CNAS-CC170：2015 信息安全管理体系认证机构要求

2015年12月30日发布2016年04月01日实施CNAS-CC170信息安全管理体系认证机构要求RequirementsforInformationSecurityManagementSystemCertificationBodies中国合格评定国家认可委员会CNAS-CC170:2015第1页共37页2015年12月30日发布2016年04月01日实施目次目次.....................................................................1前言.....................................................................3引言.....................................................................41范围....................................................................52 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 性引用文件..........................................................53术语和定义..............................................................54原则....................................................................55通用要求................................................................55.1法律与 合同 劳动合同范本免费下载装修合同范本免费下载租赁合同免费下载房屋买卖合同下载劳务合同范本下载 事宜........................................................55.2公正性的管理..........................................................55.3责任和财力............................................................66结构要求................................................................67资源要求................................................................67.1人员能力..............................................................67.2参与认证活动的人员....................................................97.3外部审核员和外部技术专家的使用.......................................107.4人员记录.............................................................107.5外包.................................................................108信息要求...............................................................108.1公开信息.............................................................108.2认证文件.............................................................118.3认证的引用和标志的使用...............................................118.4保密.................................................................118.5认证机构与其客户间的信息交换.........................................119过程要求...............................................................119.1认证前的活动........................................................119.2策划审核............................................................149.3初次认证............................................................159.4实施审核............................................................169.5认证决定............................................................179.6保持认证............................................................179.7申诉................................................................