中國(guó)認(rèn)證認(rèn)可協(xié)會(huì)

信息安全管理體系審核員

注冊(cè)準(zhǔn)則

第1版

文件編號(hào)：CCAA－141

發(fā)布日期：2012年6月19日

?版權(quán)2012-中國(guó)認(rèn)證認(rèn)可協(xié)會(huì)

中國(guó)認(rèn)證認(rèn)可協(xié)會(huì)（CCAA）

版本：1信息安全管理體系審核員注冊(cè)準(zhǔn)則第3頁(yè)共16頁(yè)

第一章概論

1.1引言

1.1.1本準(zhǔn)則由中國(guó)認(rèn)證認(rèn)可協(xié)會(huì)（CCAA）制定，以建立信息安全管理體系(ISMS)

審核員國(guó)家注冊(cè)制度，目的是確認(rèn)認(rèn)證人員具備相應(yīng)的個(gè)人素質(zhì)、知識(shí)和能力，保證

信息安全管理體系認(rèn)證工作的質(zhì)量。

1.1.2本準(zhǔn)則規(guī)定了CCAAISMS審核員的注冊(cè)要求，以及采用以知識(shí)和能力為基礎(chǔ)

的評(píng)價(jià)考核方法。

1.1.3所有注冊(cè)人員和申請(qǐng)人員除符合本準(zhǔn)則要求外，還應(yīng)遵守國(guó)家和/或地區(qū)的有關(guān)

法律、法規(guī)和規(guī)定。

1.2引用文件

《中華人民共和國(guó)認(rèn)證認(rèn)可條例》

《認(rèn)證及認(rèn)證培訓(xùn)、咨詢?nèi)藛T管理辦法》（質(zhì)檢總局令第61號(hào)）

《關(guān)于正式開展信息安全管理體系認(rèn)證工作的公告》（認(rèn)監(jiān)委2009年第47號(hào)公

告）

GB/T22080-2008/ISO/IEC27001:2005《信息技術(shù)安全技術(shù)信息安全管理體

系要求》

GB/T22081-2008/ISO/IEC27002:2005《信息技術(shù)安全技術(shù)信息安全管理實(shí)

用規(guī)則》

GB/T19011-2003IDTISO19011:2002《質(zhì)量和（或）環(huán)境管理體系審核指南》

1.3注冊(cè)級(jí)別

1.3.1CCAAISMS審核員注冊(cè)資格分為實(shí)習(xí)審核員、審核員和高級(jí)審核員三個(gè)級(jí)

別。

●ISMS實(shí)習(xí)審核員

ISMS實(shí)習(xí)審核員資格授予經(jīng)CCAA考核評(píng)價(jià)，確認(rèn)符合本準(zhǔn)則相應(yīng)注冊(cè)資

格要求并具備ISMS審核所必要的知識(shí)和基本技能的申請(qǐng)人。

實(shí)習(xí)審核員不能獨(dú)立實(shí)施審核任務(wù)。

●ISMS審核員

______________________________________________________________________________________________

發(fā)布日期：2012年6月19日CCAA-141

中國(guó)認(rèn)證認(rèn)可協(xié)會(huì)（CCAA）

版本：1信息安全管理體系審核員注冊(cè)準(zhǔn)則第4頁(yè)共16頁(yè)

ISMS審核員資格授予經(jīng)CCAA考核評(píng)價(jià)，確認(rèn)符合本準(zhǔn)則相應(yīng)注冊(cè)資格要求，

具備ISMS審核所需的知識(shí)和技能，并在實(shí)施審核活動(dòng)方面有一定實(shí)踐經(jīng)驗(yàn)的申請(qǐng)人。

審核員可以獨(dú)自一人完成或作為審核組成員完成ISMS審核任務(wù)，也可以在高級(jí)

