信息安全管理体系实施指南-ISOIEC 27006:2007中文版

文档正文


概要信息

本文档为 WORD 格式,共计 22 页,售价为 5.00 元(人民币),由本站用户 zhh 于 2019-03-31 日上传。


内容摘要

<ISO/IEC 27006:2007标准> 2008-06-05 15:59:02| 分类: 认可文件与监管信|举报|字号 订阅 GB 中华人民共和国国家标准 GB/T××××—×××× Idt ISO/IEC 27006:2007 信息技术-安全技术 信息安全管理体系审核认证机构的要求 Information technology ---security technology---Requirements for bodies providing audit and certification of information security management syetems (征求意见稿) 200×-××-××发布 200×-××-××实施 国家质量监督检验检疫总局 发布 目 录 前言 简介 1.范围 2.规范性引用文件 3.术语和定义 4.原则 5.通用要求 5.1法律和合同事宜 5.2公正性的管理 5.3责任和财力 6.结构要求 6.1组织结构和最高管理层 6.2维护公正性的委员会 7.资源要求 7.1管理层和人员的能力 7.2参与认证活动的人员 7.3外部审核员和外部技术专家的使用 7.4人员记录 7.5外包 8.信息要求 8.1......................................................... 可公开获取的信息 8.2认证文件 8.3获证客户名录 8.4认证的引用和标志的使用 8.5保密性 8.6认证机构和其客户间的信息交换........................................... 9.过程要求 9.1通用要求 9.2初次审核和认证 9.3监督活动 9.4再认证 9.5特殊审核 9.6暂停、撤消或缩小认证范围 9.7申诉 9.8 投诉 9.9申请组织和客户记录 10.认证机构的管理体系要求 10.1可选方式 10.2方式1- GB/T19001-2000质量管理体系 要求 10.3方式2- 通用的管理体系要求 附录A (资料性)顾客组织复杂性和行业特定方面的分析 附录B (资料性)审核员能力范围的示例 附录C (资料性)审核时间 附录D (资料性)对已实施ISO/IEC27001:2005附录A的控制复核指南 参考书目 前 言 本标准等同采用ISO/IEC27006:2007《信息技术—安全技术—信息安全管理体系审核 和认证机构的要求》。 本标准是信息安全标准族系列标准之一。 本标准由全国认证认可标准化技术委员会(SAC/TC 261)和全国信息安全标准化技术委员会(SAC/TC 260)提出并归口。 本标准起草单位: 本标准参加单位: 本标准主要起草人: 本标准200×年××月××日首次发布。 本标准由××××负责解释。 简 介 ISO/IEC17021是为进行组织管理体系审核和认证的机构陈述准则的国际标准。如果这类机构根据ISO/IEC 27001:2005,以审核和认证信息安全管理体系(ISMS)为目的,将被认可为符合ISO/IEC 17021,附加要求和对ISO/IEC 17021的指南是必要的。本标准负责提供。 本标准的正文采用了ISO/IEC 17021的结构,附加的对信息安全管理体系(ISMS)特定要求和关于信息安全管理体系(ISMS)认证的ISO/IEC 17021的应用指南以字母“IS”进行识别。 本标准全文使用的术语“应”用于说明反映ISO/IEC 17021和ISO/IEC 27001中要求的规定是强制性的。使用的术语“宜”说明这些规定虽然是构成对要求应用的指南,但只是期望被认证机构所采用。 本标准的目的之一是为了确保认可机构更加有效地协调针对约定的用于评审认证机构的标准的应用。在本文中,认证机构的任何与本指南的偏离视为例外。在认证机构向认可机构证明这种例外以其他等效的方式满足ISO/IEC17021,ISO/IEC27001条款的相关要求和本标准的用意,这种偏离只有在具体问题具体分析的基础上才能得到许可。 注:本标准全文中的术语“管理体系”和“体系”可替换使用。管理体系的定义见ISO9000:2005。本标准中使用的管理体系不应与其他类型的体系(例如:信息技术体系)混淆。 