18CNAS-CC170:2015第2页共37页2015年12月30日发布2016年04月01日实施9.8投诉................................................................189.9客户的记录..........................................................1810认证机构的管理体系要求................................................1810.1可选方式...........................................................1810.2方式A：通用的管理体系要求.........................................1910.3方式B：与GB/T19001一致的管理体系要求.............................19附录A（资料性附录）ISMS审核与认证的知识与技能...........................20附录B（规范性附录）审核时间.............................................22附录C（资料性附录）审核时间计算方法.....................................27附录D（资料性附录）对已实施的ISO/IEC27001:2013附录A的控制的评审指南..31参考文献.................................................................37CNAS-CC170:2015第3页共37页2015年12月30日发布2016年04月01日实施前言本文件等同采用国际 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 ISO/IEC27006:2015《信息技术安全技术信息安全管理体系审核认证机构的要求》。本文件是CNAS对信息安全管理体系认证机构的专用认可准则，与管理体系认证机构基本认可准则CNAS-CC01:2015《管理体系认证机构要求》共同构成CNAS对信息安全管理体系认证机构的认可准则。本文件的附录A、C和D是资料性附录，附录B是规范性附录。为了便于使用，对ISO/IEC27006:2015做了下列编辑性修改：1)针对认证机构的管理时，用词汇“程序”表示“procedure”；针对客户的管理时，用词汇“规程”表示“procedure”；2)针对认证机构的管理时，用词汇“政策”表示“policy”；针对客户的信息安全方面的管理时，用词汇“策略”表示“policy”，针对客户的管理体系方面的管理时，用“方针”表示“policy”；本文件代替了CNAS-CC17:2012。CNAS-CC170:2015第4页共37页2015年12月30日发布2016年04月01日实施引言CNAS-CC01:2015(等同采用ISO/IEC17021-1:2015)是CNAS针对各类管理体系认证机构的基本认可准则。如果管理体系认证机构按照ISO/IEC27001:2013《信息技术安全技术信息安全管理体系要求》开展以信息安全管理体系（ISMS）审核和认证为目的活动，并打算依据CNAS-CC01:2015获得认可，对CNAS-CC01:2015补充一些要求和指南是必要的。本文件提供了这样的内容。本文件正文遵循CNAS-CC01:2015的结构，针对ISMS审核和认证所增加的特定要求和指南，用“IS”加以标识。贯穿本文件全文，使用“应”（shall）这一术语，以表示本文件中与CNAS-CC01:2015和ISO/IEC27001:2013的要求相对应的条款是要求性的，认证机构必须遵循；使用“宜”（should）这一术语表示建议。本文件的主要目的是使得认可机构在应用其评审认证机构所依据的标准时更有效地协调一致。注：本文件中术语“管理体系”和“体系”可以互换使用。管理体系的定义见GB/T19000-2008（ISO9000:2005，IDT）。请勿将本文件中使用的管理体系与其他类型的系统混淆，例如IT系统。CNAS-CC170:2015第5页共37页2015年12月30日发布2016年04月01日实施信息安全管理体系认证机构要求1范围本文件对实施信息安全管理体系（以下简称“ISMS”）审核和认证的机构规定了要求并提供了指南，以作为对CNAS-CC01:2015和ISO/IEC27001:2013要求的补充。本文件的主要目的是为ISMS认证机构的认可提供支持。任何提供ISMS认证的机构，需要在能力和可靠性方面证实其满足本文件中的要求。本文件中的指南提供了对这些要求的进一步说明。注：本文件可以作为认可、同行评审或其他审核过程的准则性文件。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。CNAS-CC01:2015管理体系认证机构要求（等同采用ISO/IEC17021-1:2015）ISO/IEC27000信息技术安全技术信息安全管理体系概述与词汇ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求3术语和定义CNAS-CC01:2015和ISO/IEC27000中确立的以及下列术语和定义适用于本文件。3.1认证文件certificationdocument表明客户的ISMS符合指定的ISMS标准及ISMS所要求的任何补充性文件的一类文件。4原则CNAS-CC01:2015中第4章的原则适用。5通用要求5.1法律与合同事宜CNAS-CC01中5.1的要求适用。5.2公正性的管理CNAS-CC01中5.2的要求适用。并且，以下要求和指南适用。