審核員的指導(dǎo)和幫助下，作為實(shí)習(xí)審核組長(zhǎng)領(lǐng)導(dǎo)審核組完成ISMS審核任務(wù)。

●ISMS高級(jí)審核員

ISMS高級(jí)審核員資格授予經(jīng)CCAA考核評(píng)價(jià)，確認(rèn)符合本準(zhǔn)則相應(yīng)注冊(cè)資格要

求，具備ISMS審核所需的知識(shí)和技能以及領(lǐng)導(dǎo)一個(gè)審核組所需的能力，并在策劃、

協(xié)調(diào)、實(shí)施審核活動(dòng)以及與審核委托方、受審核方溝通等方面有豐富實(shí)踐經(jīng)驗(yàn)的申請(qǐng)

人。

高級(jí)審核員可以完成或領(lǐng)導(dǎo)審核組完成ISMS審核任務(wù)。

高級(jí)審核員有責(zé)任指導(dǎo)審核組內(nèi)的實(shí)習(xí)審核員和審核員實(shí)施、改進(jìn)審核活動(dòng)和審

核管理活動(dòng)。

1.3.2CCAAISMS審核員注冊(cè)遵循逐級(jí)晉升的原則。

1.3.3審核員聘用機(jī)構(gòu)應(yīng)建立并實(shí)施能力分析和評(píng)價(jià)系統(tǒng)（或程序），按照其開

展的信息安全管理體系認(rèn)證的業(yè)務(wù)類別，對(duì)審核員的專業(yè)能力進(jìn)行更細(xì)化的專業(yè)

能力評(píng)定。

第二章注冊(cè)要求

2.1申請(qǐng)要求

2.1.1各級(jí)別注冊(cè)申請(qǐng)人應(yīng)認(rèn)真閱讀CCAAISMS審核員注冊(cè)準(zhǔn)則，了解各項(xiàng)注冊(cè)要求。

2.1.2申請(qǐng)人應(yīng)提供真實(shí)、完整的注冊(cè)信息、資料。申請(qǐng)信息、資料應(yīng)使用中文或英文，

如提供其他語言的信息、資料，應(yīng)附有經(jīng)聘用申請(qǐng)人的認(rèn)證機(jī)構(gòu)確認(rèn)的中文翻譯件。

2.1.3申請(qǐng)人應(yīng)登陸CCAA網(wǎng)站，完成網(wǎng)上注冊(cè)申請(qǐng)，打

印帶有條形碼（申請(qǐng)?zhí)枺┑淖?cè)申請(qǐng)表格。申請(qǐng)表應(yīng)填寫完整，由申請(qǐng)人親筆簽

字，注冊(cè)擔(dān)保人、推薦機(jī)構(gòu)負(fù)責(zé)人簽字并蓋機(jī)構(gòu)公章，附上所有要求的證明資料，

與注冊(cè)費(fèi)用一同遞交CCAA。

2.1.4申請(qǐng)人應(yīng)簽署聲明，表示其同意遵守CCAA注冊(cè)準(zhǔn)則的各項(xiàng)要求，特別是行為規(guī)

范的要求。

______________________________________________________________________________________________

發(fā)布日期：2012年6月19日CCAA-141

中國(guó)認(rèn)證認(rèn)可協(xié)會(huì)（CCAA）

版本：1信息安全管理體系審核員注冊(cè)準(zhǔn)則第5頁(yè)共16頁(yè)

2.1.5申請(qǐng)人提交完整的注冊(cè)申請(qǐng)資料和注冊(cè)費(fèi)用后，CCAA方可受理申請(qǐng)，開始評(píng)價(jià)

注冊(cè)程序。注冊(cè)費(fèi)用見《認(rèn)證人員注冊(cè)收費(fèi)規(guī)則》（詳見CCAA網(wǎng)站）。

2.1.6申請(qǐng)人如果對(duì)注冊(cè)過程或注冊(cè)信息發(fā)布方式、內(nèi)容等有特殊要求，應(yīng)在申請(qǐng)時(shí)書