信息技术—安全技术--信息安全管理体系审核和认证机构的要求 1.范围 本标准对信息安全管理体系(以下简称“ISMS”)审核和认证机构规定了要求并提供了指南,以作为对ISO/IEC17021:2006和ISO/IEC27001:2005中相关要求的补充。 任何提供ISMS认证的机构需要在能力和可靠性方面证实其满足本标准的要求。本标准的指南为这些要求提供了进一步的解释。 注:本标准可以作为认可、同行评审或其他审核过程的准则性文件。 2.规范性引用文件 下列引用的文件是应用本标准所不可缺少的。对于标注日期的引用文件,只有引用的版本适用。对于没有标注日期的引用文件,最新版本的引用文件(包括任何修订版)适用。 ISO/IEC 17021:2006 合格评定——管理体系审核认证机构的要求 ISO/IEC 27001:2005 信息技术——安全技术——信息安全管理体系——要求 GB/T19011-2003 质量和/或环境管理体系审核指南 3.术语和定义 本标准采用ISO/IEC 17021:2006,ISO/IEC 27001:2005中和以下的术语和定义。 3.1认证证书 由认证机构根据其认可条件颁发的,并带有认可标识或声明的一种文件。 3.2 认证机构 按照已发布的ISMS标准和该体系所要求的任何补充性文件,对客户组织的ISMS进行评定和认证的第三方。 3.3认证文件 说明客户组织的ISMS符合规定的ISMS标准和该体系所要求的任何补充性文件。 3.4标志 依法注册的商标或在认可机构或认证机构的规则下颁发的受到保护的标识,显示对机构运行体系具有足够信心,或相关的产品或人员符合规定标准的要求。 3.5组织 职责、权限和相互关系得到安排的一组人员及设施。 示例:公司、集团、商行、企事业单位、研究机构、慈善机构、代理商、社团或上述组织的部分或组合。 4.原则 ISO/IEC 17021:2006的4条款中的原则适用。 5.通用要求 5.1法律和合同事宜 ISO/IEC 17021:2006的5.1条款中的要求适用。 5.2公正性的管理 ISO/IEC 17021:2006的5.2条款中的要求适用。另外,以下ISMS特定要求和指南适用。 5.2.1 IS 5.2 利益冲突 认证机构可以执行以下职责,而不被视为咨询或具有潜在的利益冲突: a) 认证,包括信息会议、策划会议、文件检查、审核(非ISMS内部审核或内部安全复核)和不合格的追踪。 b) 作为讲师安排和参与培训课程,如果这些课程与信息安全管理、有关的管理体系或审核相关,认证机构宜仅限于提供公众领域可以免费获取的通用的信息和建议,例如:他们不宜提供针对特定公司的、违反下述c)的要求的建议; c) 有要求时,提供或发布描述认证机构对认证审核标准要求有关的解释信息; d) 确定认证审核就绪的审核前的活动;但是,这类活动不宜提供违反本条款 的建议或意见,并且认证机构 宜能够确认这类活动不违反这些要求,及不使用这些活动来证明缩减最终认证审核时间的合理性; e) 根据标准或法规实施认可范围以外进行的第二方或第三方审核; f) 在认证审核和监督访问过程中增值,例如在审核过程中,当改进机会明显时,通过识别改进的机会而不推荐具体的解决方案来增值。 认证机构应独立于对将要认证的客户组织的ISMS提供ISMS内部审核的机构(包括任何个人)之外。 5.3责任与财力 ISO/IEC 17021:2006的5.3条款中的要求适用。 6.结构要求 6.1组织结构和最高管理层 ISO/IEC 17021:2006的6.1条款中的要求适用。 6.2维护公正性的委员会 ISO/IEC 17021:2006的6.2条款中的要求适用。 7.资源要求 7.1管理层和人员的能力 ISO/IEC 17021:2006的7.1条款中的要求适用。另外,以下ISMS特定要求和指南适用。 7.1.1 IS 7.1管理层能力 实施ISMS认证所需能力的最基本要素是选择、提供和管理其技能和综合能力适合审核活动和相关信息安全问题的人员。 7.1.1.1能力分析和合同评审 认证机构应确保了解所评审的客户ISMS有关的技术和法律发展的知识。 认证机构应根据其运作的全部技术领域,具备对其需提供信息安全管理能力分析的有效体系。 对于每个客户,认证机构在实施合同评审前,应能够证实其对每个相关行业的要求进行了能力分析(针对所评估出需求的技能评定)。然后,认证机构应在能力分析的基础上,与客户组织一起进行合同评审。