5.2.1IS5.2利益冲突CNAS-CC170:2015第6页共37页2015年12月30日发布2016年04月01日实施认证机构可以从事以下工作，而不被视为咨询或具有潜在的利益冲突：a）安排培训课程并作为讲师参与讲授，如果这些课程涉及信息安全管理、有关的管理体系或审核，认证机构应仅限于提供可公开获取的通用信息和建议，即认证机构不应针对具体公司提供那些违反下面b)要求的建议；b）根据请求，提供或发布认证机构对认证审核标准要求的解释性信息（见9.1.3.6）；c）仅以确定认证审核是否就绪为目的的审核前活动，但是这些活动不应导致提供违反本条款的建议和意见。认证机构应能够证实这些活动不违反本条款的要求，且没有把这些活动作为减少最终认证审核时间的理由；d）根据没有包含在认可范围内的标准或法规，实施第二方或第三方审核；e）在认证审核和监督审核过程中的增值活动，例如，在审核过程中，当改进机会明显时，识别改进机会但不推荐具体的解决 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 。认证机构不应为寻求认证的客户ISMS提供内部信息安全评审。此外，认证机构应独立于提供ISMS内部审核的机构（包括任何个人）。5.3责任和财力CNAS-CC01中5.3的要求适用。6结构要求CNAS-CC01第6章的要求适用。7资源要求7.1人员能力CNAS-CC01中7.1的要求适用。并且，以下要求和指南适用。7.1.1通用的能力要求认证机构应确保其人员具备与所评定的客户ISMS有关的、适时的技术知识和法律法规知识。认证机构应参照CNAS-CC01的表A.1，为每项认证职能确定能力准则。认证机构应考虑CNAS-CC01以及本文件7.1.2和7.2.1中所规定的、与认证机构确定ISMS技术领域相关的所有要求。注：附录A提供了特定认证职能的人员能力要求的摘要。7.1.2IS7.1.2能力准则的确定7.1.2.1实施ISMS审核的能力要求7.1.2.1.1总体要求认证机构应有验证审核组成员的背景经验、特定培训或情况说明的准则，以确保审核组至少具备：a）信息安全的知识；CNAS-CC170:2015第7页共37页2015年12月30日发布2016年04月01日实施b）与受审核的活动相关的技术知识；c）管理体系的知识；d）审核原则的知识；注：有关审核原则的进一步信息，参见GB/T19011。e）ISMS监视、测量、分析和评价的知识。除了b)可以在作为审核组成员的审核员之间共享外，以上a）-e）适用于作为审核组成员的所有审核员。审核组应有能力将客户ISMS中信息安全事件的现象追溯到ISMS的相应要素；审核组应有关于上述项目的适当工作经历且实际应用过这些项目（这不意味着一个审核员需要具有信息安全所有领域的全面的经验，但审核组整体上应对被审核的领域具备足够的认识和经验）。7.1.2.1.2信息安全管理术语、原则、实践和技术审核组所有成员作为一个整体，应具有以下知识：a）ISMS特定文件的结构、层级和相互关系；b）信息安全管理相关的工具、方法、技术及其应用；c）信息安全风险评估和风险管理；d）ISMS适用的过程；e）当前可能与信息安全相关的或可能面临信息安全问 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 的技术。每个审核员应满足a）、c）和d）。7.1.2.1.3信息安全管理体系标准和规范性文件参与ISMS审核的审核员，应具有以下知识：a）ISO/IEC27001的所有要求；审核组所有成员作为一个整体，应具有以下知识：b）ISO/IEC27002（如确定有必要，还可来源于行业特定标准）中的所有控制及其实施，这些控制分为以下类别：1）信息安全策略；2）信息安全组织；3）人力资源安全；4）资产管理；5）访问控制，包括鉴别；6）密码；7）物理和环境安全；8）运行安全，包括IT服务；9）通讯安全，包括网络安全管理和信息传输；10）系统获取、开发和维护；11）供应商关系，包括外包服务；CNAS-CC170:2015第8页共37页2015年12月30日发布2016年04月01日实施12）信息安全事件管理；13）业务连续性管理的信息安全方面，包括冗余；14）符合性，包括信息安全评审。7.1.2.1.4业务管理实践参与ISMS审核的审核员，应具有以下知识：a）行业的信息安全最佳实践和信息安全规程；b）信息安全的策略和业务要求；c）通用业务管理的概念、实践，以及方针、目标和结果之间的关系；d）管理过程和相关的术语。注：这些过程也包括人力资源管理、内部沟通、外部沟通和其他的相关支持过程。7.1.2.1.5客户的业务领域参与ISMS审核的审核员，应具有以下知识：a）特定的信息安全领域、地域和管辖范围的法律法规要求；注：具备法律法规要求的知识，不意味着要有深厚的法律背景。b）与业务领域相关的信息安全风险；c）与客户业务领域相关的通用术语、过程和技术；d）相关业务领域的实践。准则a）可在审核组内共享。7.1.2.1.6客户的产品、过程和组织审核组所有成员作为一个整体，应具有以下知识：a）组织类型、规模、治理、结构、职能和关系，对开发和实施ISMS和认证活动的影响，包括外包；b）广义上的复杂运营；c）适用于产品或服务的法律法规要求；7.1.2.2领导ISMS审核组的能力要求除了7.1.2.1中的要求，审核组组长应满足以下要求：a）具备管理认证审核过程和审核组的知识和技能；b）具备有效的口头和书面沟通能力。应通过在有指导和监督下进行的审核来证实审核组长满足上述要求。7.1.2.3实施申请评审的能力要求7.1.2.3.1信息安全管理体系标准和规范性文件实施申请评审以确定所需的审核组能力、选择审核组成员并确定审核时间的人员，应具备以下知识：a）认证过程中所用的相关ISMS标准和其他规范性文件。