面說明。

2.2申請(qǐng)人資格經(jīng)歷要求

2.2.1教育經(jīng)歷

申請(qǐng)人應(yīng)具有國(guó)家承認(rèn)的信息安全相關(guān)或相近專業(yè)大學(xué)本科（含）以上學(xué)歷，并

取得相應(yīng)的學(xué)位證書。無學(xué)位證書的申請(qǐng)人應(yīng)至少有5年與信息安全相關(guān)的全職工作

經(jīng)歷或與信息安全相關(guān)的中級(jí)（含）以上技術(shù)職稱。

信息安全相關(guān)和相近專業(yè)包括：電子信息科學(xué)與技術(shù)、微電子學(xué)、光信息科學(xué)與

技術(shù)、信息安全、電子信息工程、通信工程、計(jì)算機(jī)科學(xué)與技術(shù)、電子科學(xué)與技術(shù)、

信息對(duì)抗技術(shù)、信息管理與信息系統(tǒng)、微電子學(xué)與固體電子學(xué)、通信與信息系統(tǒng)、

信號(hào)與信息處理、計(jì)算機(jī)軟件與理論、計(jì)算機(jī)應(yīng)用技術(shù)、密碼學(xué)、光電子技術(shù)科

學(xué)、集成電路設(shè)計(jì)與集成系統(tǒng)、智能科學(xué)與技術(shù)、信息顯示與光電技術(shù)、數(shù)字媒

體技術(shù)、測(cè)繪工程、遙感科學(xué)與技術(shù)、電子商務(wù)、網(wǎng)絡(luò)工程、廣播電視工程、建

筑設(shè)施智能技術(shù)、電氣工程及自動(dòng)化等。

必要時(shí)須向CCAA提供相關(guān)證明材料。

2.2.2工作經(jīng)歷

實(shí)習(xí)審核員/審核員工作經(jīng)歷要求

最高學(xué)歷為本科畢業(yè)的申請(qǐng)人應(yīng)具有至少4年全職工作經(jīng)歷；最高學(xué)歷為碩士研

究生及以上畢業(yè)的申請(qǐng)人應(yīng)具有至少2年全職工作經(jīng)歷；

高級(jí)審核員工作經(jīng)歷要求

最高學(xué)歷為本科畢業(yè)的申請(qǐng)人應(yīng)具有至少6年全職工作經(jīng)歷；最高學(xué)歷為碩士研

究生及以上畢業(yè)的申請(qǐng)人應(yīng)具有至少4年全職工作經(jīng)歷；

工作經(jīng)歷應(yīng)在負(fù)有判定責(zé)任的技術(shù)、專業(yè)或管理崗位獲得。滿足CCAA

注冊(cè)要求的工作經(jīng)歷應(yīng)在取得學(xué)歷教育之后獲得。

2.2.3專業(yè)工作經(jīng)歷

實(shí)習(xí)審核員/審核員申請(qǐng)人在全部工作經(jīng)歷中應(yīng)具有至少2年與信息安全相

關(guān)的工作經(jīng)歷；

______________________________________________________________________________________________

發(fā)布日期：2012年6月19日CCAA-141

中國(guó)認(rèn)證認(rèn)可協(xié)會(huì)（CCAA）

版本：1信息安全管理體系審核員注冊(cè)準(zhǔn)則第6頁(yè)共16頁(yè)