特别地,认证机构应能够证明其具备完成以下活动的能力: a) 对客户组织的活动领域及相关业务风险的理解; b) 根据所识别的活动和与信息安全相关的对资产的威胁、脆弱性和对客户组织的影响来确定认证机构所需的能力; c) 确认所需能力的可用性。 7.1.1.2资源 认证机构的管理应具备必要的过程和资源,以确定每个审核员是否能够胜任在其操作的认证范围所要求的工作。审核员的能力由已验证的背景经历和具体的培训或简历(见附录B)制定。认证机构应能够与其提供服务的所有客户进行有效地沟通。 7.2参与认证活动的人员 ISO/IEC 17021:2006的7.2条款中的要求适用。另外,以下ISMS特定要求和指南适用。 7.2.1 IS 7.2认证机构人员的能力 认证机构应具备胜任以下工作的人员: a) 选择和验证适合审核的审核组内的ISMS审核员的能力; b) 对ISMS审核员进行简单介绍并安排必要的培训; c) 决定授予、保持、撤销、暂停、扩大或缩小认证; d) 建立和运行申诉和投诉过程。 7.2.1.1审核组的培训 认证机构应具备培训审核组的准则,以确保: a) 对ISMS标准和相关规范性文件的了解; b) 对信息安全的理解; c) 从业务角度,对风险评估和风险管理的理解; d) 对受审活动的技术知识; e) 对与ISMS相关的法规要求的通用知识; f) 管理体系的知识; g) 对基于GB/T19011-2003的审核原则的理解; h) 对ISMS有效性评审和控制措施有效性测量的知识。 这些培训要求适用于审核组的所有成员,除了d)可以在审核组成员之间分享。 7.2.1.1.1当为具体认证审核选择指派审核组时,认证机构应确保的各项工作的技 能是适宜的。审核组应: a) 具备要认证的ISMS范围内的特定活动的技术知识,以及适宜时,与这些活动相关的规程及其潜在的信息安全风险的技术知识(非审核员的技术专家可以行使此项职责); b) 充分理解客户组织,以便对其ISMS在活动、产品和服务的管理信息安全方面进行可靠的认证审核; c) 对适用于客户组织的ISMS的法规要求的适当的理解。 7.2.1.1.2如必要,审核组可以由能够证明在适宜于审核的技术领域具备特定能力 的技术专家进行补充。值得注意的是,技术专家不能作为ISMS审核员使用,但可为 审核员对正在接受审核的管理体系的技术充分性事宜提供建议。认证机构应具备程 序: a) 依据审核员和技术专家的能力、接受的培训、资格和经历,选择审核员和技术专家; b) 在认证审核中,初次对审核员和技术专家的行为进行评审,而后对审核员和技术专家的绩效进行监视。 7.2.1.2决定过程的管理 管理职责应具备技术能力和根据ISO/IEC27001:2005的要求,对授予、保持、扩大、缩小、撤销和暂停ISMS认证决定过程进行管理的能力。 7.2.1.3 ISMS审核员必备的教育、工作经历、审核员培训和审核经历 7.2.1.3.1以下准则适用于ISMS审核组中的每个审核员。审核员应: a) 具备中等教育程度; b) 在信息技术方面具备至少4年的全职实际工作经历,其中具备至少2年与信息安全有关的职位或职责的工作经历; c) 成功地完成5天的培训,包括ISMS审核和审核管理在内的培训范围被认为是适宜的; d) 在作为审核员行使职责之前,已获得评审信息安全整个过程的经验。这种经验宜通过参与最少4次、总共天数为20天认证审核获得,包括文件评审和风险分析,实施评审和审核报告; e) 具备时宜的工作经历; f) 能够宏观地观察复杂的运行,并理解各单元在更大的客户组织中的职能; g) 通过持续的专业发展,保持信息安全和审核知识和技能的更新。 技术专家应遵守准则a),b),e)和f)。 7.2.1.3.2除了7.2.1.3.1中的要求,审核组组长应满足以下要求。这些要求应在 指导和监督下进行的审核中得到证明的: a) 具备管理认证审核过程的知识和素质; b) 至少具有一名实施过3次完整ISMS认证审核的审核员; c) 证明具备口头和书面的有效沟通的能力。 7.3 外部审核员和外部专家的使用 ISO/IEC 17021:2006的7.3条款中的要求适用。另外,以下ISMS特定要求和指南适用。 7.3.1 IS 7.3使用外部审核员或外部技术专家作为审核组的一部分 当使用外部审核员或外部技术专家作为审核组成员时,认证机构应确保其能够胜任及遵守本标准适用的规定,并不以直接或通过其雇主参与对ISMS或相关管理体系的设计、实施或维护的方式使以公正性受到威胁。 7.3.1.1技术专家的使用 具有有关影响客户组织的过程和信息安全问题与法律方面的特定知识,但未必满足7.2的所有准则的技术专家,可以成为审核组成员。