編號：CNAS-EC-027:20102規范性引用文件3術語和定義注：對于ISMS，技術領域與信息安全控制措施所涉及的信息安全技術、信息技術及編號：CNAS-EC-027:20104ISMS認證機構認可規范的構成R.1認可申請）；編號：CNAS-EC-027:2010R.2預訪問R.3初次認可的見證評審R.4認證業務范圍的認可b)根據該大類和相關中類的能力需求分析，以適宜、有效的）；和評價系統能夠保證充分地識別和配備該大類認證證活動都有效，也不意味著CNAS批準認證機構理體系認證安全管理的通知》的要求以及有關主管部門/監管部編號：CNAS-EC-027:2010R.5其他C.1認證協議（CNAS-CC01條款5.1.2）C.2風險評估和責任安排（CNAS-CC01條款5.3.1）認證機構應對其審核和認證活動可能給客戶組織的信C.3ISMS審核員在教育、工作經歷、審核員培訓和審核經歷方面的必備條件（CNAS-CC17條款7.2.1.3）編號：CNAS-EC-027:2010C.4ISMS認證證書（CNAS-CC01條款8.2.3、CNAS-CC17條款IS8.2）C.5保密（CNAS-CC01條款8.5、CNAS-CC17條款IS8.5）如果認證機構因為未獲得組織的允許或無法滿足C.5.4審核組成員不宜在審核過程中以任何方式記錄受審核組C.6ISMS的變化（CNAS-CC01條款8.6.3）編號：CNAS-EC-027:2010C.7已認可的ISMS認證的轉換（CNAS-CC01條款9.1.1）C.8認證申請（CNAS-CC01條款9.2.1）C.8.1認證機構應確?？蛻艚M織符合全管理體系認證安全管理的通知》的要求以及有關主管部門C.8.2認證機構宜要求客戶組織向其說明適用的關于認證機構C.9第一階段審核（CNAS-CC01條款9.2.3.1）C.10認證機構的信息安全管理體系（CNAS-CC01條款10.3、CANS-CC17G.1ISMS認證機構能力分析和評價系統指南 編號：CNAS-EC-027:2010列舉了承擔申請評審、認證決定、審核和領b)應用知識/技能所要實現的結果。它與人員所承擔的職能有關審核員需要考慮受審核組織的整體信息安全風險√√√√√√√√√√√√√√√√√√√——對審核員和審核組長的審核原則、實務和技巧知識、ISMS標準知識以及技G.1.1.1.2認證機構宜在能力要求中進一步定義表G.1中每類承擔同種職能的人員在不同的認證活動風險和復雜性水平下需要具有的知識/技能水編號：CNAS-EC-027:2010信息安全技術和信息技術在組織業務活動中的應用特點。技術領域的一種劃分方法G.1.1.2.2通用信息安全技術領域和G.1.1.2.2.1通用信息安全技術領域和通用信息技術領域是考慮G.1.1.2.2.2認證機構宜確定通用信息安全技術領域和通用信息G.1.1.2.3業務應用技術領域編號：CNAS-EC-027:2010G.1.1.2.3.2附錄一的認證業務范圍分類為認證機構確定業務應****a)認證業務范圍專業能力需求分析：認證機構對b)技術領域的分類和專業能力要求的確定和調整：認證機構所有認證業務范圍大類和中類分析出的知識進行歸納認證人員的專業能力要求，必要時編制特定技術領域證業務范圍類別增加時，或者當特定客戶組織的專業c)特定客戶組織專業能力需求分析：在情況和本機構技術領域的分類與專業能力要求，分析和核和認證所涉及的技術領域類別以及相應的專業能力，證人員以及改進技術領域分類和專業能力要求提供輸入d)能力評價：在認證活動管理和實施的依據專業能力要求，對擬使用的人員實施能時，通過適當方式（例如培訓）提升其能力，f)選擇和使用對特定客戶組織實施審核和(1)(1)認證業務范圍能力需求分析認證業務范圍專業能力需求來自審核的相關反饋(4)(2)來自審核的相關反饋(4)技術領域的分類和專業能力要求的確定和調整人員能力評價審核指導文件技術領域分類和專業能力要求人員能力評價審核指導文件技術領域分類和專業能力要求(3)能力提升(3)能力提升和補充<>特定客戶組織專業能力需求分析特定客戶組織具體情況具備能力？