高級(jí)審核員申請(qǐng)人在全部工作經(jīng)歷中應(yīng)具有至少4年與信息安全相關(guān)的工作

經(jīng)歷。并具備CCAAQMS高級(jí)審核員注冊(cè)資格1年以上或與信息安全和信息技術(shù)相

關(guān)的高級(jí)技術(shù)職稱。

信息安全相關(guān)工作經(jīng)歷包括信息安全管理工作（如ISMS的研究、實(shí)施、運(yùn)作、

咨詢、審核、教學(xué)經(jīng)歷），信息安全技術(shù)工作（如信息安全科研教學(xué)、工程設(shè)計(jì)與實(shí)施、

產(chǎn)品研發(fā)與測(cè)試和網(wǎng)絡(luò)管理工作等）。

其中，ISMS的實(shí)施經(jīng)歷是指組織中業(yè)務(wù)管理部門的人員和組織中信息安全管理體

系實(shí)施部門的負(fù)責(zé)人具體實(shí)施管理體系的經(jīng)歷。ISMS的運(yùn)作經(jīng)歷指組織中最高管理層、

信息安全主管部門的人員策劃、運(yùn)行管理體系的經(jīng)歷。

專業(yè)工作經(jīng)歷與工作經(jīng)歷可以同時(shí)發(fā)生。

2.2.4培訓(xùn)考試

申請(qǐng)人應(yīng)成功地完成CCAA承認(rèn)的ISMS審核員培訓(xùn)課程，并考試合格。

2.2.5審核經(jīng)歷

實(shí)習(xí)審核員

實(shí)習(xí)審核員注冊(cè)申請(qǐng)人無ISMS審核經(jīng)歷要求。

審核員

以實(shí)習(xí)審核員的身份，作為審核組成員在審核員或高級(jí)審核員的指導(dǎo)和幫助下完

成至少3次ISMS初次認(rèn)證或再認(rèn)證審核經(jīng)歷。

所有審核經(jīng)歷應(yīng)當(dāng)在申請(qǐng)前3年內(nèi)獲得。

高級(jí)審核員

作為實(shí)習(xí)審核組長(zhǎng)在高級(jí)審核員的指導(dǎo)和幫助下，領(lǐng)導(dǎo)審核組完成至少3次

ISMS初次認(rèn)證或再認(rèn)證審核經(jīng)歷。

所有審核經(jīng)歷應(yīng)當(dāng)在申請(qǐng)前2年內(nèi)獲得。

2.2.6審核經(jīng)歷記錄

用于申請(qǐng)注冊(cè)的審核經(jīng)歷應(yīng)填入《CCAA審核經(jīng)歷記錄表》。

2.3個(gè)人素質(zhì)和審核原則要求

2.3.1各級(jí)別審核員應(yīng)具備下列個(gè)人素質(zhì)：

a）有道德，即公正、可靠、忠誠(chéng)、誠(chéng)實(shí)和謹(jǐn)慎；

______________________________________________________________________________________________

發(fā)布日期：2012年6月19日CCAA-141

中國(guó)認(rèn)證認(rèn)可協(xié)會(huì)（CCAA）

版本：1信息安全管理體系審核員注冊(cè)準(zhǔn)則第7頁(yè)共16頁(yè)

b）思想開明，即愿意考慮不同意見或觀點(diǎn)；

c）善于交往，即靈活地與人交往；

d）善于觀察，即主動(dòng)地認(rèn)識(shí)周圍環(huán)境和活動(dòng)；

e）有感知力，即能本能地了解和理解環(huán)境；

f）適應(yīng)力強(qiáng)，即容易適應(yīng)不同情況；

g）堅(jiān)韌不拔，即對(duì)實(shí)現(xiàn)目的堅(jiān)持不懈；

h）明斷，即根據(jù)邏輯推理和分析及時(shí)得出結(jié)論；

i）自立，即在同其他人交往中獨(dú)立工作并發(fā)揮作用；

j）健康，即身體健康狀況良好并無傳染性疾病。

2.3.2各級(jí)別審核員應(yīng)按照下列原則進(jìn)行工作：

a)道德行為：職業(yè)的基礎(chǔ)

對(duì)審核而言，誠(chéng)信、正直、保守秘密和謹(jǐn)慎應(yīng)是最基本的。

b)公正表達(dá)：真實(shí)、準(zhǔn)確地報(bào)告的義務(wù)

審核發(fā)現(xiàn)、審核結(jié)論和審核報(bào)告應(yīng)真實(shí)和準(zhǔn)確地反映審核活動(dòng)。報(bào)告在審核

