信息安全管理體系認證機構要求中國合格評定國家認可委員會 1 3 4 5 5 5 5 5 5 5 6 6 6 6 9 CNAS-CC170:2015 CNAS-CC170:2015本文件等同采用國際標準ISO/IEC27002)針對認證機構的管理時，用詞匯“政策”表示“policy”；針對客戶的信息安全方面的管理時，用詞匯“策略”表示“policy”，針對客戶的管理體系方面CNAS-CC170:2015CNAS-CC01:2015(等同采用I構的基本認可準則。如果管理體系認證機構按照ISO/IEC27001:2013《信息技術安全和ISO/IEC27001:2013的要求相對應的條款是要求性的，認證本文件的主要目的是使得認可機構在應用其評審認證機構所依據的標準時更有效19000-2008（ISO9000:CNAS-CC170:2015信息安全管理體系認證機構要求本文件對實施信息安全管理體系（以下簡稱“ISMS”）審核和認證的機構規定了CNAS-CC01:2015管理體系認證機構要求（等同采用ISO/IEC17021-表明客戶的ISMS符合指定的ISMS標準及ISMS所要求的任何補充性文件的一類文CNAS-CC170:2015慮CNAS-CC01以及本文件7.1.2和7.2.1中所規定的、與認證機構確定ISMS技術領域相關CNAS-CC170:2015除了b)可以在作為審核組成員的審核員之間共享外，以上a）-e）適用于作為審核CNAS-CC170:2015a）組織類型、規模、治理、結構、職能和關系，對開發和實施ISMS和認證活動的CNAS-CC170:2015a）客戶的產品、過程、組織類型、規模、治理、結構、職能和關系，包括外包的息而導致不能提供給審核組核查的ISMS相關信息（例如ISMS記錄或關于控制的設計認證機構應要求客戶為調閱內部審核報告和信息安全獨立審核組應根據所有適用的認證要求，對包含在確定范圍內的客戶ISMS進行審核。9.3.1.2.1基于第一階段審核報告中的審核發現，認證機構制定實施第二階段的審核計）；a）所采用的主要審核路線和所使用的審核方法（b）對與相關信息安全法律法規的符合性進行定期評價與評審的規程9.6.2.1.3認證機構應能夠針對與信息安全問題相關的風險及特別是，監督報告應包括有關消除以往出現的不符合、SoA版本和從上次審核之后CNAS-CC170:2015（實施申請評審以確定所信息安全管理體系標客戶的產品、過程和-審核方案和策劃-審核類型和方法-審核風險-信息安全過程分析-持續改進-信息安全內部審核CNAS-CC170:2015-知識產權-組織記錄的內容、保護和保存-數據保護與隱私-密碼控制-電子商務-電子簽名與數字簽名-工作場所監督-計算機濫用-電子證據收集-滲透測試-國際的和國家的行業特定要求（例如，銀行業）CNAS-CC170:2015定適當的審核時間。此外，可以根據審核過程（尤其是第一階段）的發現（如：ISMS-用于審核時間計算的概念（B.2-確定不同審核階段所需時間的程序的要求（B.3-B.5CNAS-CC170:2015不同階段，并體現組織的能力需求和服務差異的范圍。對于一般的抽樣，見本文件的/或電子驗證組織的過程）與客戶組織接觸，這些活動宜在審核計劃中加以識別（見563745667CNAS-CC170:201578899>10700CNAS-CC170:2015），）；d)對組織已經有些了解（例如，如果組織獲得了同一個認證機構的、另一個標e)客戶的認證準備情況較好（例如，已經獲得了另一個第三方認證方案的認證策劃和編制報告一起所用的時間，通常不宜使總CNAS-CC170:2015定的、任何以往審核的結果。