技术专家应在审核员的监督下进行工作。 7.4人员记录 ISO/IEC 17021:2006的7.4条款中的要求适用。 7.5外包 ISO/IEC 17021:2006的7.5条款中的要求适用。 8. 信息要求 8.1 可公开获取的信息 ISO/IEC 17021:2006的8.1条款中的要求适用。另外,以下ISMS特定要求和指南适用。 8.1.1 IS 8.1授予、保持、扩大、缩小、暂停和撤消认证的程序 认证机构应要求客户组织建立并实施文件化的ISMS,并符合ISO/IEC27001的要求和认证所需其他文件的要求。 认证机构应具备形成文件的程序, a) 根据GB/T19011-2003和ISO/IEC17021:2006和其他相关文件的规定,对客户组织ISMS进行初次认证审核; b) 根据GB/T19011-2003和ISO/IEC17021:2006,对客户组织ISMS定期进行监督和再认证审核,以确认其持续符合性相关要求和验证,记录客户组织对未纠正及时采取纠正措施。 8.2 认证文件 ISO/IEC 17021:2006的8.2条款中的要求适用。另外,以下ISMS特定要求和指南适用。 8.2.1 IS 8.2 ISMS的认证文件 认证机构应向ISMS获证的每个客户组织提供认证文件,例如信函或由负责此项职责的人员签署的认证证书。对客户组织和认证覆盖的每个信息系统,这些文件应识别授予的认证范围和ISMS的标准ISO/IEC 27001:2005。另外,证书宜包括适用性声明的特定版本的引用。 8.3 获证客户名录 ISO/IEC 17021:2006的8.3条款中的要求适用。 8.4 认证的引用和标志的使用 ISO/IEC 17021:2006的8.4条款中的要求适用。另外,以下ISMS特定要求和指南适用。 8.4.1 IS 8.4认证标志的控制 认证机构应对认证标志的所有权、使用权和显示方式进行适当的控制。如果认证机构授权使用标志来表明对ISMS的认证,认证机构宜确保客户组织仅使用由认证机构书面授权的规定的标志。认证机构不应授权在产品上使用这一标志,或以表示产品合格的方式使用这一标志。 8.5 保密性 ISO/IEC 17021:2006的8.5条款中的要求适用。另外,以下ISMS特定要求和指南适用。 8.5.1 IS 8.5组织记录的获取 在认证审核之前,认证机构应要求客户组织报告是否有一些ISMS的记录由于包含保密性或敏感性的信息不能供审核组进行复核。认证机构应确定ISMS是否在缺少这些记录的情况下得到充分地审核。如果认证机构得出不对已识别的保密性或敏感性的信息进行复核就不能对ISMS进行充分审核这一结论,就应建议客户组织认证审核不能进行,直至获得适当的获取准许。 8.6认证机构与其客户间的信息交换 ISO/IEC 17021:2006的8.6条款中的要求适用。 9.过程要求 9.1通用要求 ISO/IEC 17021:2006的9.1条款中的要求适用。另外,以下ISMS特定要求和指南适用。 9.1.1 IS 9.1.1通用ISMS审核要求 9.1.1.1认证审核准则 客户ISMS接受审核的准则应是ISMS标准ISO/IEC27001:2005中提出的准则和与所实施的职能相关的认证所需的其他文件中的准则。如果要求将解释说明作为这些文件具体在认证方案中的应用,这样的解释说明应由相关及公正的、具备必要的技术能力的委员会或个人给出并由认证机构发布。 9.1.1.2政策和程序 认证机构的文件应包括实施认证过程的政策和程序,其中包括检查ISMS认证所使用的文件的使用和应用,及审核和认证客户组织的ISMS程序。 9.1.1.3审核组 应正式任命审核组并为其提供相应的工作文件。审核计划和日期应得到客户组织的同意。明确对审核组的任命,并使客户组织知悉,应要求审核组检查客户组织的结构、政策和程序进,来确认这些满足与认证范围相关的所有要求,还应确认程序得到实施及为客户组织的ISMS提供信心。 9.1.2 IS 9.1.2认证范围 审核组应针对所有适用的认证要求,对包含在限定范围内的客户组织的ISMS进行审核。认证机构应确保客户组织的ISMS的范围和界限,根据其业务特点、组织、所处地理位置、资产和技术得到清晰的限定。认证机构应确认,在ISMS范围内,客户组织说明了ISO/IEC27001:2005的1.2条款所陈述的要求。 认证机构应确保客户组织的信息安全风险评估和风险处理正确地反映其各种活动,并将其限定在ISMS标准ISO/IEC27001:2005所限定的活动之内。