過程中遇到的重大障礙以及在審核組和受審核方之間沒有解決的分歧意見。

c)職業(yè)素養(yǎng)：在審核中勤奮并具有判斷力

審核員應(yīng)珍視他們所執(zhí)行的任務(wù)的重要性以及委托方和其它相關(guān)方對(duì)自己

的信任。具有必要的能力是一個(gè)重要的因素。

d)獨(dú)立性：審核的公正性和審核結(jié)論的客觀性的基礎(chǔ)

審核員應(yīng)獨(dú)立于受審核的活動(dòng)，并且不帶偏見，沒有利益上的沖突。審核員

在審核過程中應(yīng)保持客觀的心態(tài)，以保證審核發(fā)現(xiàn)和結(jié)論僅建立在審核證據(jù)的基

礎(chǔ)上。

e)基于證據(jù)的方法：在一個(gè)系統(tǒng)的審核過程中，得出可信的和可重現(xiàn)的審核

結(jié)論的合理方法

審核證據(jù)應(yīng)是可證實(shí)的。由于審核是在有限的時(shí)間內(nèi)并在有限的資源條件下

進(jìn)行的，因此審核證據(jù)是建立在可獲得的信息樣本的基礎(chǔ)上。抽樣的合理性與審

核結(jié)論的可信性密切相關(guān)。

2.4知識(shí)和技能要求

______________________________________________________________________________________________

發(fā)布日期：2012年6月19日CCAA-141

中國(guó)認(rèn)證認(rèn)可協(xié)會(huì)（CCAA）

版本：1信息安全管理體系審核員注冊(cè)準(zhǔn)則第8頁(yè)共16頁(yè)

2.4.1各級(jí)別審核員應(yīng)具備的知識(shí)和技能

管理體系審核

理解GB/T19011標(biāo)準(zhǔn)3、4、6章的內(nèi)容；

理解審核原則、程序和技術(shù)的應(yīng)用；

理解受審核方管理體系與審核準(zhǔn)則的關(guān)系；

理解如何確定組織的信息安全管理體系范圍，以及在受審核方組織環(huán)境中

實(shí)施有效的審核；

理解審核中運(yùn)用抽樣技術(shù)的適宜性和后果；

信息安全管理體系

理解GB/T22080-2008/ISO/IEC27001:2005標(biāo)準(zhǔn)每項(xiàng)條款的內(nèi)容和要求；

理解GB/T22080-2008/ISO/IEC27001:2005標(biāo)準(zhǔn)中的術(shù)語；

理解信息安全特性（保密性、可用性、完整性以及真實(shí)性、可核查性、不

可否認(rèn)性和可信性）之間的聯(lián)系；

理解信息安全管理體系在不同類型組織中的應(yīng)用，包括：

a)不同類型組織信息資產(chǎn)的識(shí)別以及與組織業(yè)務(wù)的關(guān)系；

b)不同類型組織資產(chǎn)脆弱性與威脅的識(shí)別以及與組織業(yè)務(wù)的關(guān)系；

c)不同類型組織信息安全技術(shù)應(yīng)用以及與組織業(yè)務(wù)的關(guān)系；

d)保障物理區(qū)域安全的常用技術(shù)；

e)通信設(shè)施及信息處理設(shè)施運(yùn)行中的信息安全；

f)信息系統(tǒng)的開發(fā)、獲取和維護(hù)；

g)訪問控制；

h)信息安全領(lǐng)域的業(yè)務(wù)連續(xù)性管理與容災(zāi)；

i)信息安全技術(shù)符合性測(cè)試及IT系統(tǒng)審計(jì)；

j)理解GB/T22080-2008/ISO/IEC27001:2005標(biāo)準(zhǔn)中控制措施的選擇以及

刪減原則。

理解風(fēng)險(xiǎn)管理的基本原理和常用風(fēng)險(xiǎn)評(píng)估技術(shù)以及在信息安全管理中的

應(yīng)用；

了解用于文件、數(shù)據(jù)和記錄的授權(quán)、安全、發(fā)放、控制的信息系統(tǒng)和技術(shù)。

______________________________________________________________________________________________

發(fā)布日期：2012年6月19日CCAA-141

中國(guó)認(rèn)證認(rèn)可協(xié)會(huì)（CCAA）

版本：1信息安全管理體系審核員注冊(cè)準(zhǔn)則第9頁(yè)共16頁(yè)