7.1.2.3.2客户的业务领域CNAS-CC170:2015第9页共37页2015年12月30日发布2016年04月01日实施实施申请评审以确定所需的审核组能力、选择审核组成员并确定审核时间的人员，应具备以下知识：a）与客户业务领域相关的通用术语、过程、技术和风险。7.1.2.3.3客户的产品、过程和组织实施申请评审以确定所需的审核组能力、选择审核组成员并确定审核时间的人员，应具备以下知识：a）客户的产品、过程、组织类型、规模、治理、结构、职能和关系，包括外包的职能。7.1.2.4复核审核报告并做出认证决定的能力要求7.1.2.4.1总则复核审核报告并作出认证决定的人员应具备知识，使其能够验证认证范围及其变更的适宜性，以及认证范围的变更对审核有效性的影响，特别是识别接口、相关性和相应风险时的持续有效性；此外，复核审核报告并作出认证决定的人员应具备以下知识：a）通用的管理体系；b）审核过程和程序；c）审核原则、实践和技巧。7.1.2.4.2信息安全管理术语、原则、实践和技术复核审核报告并作出认证决定的人员，应具备以下知识：a）7.1.2.1.2中a）、c）、d）所列的知识；b）与信息安全相关的法律法规要求。7.1.2.4.3信息安全管理体系标准和规范性文件复核审核报告并作出认证决定的人员，应具备以下知识：a）认证过程中所用的相关ISMS标准和其他规范性文件。7.1.2.4.4客户的业务领域复核审核报告并作出认证决定的人员，应具备以下知识：a）与相关业务领域实践有关的通用术语和风险。7.1.2.4.5客户的产品、过程和组织复核审核报告并作出认证决定的人员，应具备以下知识：a）客户的产品、过程、组织类型、规模、治理、结构、职能和关系。7.2参与认证活动的人员CNAS-CC01中7.2的要求适用。并且，以下要求和指南适用。7.2.1IS7.2证实审核员的知识和经验认证机构应通过以下方式证实审核员具备知识和经验：a）经承认的、ISMS特定的资格；CNAS-CC170:2015第10页共37页2015年12月30日发布2016年04月01日实施b）适用时，注册为审核员；c）参加ISMS培训课程并获得相关的个人证书；d）最新的持续专业发展记录；e）由另一个ISMS审核员见证的ISMS审核。7.2.1.1选择审核员除7.1.2.1之外，选择审核员的准则应确保每位审核员：a）具备等同于大学教育水平的专业教育或培训；b）在信息技术方面具备至少4年的全职实际工作经历，其中至少2年的工作经历来自与信息安全有关的职责或职能；c）成功地完成至少5天的培训，培训范围包括ISMS审核和审核管理；d）在被赋予审核员责任之前，已获得整个信息安全评估过程的经验。宜通过参与最少4次、总天数至少20天（其中最多5天可来自于监督审核）的ISMS认证审核（包括再认证审核和监督审核）来获得这种经验。参与审核时，应包括评审文件与风险评估，评估实施情况和报告审核情况；e）具备相关的且合乎时宜的经验；f）通过持续的专业发展，更新现有的、信息安全和审核方面的知识与技能。技术专家应符合准则a)、b)和e)。7.2.1.2选择领导审核组的审核员除了7.1.2.2和7.2.1.1外，选择领导审核组的审核员的准则应确保该审核员：a）已经积极参与过3次ISMS审核的所有阶段（allstages）。参与审核时，应包括初次的范围识别与策划、评审文件与风险评估、评估实施情况和正式地报告审核情况。7.3外部审核员和外部技术专家的使用CNAS-CC01中7.3的要求适用。并且，以下要求和指南适用。7.3.1IS7.3使用外部审核员或外部技术专家作为审核组的一部分技术专家应在审核员的监督下进行工作。7.2.1.1列出了技术专家的最低要求。7.4人员记录CNAS-CC01中7.4的要求适用。7.5外包CNAS-CC01中7.5的要求适用。8信息要求8.1公开信息CNAS-CC01中8.1的要求适用。CNAS-CC170:2015第11页共37页2015年12月30日发布2016年04月01日实施8.2认证文件CNAS-CC01中8.2的要求适用。并且，以下要求和指南适用。8.2.1IS8.2ISMS认证文件认证文件应由负责此项职责的人员签署。认证文件应包括适用性声明的版本。注：如果适用性声明的变更没有改变认证范围中控制措施的覆盖范围，则不要求更新认证证书。认证文件也可以包括所使用的行业特定标准。8.3认证的引用和标志的使用CNAS-CC01中8.3的要求适用。8.4保密CNAS-CC01中8.4的要求适用。并且，以下要求和指南适用。8.4.1IS8.4组织记录的获取在认证审核之前，认证机构应要求客户组织报告是否存在因包含保密性或敏感性信息而导致不能提供给审核组核查的ISMS相关信息（例如ISMS记录或关于控制的设计与有效性的信息）。认证机构应确定ISMS是否能在缺少这些信息的情况下得到充分审核。如果认证机构的结论是若不核查已识别的保密性或敏感性信息就不能对ISMS进行充分的审核，那么认证机构则应告知客户只有在适当的访问安排获得许可后才能进行认证审核。8.5认证机构与其客户间的信息交换CNAS-CC01中8.5的要求适用。9过程要求9.1认证前的活动9.1.1申请CNAS-CC01中9.1的要求适用。并且，以下要求和指南适用。9.1.1.1IS9.1.1申请准备认证机构应要求客户具有一个已文件化且已实施的ISMS。客户的ISMS应符合ISO/IEC27001和认证所要求的其他文件。9.1.2申请评审CNAS-CC01中9.1.2的要求适用。9.1.3审核方案CNAS-CC01中9.1.3的要求适用。并且，以下要求和指南适用。9.1.3.1IS9.1.3总则CNAS-CC170:2015第12页共37页2015年12月30日发布2016年04月01日实施ISMS审核的审核方案应考虑所确定的信息安全控制。9.1.3.2IS9.1.3审核方法认证机构的程序不应预先假定ISMS实施的特殊方式或文件和记录的特殊格式。认证程序应将重点放在确定客户的ISMS满足ISO/IEC27001的要求和客户的策略与目标。