中华人民共和国国家标准代替信息技术安全技术信息安全管理体系审核和认证机构要求发布实施国家市场监督管理总局国家标准化管理委员会发布目次前言引言范围规范性引用文件术语和定义原则通用要求法律与合同事宜公正性的管理责任和财力结构要求资源要求人员能力参与认证活动的人员外部审核员和外部技术专家的使用人员记录外包信息要求公开信息认证文件认证的引用和标志的使用保密认证机构与其客户间的信息交换过程要求认证前的活动策划审核初次认证实施审核认证决定保持认证申诉投诉客户的记录认证机构的管理体系要求可选方式方式通用的管理体系要求方式与一致的管理体系要求附录资料性附录审核与认证的知识与技能附录规范性附录审核时间附录资料性附录审核时间计算方法附录资料性附录对已实现的附录的控制的评审指南附录资料性附录与的条款对照关系参考文献前言本标准按照给出的规则起草本标准代替信息技术信息安全管理体系审核和认证机构要求安全技术与相比主要技术变化如下在规范性引用文件中删除了新增了见第章删除了术语证书认证机构标志和组织见年版的第章基于的附录细化了参与信息安全管理体系认证的各类人员的能力要求见遵从的标准结构调整了第章过程要求的内容见第章年版的第章审核时间计算由资料性附录调整为规范性附录见附录并新增了审核时间计算示例见附录本标准使用翻译法等同采用信息技术和认证机构要求安全技术信息安全管理体系审核与本标准中规范性引用的国际文件有一致性对应关系的我国文件如下信息技术本标准做了以下编辑性修改安全技术信息安全管理体系概述和词汇因已经废止所以引言中管理体系的定义调整为参见增加了资料性附录词汇在针对认证机构运作管理时翻译为程序见等在针对客户信息安全控制管理时翻译为规程见等两者意思并无差异由于附录只在中被引用根据国家标准起草规定将的注调整为标准条文对表中控制网络中的隔离的审核的评审指南更正了网段和网络隔离的示例本标准由全国信息安全标准化技术委员会提出并归口本标准起草单位中国合格评定国家认可中心中国电子技术标准化研究院中国网络安全审查技术与认证中心广州赛宝认证中心服务有限公司华夏认证中心有限公司国家认证认可监督管理委员会山东省标准化研究院本标准主要起草人付志高张强黄俊梅魏军田刚夏芳张志国尤其方洁王曙光刘鑫本标准所代替标准的历次版本发布情况为引言为机构对组织的管理体系实施审核和认证建立了准则如果这类机构按照开展以信息安全管理体系以下简称审核和认证为目的活动并准备依据获得认可对补充一些要求和指南是必要的本标准提供了这样的内容本标准正文遵循的结构针对审核和认证所增加的特定要求和指南用字母加以标识本标准的主要目的是使得认可机构在应用其评审认证机构所依据的标准时能更有效地协调一致本标准中术语管理体系和体系可以互换使用管理体系的定义见请不要将本标准中使用的管理体系与其他类型的系统混淆例如信息技术以下简称系统信息技术安全技术信息安全管理体系审核和认证机构要求范围本标准在和的基础上对实施审核和认证的机构规定了要求并提供了指南本标准的主要目的是为认证机构的认可提供支持任何提供认证的机构需要在能力和可靠性方面证实其满足本标准中的要求本标准中的指南提供了对这些要求的进一步解释注本标准可以作为认可同行评审或其他审核过程的准则性文件规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件信息技术安全技术信息安全管理体系要求合格评定管理体系审核认证机构要求第部分要求信息技术安全技术信息安全管理体系概述和词汇术语和定义和界定的以及下列术语和定义适用于本文件认证文件表明客户的符合指定的标准及所要求的任何补充性文件的一类文件原则中第章的原则适用通用要求法律与合同事宜中的要求适用公正性的管理中的要求适用并且以下要求和指南适用利益冲突认证机构可以从事以下工作不会被视为咨询或具有潜在的利益冲突安排培训课程并参与讲授如果这些课程涉及信息安全管理有关的管理体系或审核时认证机构应仅限于提供可公开获取的通用信息和建议即认证机构不应针对具体公司提供那些违反下面要求的建议根据请求提供或发布认证机构对认证审核标准要求的解释性信息见审核前活动仅以确定认证审核是否就绪为目的但是这些活动不应导致提供违反本条款的建议和意见认证机构应能够证实这些活动不违反本条款的要求且没有把这些活动作为减少最终认证审核时间的理由按照认可范围之外的标准或法规实施第二方审核或第三方审核在认证审核和监督审核过程中的增值活动例如在审核过程中当改进机会明显时识别改进机会但不推荐具体的解决方案认证机构不应为客户寻求认证的提供内部信息安全评审此外认证机构应独立于提供内部审核的机构包括任何个人责任和财力中的要求适用结构要求中第章的要求适用资源要求人员能力中的要求适用并且以下要求和指南适用总体考虑通用的能力要求认证机构应确保其具备与所评估的客户有关的最新的技术知识和法律法规知识认证机构应按照的表为每项认证职能确定能力要求认证机构应考虑规定的以及和中所规定的与认证机构所确定的技术领域相关的所有要求附录概括了特定认证职能的人员能力要求能力准则的确定实施审核的能力要求总体要求认证机构应有验证审核组成员的背景经验特定培训或情况说明的准则以确保审核组至少具备信息安全的知识与受审核的活动相关的技术知识管理体系的知识审核原则的知识注有关审核原则的进一步信息参见监视测量分析和评价的知识除了可以在作为审核组成员的审核员之间共