特定客戶組織具體情況是特定客戶組織涉及的技術領域類別和專業能力可用的特定客戶組織涉及的技術領域類別和專業能力過程(6)輸入或輸出判定(7)過程(6)輸入或輸出判定(7)選擇和使用對特定客戶組織實施審核和認證的人員能力的持續監視認證業務范圍專業能力需求分析是為了初步識別實施b)基于典型的業務流程和信息處理流程，分析典型資產（包絡、業務系統、人員和數據資料等）和典型信息安全風f)基于典型信息安全風險和典型信息資產典型信息處理流程業務活動要求信息技術的典型應用(1)典型信息處理流程業務活動要求信息技術的典型應用(1)(4)典型業務流程典型資產典型信息安全要求(2)(6)合同/相關方要求典型信息安全風險(7)典型控制措施(5)(4)典型業務流程典型資產典型信息安全要求(2)(6)合同/相關方要求典型信息安全風險(7)典型控制措施法規要求典型信息資產的典型信息安全特性信息安全技術的典型應用G.1.3.2.1認證機構在對特定客戶組織實施申請評審時，宜根據該組織的具體情況G.1.3.2.2由于技術領域的分類和專業能力要求主要在認證業務范圍能力需求分析G.1.3.2.3特定客戶組織的能力需求分析由申請評審人員實施。由于申請評審人員G.1.4.1能力評價是獲取被評價人能力的證據，并將能力的證據G.1.4.2能力的證據宜與能力要求的內容相關，并且能夠為評價b)評價的目的，例如：初次聘用、持續監視、擴大能力范圍a)記錄審查：對被評價人的教育、工作、培訓、獲取其知識和技能的證據，獲得對其能力的基本了4)不宜直接根據被評價人的學歷、工作年限、培訓時b)意見反饋：通過被評價人的工作單位、同事或客戶組織等解被評價人員的知識、技能、表現等情況。意見反饋c)面談：面談有助于詳細了解被評價人通、人際管理方面的技能。依據能力要求對被評價人-人員招聘時進行面談，以從人員的簡歷和過去的-在見證或審核報告的復核中與審核組成員進行面d)考試：包括筆試、口試和實際操作考文件化證據。對于人員的技能也可通過適宜的筆試方法獲人員的知識提供良好的證據，但在人員技能的評價上作用G.2ISMS審核范圍和認證范圍界定指南b)ISO/IEC27003:2010《信息技術-安全技術-信息安全管理a)客戶組織根據其業務、組織、技術、物理和資接口已得到說明，并已包括在客戶組織的信息安全風G.2.1.2認證機構審核組宜針對所有適用的認證要求，對包含在 業務范圍和邊界主要包括關鍵業務及業務特性描述（業務、之外的業務流程共用的資產和技術，要識別其可能產生的風險及相應的織申請認證的業務范圍是軟件開發，則覆蓋的組織范層組織高層的發起人來作為信息安全利益的代表職能部門共用的資產與技術，要識別其可能產生的風險基于以上考慮，在界定組織的邊界時，宜識別ISMS所影a)結合職能部門或過程的物理位置以及組織對其認證機構在確定客戶組織審核范圍時宜考慮其臨時場所和臨時場所一般宜到現場進行審核，但如能同時滿足以下b)客戶組織已對臨時現場風險進行評估并且該殘余風險是可a)資產范圍宜包括軟件資產、硬件資產、數據資組織信息系統可能跨越組織邊界甚至國界，在這G.3ISMS審核時間確定指南附錄一ISMS認證機構認證業務范圍分類與分級一一一二一一二二二三三理、燃氣生產和供應、熱力生產和供應、城市水陸交通設施的維護管理等）一一一三三三一一一一一一二二二二二三三編號：CNAS-EC-027:2010編號：CNAS-EC-027:2010通用信息安全技術領域和通用信息技術領域——參考分類、知識點及應用風險評估報告的內容（重要資產、主要脆弱性和威脅、主要風險的分析編號：CNAS-EC-027:2010編號：CNAS-EC-027:2010軟件開發設計中是