认证机构应确认这些在客户组织的ISMS范围和适用性声明中得到反映。 认证机构应确保与不完全属于ISMS范围内的服务和活动的界面在接受认证的ISMS中得到说明,并包括在客户组织的信息安全风险评定中。对这种情况的举例是与其他机构的设备共享(例如:信息技术系统、数据库和通讯系统)。 9.1.3 IS 9.1.3审核时间 认证机构应允许审核组有充裕的时间进行与初次审核、监督审核或再认证审核相关的所有活动。所分配的时间宜以下列因素为依据: a) ISMS范围的大小(例如:所使用的信息系统的数量、员工的数量); b) ISMS的复杂程度(例如:信息系统的危险程度、ISMS的风险状况),见附录A; c) 在ISMS范围内进行的业务类型; d) 在实施ISMS各种不同组成部分(例如:已实施的控制、文件和/或过程控制、纠正/改进措施等)所应用技术的程度和多样性; e) 场所的数量; f) 先前已证明ISMS的绩效; g) 在ISMS范围内,外包的范围和所使用的第三方协议; h) 适于认证的标准和法规。 附录C提供对审核时间的指南。认证机构应准备好用于初次审核、监督审核和再认证审核的时间进行证实并证明其合理性。 9.1.4 IS 9.1.4多场所 9.1.4.1在ISMS范围内的多场所抽样决定应比用于质量管理体系的同样决定更加复杂。在客户组织拥有多个场所满足以下a)至c)的准则的情况,认证机构可以考虑使用以抽样为基础的方法进行多场所认证审核: a) 所有的场所在相同的ISMS下运行,它们被集中管理和审核并提交集中的管理评审; b) 所有的场所都包含在客户组织的ISMS内部审核方案中; c) 所有的场所都包含在客户组织的ISMS管理评审方案中。 9.1.4.2希望使用以抽样为基础的方法的认证机构应具备程序,以确保以下: a) 初次的合同评审在最大程度上识别场所的差异,以便确定足够的抽样量。 b) 由认证机构对具有代表性的场所进行抽样,考虑: 1) 总部和其他场所的内部审核的结果; 2) 管理评审的结果; 3) 场所规模差异; 4) 各场所进行的业务目的的差异; 5) ISMS的复杂程度; 6) 各场所的信息系统的复杂程度; 7) 工作作业的差异; 8) 所进行活动的差异; 9) 与关键的信息系统或处理敏感信息的信息系统的潜在的相互作用; 10) 任何不同的法律要求。 c) 从客户组织的ISMS范围内所有场所中挑选具有代表性的样本。宜于通过判断性选择进行挑选,以反映上述b)中罗列的因素以及某种随机要素。 d) 包含在遭受重大风险的ISMS里的每个场所由认证机构在认证之前进行审核。 e) 根据以上要求,设计监督审核方案,并在合理的时间内覆盖客户组织的所有场所或ISMS范围内的所有场所。 f) 无论是在总部还是其他单一场所,在观察到不合格的情况,纠正措施程序适用于包括在认证范围内的总部和所有场所。 下列IS 9.1.5表述的审核应说明客户组织总部的活动,以确保单一的ISMS适用于所有场所,并在运行层面交付集中管理。审核应说明上述所有问题。 9.1.5 IS 9.1.5审核方法 认证机构应具备要求客户组织证明其确定了ISMS内部审核的时间,方案和程序具备操作性并能够操作的程序。 认证机构的程序不宜预示ISMS实施的特殊方式或文件和记录的特殊格式。认证程序应重点确保客户组织的ISMS满足ISO/IEC 27001:2005标准的要求及客户组织的方针和目标。 如适宜,审核计划宜识别在审核中使用的网络支持的审核技术。 注:网络支持的审核技术可包括,例如电话会议、web会议、互动式的基于web的沟通和远程的电子方式获取ISMS文件和访问过程。这种技术的重点宜是提高审核的有效性和效率,并支持审核过程的完整性。 9.1.6 IS 9.1.6认证审核报告 9.1.6.1认证机构可以采用适合其需要的报告程序,但这些程序最低限度应确保: a) 在离开客户组织场所前,在审核组和客户组织管理者之间召开一次会议,审核组在此场所提供 1) 有关客户组织的ISMS是否符合特殊认证要求的的书面或口头说明; 2) 客户组织就审核发现及其根据提出问题的机会。 b) 审核组向客户组织就关于客户组织的安全管理体系符合ISMS所有认证要求的审核发现提供审核报告。 9.1.6.2审核报告宜提供以下信息: a) 包括文件评审摘要在内的审核说明; b) 客户组织信息安全风险分析的认证审核报告; c) 所使用的全部审核时间和分别用于文件评审、风险分析评定、现场评审和审核报告时间的详细说明; d) 后续的审核询问、挑选的基本原理和所采用的方法。 