享外以上适用于作为审核组成员的所有审核员审核组应有能力将客户中信息安全事件的迹象追溯到的相应要素审核组应有关于上述知识项的适当工作经历且实际应用过这些知识项这不意味着一个审核员需要具有信息安全所有领域的全面的经验但审核组整体上应对被审核的领域具备足够的认识和经验信息安全管理术语原则实践和技术审核组所有成员作为一个整体应具有以下知识特定文件的结构层级和相互关系信息安全管理相关的工具方法技术及其应用信息安全风险评估和风险管理适用的过程当前可能与信息安全相关的或可能面临信息安全问题的技术每个审核员应满足和信息安全管理体系标准和规范性文件参与审核的审核员应具有以下知识的所有要求审核组所有成员作为一个整体应具有以下知识如确定有必要还可来源于特定行业标准中的所有控制及其实现这些控制分为以下类别信息安全策略信息安全组织人力资源安全资产管理访问控制包括授权密码物理和环境安全运行安全包括服务通信安全包括网络安全管理和信息传输系统获取开发和维护供应商关系包括外包服务信息安全事件管理业务连续性管理的信息安全方面包括冗余符合性包括信息安全评审业务管理实践参与审核的审核员应具有以下知识行业的信息安全最佳实践和信息安全规程信息安全的策略和业务要求通用业务管理的概念实践以及方针目标和结果之间的相互关系管理过程和相关的术语注这些过程也包括人力资源管理内部沟通外部沟通和其他的相关支持过程客户的业务领域参与审核的审核员应具有以下知识特定的信息安全领域地域和管辖范围的法律法规要求注具备法律法规要求的知识不意味着要有深厚的法律背景与业务领域相关的信息安全风险与客户业务领域相关的通用术语过程和技术相关业务领域的实践其中的可在审核组内共享客户的产品过程和组织审核组所有成员作为一个整体应具有以下知识组织类型规模治理结构职能和关系对的开发与实施和认证活动的影响包括外包广义上的复杂运营适用于产品或服务的法律法规要求领导审核组的能力要求除了中的要求以外审核组组长还应满足以下要求且应在有指导和监督的审核中予以证实具备管理认证审核过程和审核组的知识和技能具备有效的口头和书面沟通能力实施申请评审的能力要求信息安全管理体系标准和规范性文件实施申请评审以确定所需的审核组能力选择审核组成员并确定审核时间的人员应具备以下知识认证过程中所用的相关标准和其他规范性文件客户的业务领域实施申请评审以确定所需的审核组能力选择审核组成员并确定审核时间的人员应具备以下知识与客户业务领域相关的通用术语过程技术和风险客户的产品过程和组织实施申请评审以确定所需的审核组能力选择审核组成员并确定审核时间的人员应具备以下知识客户产品过程组织类型规模治理结构职能以及的开发与实施和认证活动之间的关系包括外包的职能复核审核报告并做出认证决定的能力要求总则复核审核报告并做出认证决定的人员应具备知识使其能够验证认证范围的适宜性范围的变更以及变更对审核有效性的影响特别是识别接口与依赖关系的持续有效性和相应的风险此外复核审核报告并做出认证决定的人员应具备以下知识通用的管理体系审核过程和程序审核原则实践和技巧信息安全管理术语原则实践和技术复核审核报告并做出认证决定的人员应具备以下知识中所列条目与信息安全相关的法律法规要求信息安全管理体系标准和规范性文件复核审核报告并做出认证决定的人员应具备以下知识认证过程中所用的相关标准和其他规范性文件客户的业务领域复核审核报告并做出认证决定的人员应具备以下知识与相关业务领域实践有关的通用术语和风险客户的产品过程和组织复核审核报告并做出认证决定的人员应具备以下知识客户的产品过程组织类型规模治理结构职能和关系参与认证活动的人员中的要求适用并且以下要求和指南适用证实审核员的知识和经验认证机构应通过以下方面来证实审核员具备知识和经验获得承认的特定资格适用时注册为审核员参加培训课程并获得相关的个人证书最新的持续专业发展记录由另一个审核员见证审核选择审核员除之外选择审核员的准则应确保每位审核员具备相当于大学教育水平的专业教育或培训在信息技术方面具备至少年的全职实际工作经历其中至少年的工作经历来自与信息安全有关的职责或职能成功地完成至少天的培训培训范围包括审核和审核管理在被赋予审核员责任之前已获得整个信息安全评估过程的经验宜通过参与最少次总天数至少天其中最多天可来自监督审核的认证审核包括再认证审核和监督审核来获得这种经验参与审核时应包括评审文件与风险评估评估实施情况和报告审核情况具备相关的且合乎时宜的经验通过持续的专业发展保持当前在信息安全和审核方面的知识和技能是最新的技术专家应符合准则和选择领导审核组的审核员除了和外选择领导审核组的审核员的准则应确保该审核员已经积极参与过至少次审核的所有阶段参与审核时应包括初次的范围识别与策划评审文件与风险评估评估实施情况和正式地报告审核情况外部审核员和外部技术专家的使用中的要求适用并且以下要求和指南适用使用外部审核员或外部技术专家作为审核组的一部分技术专家应在审核员的监督下进行工作列出了技术专家的最低要求人员记录中的要求适用外包中的要求适用信息要求公开信息中的要求适用认证文件中的要求适用并且以下要求和指南适用认证文件认证文件应由负责此项职责的人员签署认证文件应包括适用性声明的版本注如果适用性声明的变更没有改变认证范围中控制的覆盖范围则不要求更新认证证书认证文件也可以包括对所用的特定行业标准的标识认证的引用和标志的使用中的要求适用保密中的要求适