再認證審核所需的時間，宜與同一組織的初次認證審核CNAS-CC170:2015l信息安全要求[保密性、完整性和可l只有少量的敏感信息或保密信息，可l很少的關鍵資產l只有一個關鍵業務過程，該過程的接口和涉及的業務單l較高的可用性要求或若干敏感/保密信l2-3個簡單的業務過程，這些過程的接口和涉及的業務l比較多的保密信息健康、個人可識別程，這些過程的接口和涉及的業務單l低風險的業務，沒l高風險的業務，有（僅有）有限的法l沒有獲得認證，但ISMS已充分實施了多個審核與改進周期，包括文件化的內部審核，管理評審和有效的持續l最近剛通過監督審l沒有獲得認證，但獲得并實施了一些管理體系工具，一些持續改進過程是適宜的但未全部文l未獲得認證且最近lISMS是新的且沒缺少管理體系的特定控制機制，不成熟的持續改進過程，靈活的過程執施過程中，所應用的技術的水平和多樣性[例l高標準化、低多樣性的環境（很少的l標準化且多樣性的操作系統、數據庫l高多樣性或復雜的多不同的網段、服務器或數據庫的類型、關鍵應用的數CNAS-CC170:2015外包和第三方安排的程l沒有外包且對供應l對外包協議進行了明確的規定、良好l可獲得相關的獨立l多個管理不充分的l高度依賴外包或供應商，它們對重要業務活動有很大影l對外部的數量或程l多個未得到管理的f）信息系統開發的程l沒有內部的系統開發l使用標準化的軟件l使用標準化的、具有復雜配置/參數化l若干開發活動（內l大量的內部軟件開發活動，有若干針對重大業務目的的、持續進行的項g）場所的數量和災難l較低的可用性要求，且沒有或有一個可選的災難恢復l中等或高的可用性要求，且沒有或有一個可選的災難恢l高可用性要求，例l若干個可選的災難h）對于監督或再認證審核：符合CNAS-CC01相關的變更的數量和程l自上次再認證審核有微小的變化，例如，一些策略、文l以上因素有微小變新的過程，新的業務單元，風險評估管理方法、策略，l以上因素有重大變第四步：最終計算。將由審核時間表（表B.1）所CNAS-CC170:20151.一般的過程，涉及一般的且重復性的任務；大量在組織控制下工作的3.復雜的過程，大量的產品和服務，許多業務單元包含在認證范圍內2.其他管理體系的要素，有些已經實3.根本沒有實施其他管理體系，IIT基礎設施的復雜程度3.很多不同的IT平臺、服務器、操作系統、數據庫、網絡。2.有一些服務于某些重要業務目的的、內部的或外包的系3.有大量服務于重要業務目的的、內部的或-5%~-10%-10%~-30%-5%~-10%CNAS-CC170:2015大量地使用外包。該組織沒有內部的或外包的開發活動。根據表C.3，可以得出與ITCNAS-CC170:2015資產登記且資產登記包含所看到的資產、系統設置是適當的等可以收集到最好的審要等可以收集到證據。證據可以是審核員對控制進行直接測試（或重新實施）的結果[例如，嘗試執行被控制所禁止的任務、確定機器上是否安裝了反惡意代碼的軟件且是否是最新的、授予的訪問權（在檢查完授權之后）等]。通過與在組織控制下工作的D.2如何使用表D.1收集。技術類控制的績效證據，可以通過系統測試（見下面或者通過使用專門的審CNAS-CC170:2015A.5信息安全策略A.5.1信息安全管理指導A.6.1.1信息安全的角色和責任A.6.2移動設備和遠程工作A.6.2.2遠程工作A.7人力資源安全A.7.2任用中詢問員工是否知道他宜知道A.7.3任用的終止和變更CNAS-CC170:2015A.8.2.1信息的分級A.8.2.2信息的標記命名：目錄、文件、印好的報告、記錄介質（例如，磁A.8.3介質處理A.8.3.1移動介質的管理A.8.3.2介質的處置A.8.3.3物理介質的轉移A.9訪問控制A.9.1.2網絡和網絡服務的訪問A.9.2.1用戶注冊和注銷A.9.2.2用戶訪問供給抽取有系統訪問授權的、在組織控制下工作的人員/合A.9.2.6訪問權的移除或調整A.9.3用戶責任性A.9.4系統和應用訪問控制A.11物理和環境安全CNAS-CC170:2015A.11.1.4外部和環境威脅的安全A.11.1.5在安全區域工作A.11.1.6交接區A.11.2設備A.11.2.5資產的移動A.12.1運行規程和責任A.12.1.1文件化的操作規程A.12.2惡意軟件防范A.12.3備份態A.12.5運行軟件控制A.12.5.1運行系統的軟件安裝A.12.6技術脆弱性管理CNAS-CC170:2015