注：ISO/IEC27007给出了有关审核的进一步指南。9.1.3.3IS9.1.3初次审核的总体准备认证机构应要求客户为调阅内部审核报告和信息安全独立评审报告做出所有必要的安排。在认证审核的一阶段，客户应至少提供以下信息：a）ISMS和其所覆盖活动的一般信息；b）ISO/IEC27001所规定的、必要的ISMS文件的副本，及必要的相关文件。9.1.3.4IS9.1.3评审周期如果一个ISMS没有至少实施过一次覆盖认证范围的管理评审和内部审核，认证机构不应对该ISMS实施认证。9.1.3.5IS9.1.3认证范围审核组应根据所有适用的认证要求，对包含在确定范围内的客户ISMS进行审核。认证机构应确认客户在其ISMS范围内满足了ISO/IEC27001中4.3的要求。认证机构应确保：客户的信息安全风险评估和风险处置准确地体现了认证范围所界定的活动并扩展到活动的边界。认证机构应确认这在客户的ISMS范围和适用性声明中得到了体现。认证机构应验证每个认证范围至少有一个适用性声明。认证机构应确保：与不完全包含在ISMS范围内的服务或活动的接口，已在寻求认证的ISMS中得到说明，并已包括在客户的信息安全风险评估中。与其他机构共享设施（如：IT系统、数据库和通讯系统或外包一项业务职能），是这类情形的一个示例。9.1.3.6IS9.1.3认证审核准则客户ISMS接受审核的准则应是ISMS标准ISO/IEC27001。与所实施的业务相关的其他文件，可以作为认证要求。9.1.4确定审核时间CNAS-CC01中9.1.4的要求适用。并且，以下要求和指南适用。9.1.4.1IS9.1.4审核时间认证机构应给予审核员足够的时间来开展与初次审核、监督审核或再认证审核相关的所有活动。总审核时间的计算，应包括报告审核情况所需的充足时间。认证机构应使用附录B来确定审核时间。注：附录C提供了审核时间计算的进一步指南和示例。9.1.5多场所的抽样CNAS-CC01中9.1.5的要求适用。并且，以下要求和指南适用。9.1.5.1IS9.1.5多场所CNAS-CC170:2015第13页共37页2015年12月30日发布2016年04月01日实施9.1.5.1.1当客户拥有满足以下a)至c)的多个场所时，认证机构可以考虑使用基于抽样的方法进行多场所认证审核：a）所有的场所在同一ISMS下运行，并接受统一的管理、内部审核和管理评审；b）所有的场所都包含在客户的ISMS内部审核方案中；c）所有的场所都包含在客户的ISMS管理评审方案中。9.1.5.1.2认证机构使用基于抽样的方法时，应有适宜的程序以确保：a）在初次的合同评审时，最大程度地识别场所之间的差异，以便确定适宜的抽样水平；b）结合以下因素，认证机构抽取具有代表性的场所：1)总部及其他场所的内部审核的结果；2)管理评审的结果；3)场所规模的差异；4)各场所业务目的的差异；5)不同场所的信息系统的复杂程度；6)工作实践的差异；7)所实施的活动的差异；8)控制的设计与运行的差异9)与关键的信息系统或处理敏感信息的信息系统之间的潜在交互；10)任何不同的法律要求；11)地域和文化因素；12)场所的风险状况；13)发生在特定场所的信息安全事件。c）从客户ISMS范围内的所有场所中选择具有代表性的样本，该选择应基于一个可体现上述b)中所列因素的判定，同时也考虑随机因素；d）在授予认证之前，认证机构审核了ISMS中每个具有重大风险的场所；e）根据上述要求设计审核方案，且审核方案要在三年内覆盖ISMS认证范围内的代表性样本；f）无论是在总部还是在单个场所发现不符合，纠正措施规程的实施适用于包括在认证范围内的总部和所有场所。审核应关注客户总部为确保一个ISMS运用于所有场所并在运行层面上实施统一管理所进行的活动。审核应关注上述所有事项。9.1.6多管理体系标准CNAS-CC01中9.1.6的要求适用。并且，以下要求和指南适用。9.1.6.1IS9.1.6ISMS文件与其他管理体系文件的整合只要能够清楚地识别ISMS以及ISMS与其他管理体系的适当接口，认证机构可以接受多个管理体系文件相结合的文件（例如，对信息安全、质量、环境和健康与安全）。CNAS-CC170:2015第14页共37页2015年12月30日发布2016年04月01日实施9.1.6.2IS9.1.6管理体系结合审核只要能够证实审核满足了ISMS认证的所有要求，ISMS审核可以和其他管理体系审核相结合。在审核报告中，所有对ISMS重要的要素应清晰地体现并易于识别。审核的质量不应因结合审核而受到负面影响。9.2策划审核9.2.1确定审核目的、范围和准则CNAS-CC01中9.2.1的要求适用。并且，以下要求和指南适用。9.2.1.1IS9.2.1审核目的审核目的应包括确定管理体系的有效性，以确保客户已根据风险评估实施了适用的控制并实现了所设立的信息安全目标。9.2.2选择和指派审核组CNAS-CC01中9.2.2的要求适用。并且，以下要求和指南适用。9.2.2.1IS9.2.2审核组认证机构应正式任命审核组并为其提供相应的工作文件。认证机构应明确地规定审核组的任务,并使客户知晓。审核组可以由一个人组成，只要其满足7.1.2.1中所规定的全部准则。9.2.2.2IS9.2.2审核组能力本文件7.1.2的要求适用。对于监督和特殊审核活动，仅那些与所安排的监督活动和特殊审核活动相关的要求适用。当为特定认证审核选择审核组时，认证机构应确保每次委派时审核组的能力是适宜的。审核组应：a）对拟认证ISMS范围内的特定活动具备适当的技术知识，以及相关时，对这些活动的相关规程和其潜在信息安全风险具备适当的技术知识（技术专家可以履行此项职责）；b）理解客户，足以基于客户ISMS范围和组织环境对ISMS（该体系管理着客户活动、产品和服务的信息安全）进行可靠的认证审核；c）适当地理解适用于客户ISMS的法律法规要求。注：适当地理解法规要求不意味着要有深厚的法律背景。