9.1.6.3向认证机构提供的审核发现的审核报告应具备充足的详细情况,有助于并支持认证决定,包括: a) 审核包含的区域(例如:认证要求和接受审核的场所),包括后续的重大审核跟踪和所使用的审核方法(见IS 9.1.5); b) 获得的观察,正面的(例如:值得注意的特点)和负面的(例如:潜在的不合格); c) 客观证据和不符合所引用的ISMS标准ISO/IEC27001:2005和认证所需的其他文件的要求支持的、已识别的任何不符合的详细情况; d) 对客户组织ISMS符合认证要求并清楚地说明不符合的意见,适用性声明版本的引用,及在适用的情况下,与客户组织先前的认证审核结果的任何有用的对照。 完整的问卷、检查清单、观察、日志或审核员笔记可能构成完整的审核报告的一部分。如果使用这些方法,这些文件应提供给认证机构,作为支持认证决定的证据。在审核过程中,有关被评价样本的信息宜包含在审核报告或其他认证文件中。 报告应考虑客户组织所采用的内部组织和程序的充分性,以便对ISMS建立信心。 除了记录在ISO/IEC27001:2005条款9.1.10中的要求,报告宜包括: ——对ISMS内部审核和管理评审的信任度; ——有关ISMS的实施和有效性的最重要的正面与负面观察的 摘要; ——关于是否授予客户组织ISMS认证的审核组的建议,以及支持该建议的信息。 9.2初次审核和认证 ISO/IEC 17021:2006的9.2条款中的要求适用。另外,以下ISMS特定要求和指南适用。 9.2.1 IS 9.2.1审核组的能力 除了7.2条款所列的要求之外,以下要求适用于认证评审。对于监督活动,只有与已安排的监督活动有关的要求适用。 以下要求适用于整个审核组。 a) 在以下每个领域,至少应有一名审核组成员满足认证机构准则,在审核组内部负责: 1) 管理审核组; 2) 应用于ISMS的管理体系和过程; 3) 在特定的信息安全领域,具备法律和法规要求方面的知识; 4) 识别信息安全相关的威胁和事件趋势; 5) 识别顾客组织的弱点并理解其发生的可能性,其影响及其减缓和控制; 6) ISMS的控制措施及其实施的知识; 7) ISMS的有效性评审和控制措施测量的知识; 8) 有关和/或相关的ISMS的标准,行业最佳实践,安全方针和程序; 9) 事件处理方法和业务持续性的知识; 10) 有关有形和无形信息资产和影响分析的知识; 11) 可能与安全相关或其安全性成为问题的当前技术的知识; 12) 风险管理过程和方法的知识。 b) 审核组应有能力将顾客组织ISMS中的安全事件迹象追溯到ISMS的相应要素。 c) 审核组在上述项目上,应具有相当的工作经验和实际应用(这不意味着审核员需要信息安全所有领域的全面的经验,但整个审核组宜对被审核的领域具备充分的认识和经验)。 审核组可以由一名审核员组成,如果其满足上述a)的所有准则。 9.2.1.1 IS 9.2.1.1审核员能力的证明 审核员应能够证明其具备上述知识和能力,例如: a) 认可的、特定的ISMS资格; b) 注册为审核员; c) 被批准的ISMS培训课程; d) 更新连续的专业发展记录; e) 通过见证审核员在实际客户系统的ISMS审核过程得到实际证明。 9.2.2 IS 9.2.2初次审核的一般准备 认证机构应要求客户组织为认证审核的进行做好所有必要的安排,这些包括对以下活动的准备:为了认证审核、再认证审核和解决投诉问题而进行文件检查以及进入所有区域、使用记录(包括内部审核报告和信息安全独立评审报告)和访问人员。 在现场认证审核之前,至少应提供以下信息: a) ISMS和其活动所涵盖的一般信息; b) ISO/IEC27001:2005条款4.3.1所要求的ISMS文件的复印件,及必要的相关文件。 9.2.3 IS 9.2.3初次认证审核 9.2.3.1 IS 9.2.3.1第一阶段审核 在这个阶段,认证机构应获取设计ISMS的文件,并包括ISO/IEC27001:2005条款4.3.1所要求的文件。 第一阶段审核的目的是,通过理解以客户组织ISMS方针和目标为背景的ISMS,特别是客户组织准备审核的状态,为策划第二阶段的审核提供重点。 第一阶段审核包括,但不宜仅限于文件评审。认证机构应与客户组织就文件评审的时间和地点达成一致。在所有情况下,文件评审应在第二阶段审核开始前完成。 第一阶段审核结果应形成书面报告。认证机构应在决定进行第二阶段审核前,对第一阶段的审核报告进行复核,以便挑选具有必要能力的第二阶段的审核组成员。 