時宜考慮其臨時場所和臨時場所一般宜到現(xiàn)場進(jìn)行審核，但如能同時滿足以下b)客戶組織已對臨時現(xiàn)場風(fēng)險進(jìn)行評估并且該殘余風(fēng)險是可a)資產(chǎn)范圍宜包括軟件資產(chǎn)、硬件資產(chǎn)、數(shù)據(jù)資組織信息系統(tǒng)可能跨越組織邊界甚至國界，在這G.3ISMS審核時間確定指南附錄一ISMS認(rèn)證機(jī)構(gòu)認(rèn)證業(yè)務(wù)范圍分類與分級一一一二一一二二二三三理、燃?xì)馍a(chǎn)和供應(yīng)、熱力生產(chǎn)和供應(yīng)、城市水陸交通設(shè)施的維護(hù)管理等）一一一三三三一一一一一一二二二二二三三編號：CNAS-EC-027:2010編號：CNAS-EC-027:2010通用信息安全技術(shù)領(lǐng)域和通用信息技術(shù)領(lǐng)域——參考分類、知識點及應(yīng)用風(fēng)險評估報告的內(nèi)容（重要資產(chǎn)、主要脆弱性和威脅、主要風(fēng)險的分析編號：CNAS-EC-027:2010編號：CNAS-EC-027:2010