9.2.3审核计划CNAS-CC01中9.2.1的要求适用。并且，以下要求和指南适用。9.2.3.1IS9.2.3总则ISMS审核计划应考虑所确定的信息安全控制措施。9.2.3.2IS9.2.3网络支持审核技术如适宜，审核计划应识别在审核中使用的网络支持的审核技术。CNAS-CC170:2015第15页共37页2015年12月30日发布2016年04月01日实施注：网络支持的审核技术可包括：例如，电话会议、网络会议、基于网络的交互式通信和远程电子访问ISMS文件和（或）ISMS过程。对这些技术的关注，将提高审核的有效性和效率，并支持审核过程的完整性。9.2.3.3IS9.2.3审核时间的选择认证机构宜与拟审核的组织就选择一个能最有效地证实其整个ISMS范围的审核时间达成一致意见。适当时，可考虑季度、月份、日期和班次。9.3初次认证CNAS-CC01中9.3的要求适用。并且，以下要求和指南适用。9.3.1IS9.3.1初次认证审核9.3.1.1IS9.3.1.1第一阶段在该审核阶段，认证机构应获取有关ISMS设计的文件，其中包括ISO/IEC27001所要求的文件。认证机构应充分了解在组织环境下所进行的ISMS设计、风险评估和处置（包括所确定的控制）、信息安全方针和目标，以及特别是客户的审核准备情况。在此基础上，才能进行第二阶段的策划。第一阶段的结果应形成书面报告。在决定进行第二阶段之前，认证机构应审查第一阶段的审核报告，以便为第二阶段选择具有所需能力的审核组成员。认证机构应让客户知晓第二阶段可以要求对更进一步的信息和记录做详细检查。9.3.1.2IS9.3.1.2第二阶段9.3.1.2.1基于第一阶段审核报告中的审核发现，认证机构制定实施第二阶段的审核计划。除了评价ISMS的有效实施之外，第二阶段的目的是：a）确认客户遵守自身的方针、策略和规程。9.3.1.2.2为此，审核应重点关注客户：a）最高管理者的领导力和对信息安全方针与信息安全目标的承诺；b）ISO/IEC27001中所列的文件要求；c）评估与信息安全有关的风险，以及评估可产生一致的、有效的、在重复评估时可比较的结果；d）基于风险评估和风险处置过程，确定控制目标和控制；e）信息安全绩效和ISMS有效性，以及根据信息安全目标对其进行评审；f）所确定的控制、适用性声明、风险评估与风险处置过程的结果、信息安全方针与目标，它们相互之间的一致性；g）控制的实施（见附录D），考虑了外部环境、内部环境与相关的风险，以及组织对信息安全过程和控制的监视、测量与分析，以确定控制是否得以实施、有效并达到其所规定的目标；CNAS-CC170:2015第16页共37页2015年12月30日发布2016年04月01日实施h）方案、过程、规程、记录、内部审核和对ISMS有效性的评审，以确保其可被追溯至管理决定和信息安全方针与目标。9.4实施审核CNAS-CC01:2015中9.4的要求适用。并且，以下要求和指南适用。9.4.1IS9.4总则认证机构应具备形成文件的程序，以：a）依据CNAS-CC01的规定，对客户的ISMS进行初次认证审核；b）依据CNAS-CC01，对客户的ISMS定期进行监督审核和再认证审核，以确认其持续符合相关要求，并验证和记录客户为纠正所有的不符合而及时采取了纠正措施。9.4.2IS9.4ISMS审核的特定要素认证机构，由审核组所代表，应：a）要求客户证实对信息安全相关风险的评估与ISMS范围内的ISMS运行是相关的和充分的；b）确定客户识别、检查和评价信息安全相关风险的规程及其实施结果是否与客户的方针、目标和指标相一致。认证机构还应确定用于风险评估的规程是否健全并得到正确实施。9.4.3IS9.4审核报告9.4.3.1除了CNAS-CC019.4.8中对审核报告的要求之外，审核报告应提供以下信息或对这些信息的引用：a）审核的说明，其中包括了文件评审摘要；b）对客户信息安全风险分析进行认证审核的说明；c）与审核计划的偏离（例如：在某一预定的活动上花费更多或更少的时间）；d）ISMS的范围。9.4.3.2审核报告应足够详细，以帮助和支持认证决定。审核报告应包括：a）所采用的主要审核路线和所使用的审核方法（见9.1.3.2)；b）形成的观察结果，包括正面的（例如，值得注意的特征）和负面的（例如，潜在的不符合）；c）对客户ISMS与认证要求的符合性的评价意见、对不符合的清楚说明、所引用的适用性声明的版本，以及适用时，与客户以往认证审核结果的任何有用的对照。完成的问卷、检查清单、观察结果、日志或审核员笔记可以构成完整的审核报告的一部分。如果使用这些方法，这些文件应作为支持认证决定的证据提供给认证机构。在审核过程中，有关被评价的样本的信息应包含在审核报告或其他认证资料中。报告应考虑客户所采用的内部组织和规程的充分性，以便对其ISMS建立信心。除了CNAS-CC01的9.4.8中对审核报告的要求，报告还应包括：CNAS-CC170:2015第17页共37页2015年12月30日发布2016年04月01日实施a）关于ISMS要求和信息安全控制的实施与有效性的、最重要的观察（正面的和负面的）的摘要；b）审核组关于客户的ISMS是否获得认证的建议，以及支持该建议的信息。9.5认证决定CNAS-CC01中9.5的要求适用。并且，以下要求和指南适用。9.5.1IS9.5认证决定除了CNAS-CC01的要求外，认证决定应基于审核报告（见9.4.3）中审核组对客户ISMS是否通过认证的建议。通常情况下，对授予认证做出决定的人员或委员会不宜推翻审核组的负面建议。如果发生这种情况，认证机构应记录其作出推翻建议的决定的依据，并说明其合理性。只有具备充分的证据证实管理评审和ISMS内部审核的安排已经实施，且是有效的并将得到保持，才可向客户授予认证。9.6保持认证9.6.1总则CNAS-CC01中9.6.1的要求适用。9.6.2监督活动CNAS-CC01中9.6.2的要求适用。并且，以下要求和指南适用。