认证机构应让客户组织意识到在第二阶段的审核中,可以需要其他类型的信息和记录。 9.2.3.2 IS 9.2.3.2第二阶段审核 9.2.3.2.1第二阶段审核经常在客户组织的场所进行。认证机构以第一阶段的审核报告中的形成文件的审核发现为基础,起草实施第二阶段审核的审核计划。第二阶段审核的目标是: a) 确认客户组织遵守自身的方针、目标和程序; b) 确认ISMS符合规范性ISMS标准ISO/IEC27001:2005的要求并实现客户组织的方针目标。 9.2.3.2.2为达到此目标,审核应重点关注客户组织: a) 信息安全有关风险的评估,及此评定产生的可比较和可重现的结果; b) ISO/IEC27001:2005条款4.3.1所列的文件要求; c) 在风险评定和风险处理过程的基础上,对控制目标和控制的选择; d) ISMS有效性的评审和信息安全控制有效性的测量,以及根据ISMS目标进行报告和复核; e) ISMS内部审核和管理评审; f) 信息安全方针的管理职责; g) 所选择和实施的控制、适用性声明与风险评定和风险处理过程的结果及ISMS方针和目标之间的对应关系; h) 控制的实施(见附录D),考虑客户组织对控制的有效性的测量[见上述d)],确定控制是否得以实施并有效以到达所述的目标; i) 方案、过程、程序、记录、内部审核和对ISMS有效性的复核,以确保其追踪至管理决定和ISMS的方针和目标。 9.2.3.3 IS 9.2.3.3 ISMS审核的特定要素 认证机构的责任确定客户组织在制定和保持有关识别、检查和评价信息安全相关资产威胁、弱点和对客户组织影响的程序方面是否一致。认证机构应: a) 要求客户组织证明安全相关的威胁的分析与客户组织的运行是相关并充分的; 注:客户组织负责确定该客户组织据以识别重大信息安全相关风险的准则,并制定相应的程序。 b) 确定客户组织识别、检查和评价信息安全相关资产威胁、弱点和影响的程序和应用的结果是否与客户组织的方针、目标和目的保持一致。 认证机构也应确定用于重要性分析的程序是否健全并正确实施。如果信息安全相关资产威胁、弱点或对客户组织的影响被识别为重要时,它应纳入ISMS管理之中。 9.2.3.3.1遵守法律和法规 法律法规合规性的保持和评价是客户组织的责任。认证机构应限于检查和抽样,以对ISMS在此方面的运作建立信心。认证机构应验证客户组织具有管理体系,以达到对适用于信息安全风险和影响的法律法规的遵守。 9.2.3.3.2 ISMS文件与其他管理体系文件的整合 客户组织可以将ISMS文件与其他管理体系文件(例如:质量、健康与安全,和环境)相结合,只要ISMS能够清楚地识别与其他体系的适宜的界面。 9.2.3.3.3结合管理体系审核 认证机构可以提供与ISMS有关的其他管理体系认证,或仅提供ISMS认证。 ISMS审核可以和其他管理体系的审核相结合。这种结合只有在证明审核满足ISMS认证所有要求时才有可能。在审核报告中,对ISMS重要的所有要素应清晰地呈现并易于识别。审核的质量不应受到结合审核的负面影响。 注:GB/T19011-2003为进行结合管理体系的审核提供指南。 9.2.4 IS 9.2.4授予初次认证的信息 为提供认证决定的基础,认证机构应要求提供做出认证决定的充分信息的、清晰的报告。 要求审核组在认证审核过程的各个阶段向认证机构提供的报告。结合存档信息,这些报告至少宜包括IS 9.1.6要求的信息。 9.2.5 IS 9.2.5认证决定 在认证机构中,决定授予/撤销认证的实体(或个人)宜在所有方面具备足以评价审核过程和由审核组提供的相关建议的、相当的知识和经验。 是否授予客户组织ISMS认证的决定是由认证机构以认证过程中收集的信息和其他相关信息为基础做出的。负责做出认证决定的人员不应参与审核。审核决定应以审核组审核报告中审核发现和认证建议,及认证机构获取的任何其他相关信息为基础。 负责做出授予认证决定的实体在正常情况下,不宜推翻审核组的负面建议。如果出现这种情况,认证机构应记录和说明决定推翻建议的依据。 关于认证的决定,ISO/IEC17021:2006未提及客户组织至少进行一次完整的ISMS内部审核和客户组织ISMS的管理评审的特定的时间间隔。认证机构可以具体说明时间间隔。无论认证机构是否选择指定最低的频次,认证机构应制定测量方法,以确保客户组织的管理评审和ISMS内部审核过程的有效性。 不应对客户组织授予认证,直至具备充分的证据证明管理评审和ISMS内部审核的安排得以实施,且是有效的并将得到保持。