9.6.2.1IS9.6.2监督活动9.6.2.1.1监督审核程序，应与本文件中有关客户ISMS的认证审核的要求和指南保持一致。监督的目的是验证已被认证的ISMS得到持续实施、考虑客户运作变化所引起的管理体系变化的影响并确认与认证要求的持续符合。监督审核方案应至少包括：a）管理体系的保持要素，如信息安全风险评估与控制的维护、ISMS内部审核、管理评审和纠正措施；b）根据ISMS标准ISO/IEC27001和认证所需的其他文件的要求，与来自外部各方沟通；c）文件化管理体系的变更；d）发生变更的区域；e）所选择的ISO/IEC27001的要求；f）适宜时，其他所选择的区域。9.6.2.1.2认证机构的每一次监督应至少审查以下方面：a）ISMS在实现客户信息安全方针的目标方面的有效性；b）对与相关信息安全法律法规的符合性进行定期评价与评审的规程的运行情况；c）所确定的控制的变更，及其引起的SoA的变更；d）控制的实施和有效性（根据审核方案来审查）。CNAS-CC170:2015第18页共37页2015年12月30日发布2016年04月01日实施9.6.2.1.3认证机构应能够针对与信息安全问题相关的风险及其对客户的影响来调整监督方案，并说明监督方案的合理性。监督审核可以与其他管理体系的审核相结合。报告应清晰地指出与每个管理体系相关的方面。在监督审核过程中，认证机构应检查客户提交给认证机构的申诉和投诉记录，并且在发现任何不符合或不满足认证要求时，还应检查客户是否对其自身的ISMS和规程进行了调查并采取了适当的纠正措施。特别是，监督报告应包括有关消除以往出现的不符合、SoA版本和从上次审核之后发生的重大变更的信息。监督审核报告应至少完全覆盖本文件的9.6.2.1.1和9.6.2.1.2的要求。9.6.3再认证CNAS-CC01中9.6.3的要求适用。并且，以下要求和指南适用。9.6.3.1IS9.6.3再认证审核再认证审核程序，应与本文件中有关客户ISMS的初次认证审核的要求和指南保持一致。允许采取纠正措施的时间，应与不符合的严重程度和相关的信息安全风险相一致。9.6.4特殊审核CNAS-CC01中9.6.4的要求适用。并且，以下要求和指南适用。9.6.4.1IS9.6.4特殊情况如果已经通过ISMS认证的客户对其管理体系做重大修改，或者发生影响其获证基础的其他变更，实施特殊审核所必需的活动应遵从特别规定。9.6.5暂停、撤销或缩小认证范围CNAS-CC01中9.6.5的要求适用。9.7申诉CNAS-CC01中9.7的要求适用。9.8投诉CNAS-CC01中9.8的要求适用。并且，以下要求和指南适用。9.8.1IS9.8投诉投诉意味着一个潜在的事件和一个可能的不符合。9.9客户的记录CNAS-CC01中9.9的要求适用。10认证机构的管理体系要求10.1可选方式CNAS-CC01的10.1中的要求适用。并且，以下要求和指南适用。CNAS-CC170:2015第19页共37页2015年12月30日发布2016年04月01日实施10.1.1IS10.1ISMS实施建议认证机构依据ISO/IEC27001实施ISMS。10.2方式A：通用的管理体系要求CNAS-CC01的10.2中的要求适用。10.3方式B：与GB/T19001一致的管理体系要求CNAS-CC01的10.3中的要求适用。CNAS-CC170:2015第20页共37页2015年12月30日发布2016年04月01日实施附录A（资料性附录）ISMS审核与认证的知识与技能A.1概述表A.1提供了ISMS审核与认证所要求的知识与技能的摘要。然而，表A.1是资料性的，因为它只识别了特定认证职能所需的知识与技能的领域。本文件的正文阐述了每项认证职能的能力要求，本表给出了对具体要求的引用。表A.1ISMS审核与认证的知识认证职能知识实施申请评审（实施申请评审以确定所需的审核组能力、选择审核组成员并确定审核时间）复核审核报告并做出认证决定审核及领导审核组信息安全管理术语、原则、实践和技术7.1.2.4.27.1.2.1.2信息安全管理体系标准/规范性文件7.1.2.3.17.1.2.4.37.1.2.1.3业务管理实践7.1.2.1.4客户的业务领域7.1.2.3.27.1.2.4.47.1.2.1.5客户的产品、过程和组织7.1.2.3.37.1.2.4.57.1.2.1.6A.2对通用能力的考虑有很多途径可以证实审核员的知识和经验，例如，通过使用获得承认的资格来评价知识和经验。人员认证方案中的注册记录也可以用来评价所需的知识和经验。宜确定审核组所需的能力水平，并使其与组织的行业/技术领域和ISMS的复杂性相符。A.3对特定能力的考虑A.3.1与ISMS相关的典型知识除了7.1.2中的要求外，宜考虑以下要求。审核员宜具备并理解下列审核和ISMS方面的知识：审核方案和策划审核类型和方法审核风险信息安全过程分析持续改进信息安全内部审核CNAS-CC170:2015第21页共37页2015年12月30日发布2016年04月01日实施审核员宜具备并理解下列法规要求方面的知识：知识产权组织记录的内容、保护和保存数据保护与隐私密码控制电子商务电子签名与数字签名工作场所监督通讯侦听与数据监视（例如，电子邮件）计算机滥用电子证据收集渗透测试国际的和国家的行业特定要求（例如，银行业）CNAS-CC170:2015第22页共37页2015年12月30日发布2016年04月01日实施附录B（规范性附录）审核时间B.1引言本附录包含了与CNAS-CC01中9.1有关的进一步要求。在对具有不同规模和复杂度的客户ISMS范围实施认证审核时，认证机构要确定所需的审核时间。本附录为认证机构制定有关确定审核时间的程序提供了最低要求和指南。认证机构应针对每一个客户及其被认证的ISMS，识别初次认证、监督审核和再认证审核所需花费的审核时间。在审核策划阶段，使用本附录可以确保使用一致的方法来确定适当的审核时间。此外，可以根据审核过程（尤其是第一阶段）的发现（如：ISMS范围的复杂度的不同评价结果，或范围中增加的场所）来调整审核时间。本附录阐述了：用于审核时间计算的概念（B.2）；确定不同审核阶段所需时间的程序的要求（B.3-B.5）；与多场所审核相关的要求（B.6）。附录C给出了审核时间计算的示例，对附录B的应用做出了说明。该方法的基本假设是，确定审核时间的计算方案宜：a）仅考虑那些能够被确定和证实的属性；b）足够简便，以得到认证机构的有效应用；c）足够复杂，以能够体现充分的差异。审核的确定，是基于下面表B.1（“审核时间表”）所提供的数值，并应考虑调整的促成因素。B.2概念B.2.1在组织控制下工作的人员在组织控制下工作的、所有班次的人员的总数，是确定审核时间的起点。注：术语“在组织控制下工作的人员”，在CNAS-CC01中称之为员工。在组织控制下工作的兼职人员，按照其工作小时数与在组织控制下工作的全职雇员的工作小时数的比例，计入在组织控制下工作的人员的数量。具体比例的确定，取决与兼职人员工作小时数与一名全职雇员工作小时数的比较。B.2.2审核人天表B.1中所引用的“审核时间”，是根据审核中花费的“审核人天”来阐述的。附录B的计算基础是一个8小时的工作日。B.2.3临时场所临时场所是认证文件所注明的场所之外的位置，其活动在认证范围内并在规定的时间周期内实施。此类场所范围可从大项目管理场所到较小的服务或安装场所。在确定对CNAS-CC170:2015第23页共37页2015年12月30日发布2016年04月01日实施这些场所的访问需求及其抽样范围时，宜基于在临时场所发生的不符合而导致没能满足信息安全目标的风险的评价。所选择的场所样本宜考虑活动的规模与类型和项目进展的不同阶段，并体现组织的能力需求和服务差异的范围。对于一般的抽样，见本文件的9.1.5.1。B.3确定初次认证审核时间的程序B.3.1总则审核时间的计算，应遵从文件化的程序。B.3.2远程审核如果使用了远程审核技术（例如：基于网络的交互式协作、网络会议、电话会议和/或电子验证组织的过程）与客户组织接触，这些活动宜在审核计划中加以识别（见9.2.3），可以考虑将其作为现场审核时间的一部分。如果认证机构制定的审核计划中远程审核活动占据了大于30%的现场审核时间，认证机构宜证实审核计划的合理性，并在审核计划实施前得到认可机构的专门批准。注：现场审核时间是指分配给单个场所的现场审核时间。对远程场所的电子审核被视为远程审核，即使电子审核是在组织的物理场所进行。B.3.3审核时间的计算表B.1给出了初次审核天数平均值的起点（在此处及后面的内容中，这个数值包括一次初次审核（第一阶段和第二阶段）的天数）。经验表明，对于一个覆盖了给定数量的、在组织控制下工作的人员的ISMS范围来说，这一数值是适当的。经验还表明，对于相似规模的ISMS范围，有些需要多的审核时间，有些需要少的审核时间。表B.1提供了审核策划应使用的框架。该表基于在组织控制下工作的、所有班次的人员的总数来识别审核时间的起点，然后根据适用于所审核的ISMS范围的重要因素来调整它，并对每一个因素赋予增、减权重以修正基数。使用表B.1时应考虑促成因素和最大偏移的限制（见B.3.4和B.3.5）。B.2解释了表B.1中所使用的术语，附录C提供了如何计算审核时间的示例。表B.1审核时间表在组织控制下工作的人员的数量QMS初次审核审核时间（审核人日）EMS初次审核审核时间（审核人日）ISMS初次审核审核时间（审核人日）增加或减少的因素总审核时间1~101.5-22.5-35见本附录B.3.411~152.53.56见本附录B.3.416~2534.57见本附录B.3.426~4545.58.5见本附录B.3.446~655610见本附录B.3.466~856711见本附录B.3.4CNAS-CC170:2015第24页共37页2015年12月30日发布2016年04月01日实施86~1257812见本附录B.3.4126~1758913见本附录B.3.4176~27591014见本附录B.3.4276~425101115见本附录B.3.4426~625111216.5见本附录B.3.4626~875121317.5见本附录B.3.4876~1175131518.5见本附录B.3.41176~1550141619.5见本附录B.3.41551~2025151721见本附录B.3.42026~2675161822见本附录B.3.42676~3450171923见本附录B.3.43451~4350182024见本附录B.3.44351~5450192125见本附录B.3.45451~6800202326见本附录B.3.46801~8500212527见本附录B.3.48501~10700222728见本附录B.3.4＞10700沿用以上规律沿用以上规律见本附录B.3.4B.3.4调整审核时间的因素不能孤立地使用表B.1。所安排的时间，还应考虑以下因素。这些因素与ISMS复杂程度相关，并因此与ISMS审核工作量相关。a）ISMS的复杂程度（例如，信息的关键程度、ISMS的风险状况）；b）ISMS范围内所开展的业务的类型；c）以往已证实的ISMS绩效；d）在ISMS各部分的实施过程中，所应用的技术的水平和多样性[例如，不同IT平台的数量、隔离网络的数量]；e）ISMS范围内所使用的外包和第三方安排的程度；f）信息系统开发的程度；g）场所的数量和灾难恢复场所的数量；h）对于监督或再认证审核：符合CNAS-CC018.5.3条款的、与ISMS相关的变更的数量和程度。附录C提供了在计算审核时间时如何考虑这些不同因素的示例。需要增加审核时间的其他因素，例如：a)复杂的后勤，在ISMS范围中涉及不止一处建筑物或地点；CNAS-CC170:2015第25页共37页2015年12月30日发布2016年04月01日实施b)员工所说的语言超过一种（需要