信息安全管理体系实施指南-ISOIEC 27006:2007中文版 第1页 第1页 / 共22页


信息安全管理体系实施指南-ISOIEC 27006:2007中文版 第2页 第2页 / 共22页


信息安全管理体系实施指南-ISOIEC 27006:2007中文版 第3页 第3页 / 共22页


信息安全管理体系实施指南-ISOIEC 27006:2007中文版 第4页 第4页 / 共22页


信息安全管理体系实施指南-ISOIEC 27006:2007中文版 第5页 第5页 / 共22页


信息安全管理体系实施指南-ISOIEC 27006:2007中文版 第6页 第6页 / 共22页


信息安全管理体系实施指南-ISOIEC 27006:2007中文版 第7页 第7页 / 共22页


信息安全管理体系实施指南-ISOIEC 27006:2007中文版 第8页 第8页 / 共22页


信息安全管理体系实施指南-ISOIEC 27006:2007中文版 第9页 第9页 / 共22页


信息安全管理体系实施指南-ISOIEC 27006:2007中文版 第10页 第10页 / 共22页


信息安全管理体系实施指南-ISOIEC 27006:2007中文版 第11页 第11页 / 共22页


信息安全管理体系实施指南-ISOIEC 27006:2007中文版 第12页 第12页 / 共22页


说明:e文库 网站作为信息服务提供商,积极倡导原创、高质量的文档分享及各方权益的保护。本站只允许浏览文档前12页的内容,下载后的文档将可以浏览全部内容并且会比当前页面所见更加清晰,请放心下载!
下载此文档