法律法規(guī)

了解我國(guó)法律法規(guī)體系的構(gòu)成；

了解組織所屬行業(yè)中行業(yè)性法律法規(guī)要求；

與信息安全管理體系的關(guān)系以及在審核中的應(yīng)用；

了解國(guó)家認(rèn)證認(rèn)可法規(guī)、規(guī)章要求；

了解相關(guān)的國(guó)際條約和公約、合同和協(xié)議等；

了解組織遵守的其他要求；

了解CCAA審核員行為規(guī)范要求。

2.4.2高級(jí)審核員應(yīng)具備的技能

對(duì)審核進(jìn)行總體策劃并在審核中有效地利用資源；

代表審核組與審核委托方和受審核方進(jìn)行溝通；

組織和指導(dǎo)審核組成員開展審核工作；

領(lǐng)導(dǎo)審核組得出審核結(jié)論；

預(yù)防和解決沖突；

編制和完成審核報(bào)告；

主持首次、末次會(huì)議。

2.5注冊(cè)人員行為規(guī)范要求

所有注冊(cè)人員均應(yīng)遵守CCAA注冊(cè)人員行為規(guī)范。

在初次注冊(cè)和再注冊(cè)時(shí)，所有申請(qǐng)人均應(yīng)簽署聲明，表明其遵守行為規(guī)范。

a)遵紀(jì)守法、敬業(yè)誠(chéng)信、客觀公正；

b)努力提高個(gè)人的專業(yè)能力和聲譽(yù)；

c)幫助所管理的人員拓展其專業(yè)能力；

d)不承擔(dān)本人不能勝任的任務(wù)；

e)不介入沖突或利益競(jìng)爭(zhēng)，不向任何委托方或聘用機(jī)構(gòu)隱瞞任何可能影

響公正判斷的關(guān)系；

f)不討論或透露任何與工作任務(wù)相關(guān)的信息，除非應(yīng)法律要求或得到委托方

和/或聘用單位的書面授權(quán)；

______________________________________________________________________________________________

發(fā)布日期：2012年6月19日CCAA-141

中國(guó)認(rèn)證認(rèn)可協(xié)會(huì)（CCAA）

版本：1信息安全管理體系審核員注冊(cè)準(zhǔn)則第10頁(yè)共16頁(yè)

g)不接受受審核方及其員工或任何利益相關(guān)方的任何賄賂、傭金、禮物或任

何其它利益，也不應(yīng)在知情時(shí)允許同事接受；

h)不有意傳播可能損害審核工作或人員注冊(cè)過程的信譽(yù)的虛假或誤導(dǎo)性信

息；

i)不以任何方式損害CCAA及其人員注冊(cè)過程的聲譽(yù)。與針對(duì)違背本準(zhǔn)則

的行為而進(jìn)行的調(diào)查進(jìn)行充分的合作；

j)不向受審核方提供相關(guān)咨詢。

2.6監(jiān)督與年度確認(rèn)要求

2.6.1CCAA采用年度確認(rèn)的方式，對(duì)審核員和高級(jí)審核員持續(xù)保持其能力和個(gè)人素質(zhì)

以及遵守行為規(guī)范的情況進(jìn)行監(jiān)督。聘用機(jī)構(gòu)應(yīng)在CCAA規(guī)定的年度確認(rèn)受理時(shí)間（每

年的4月和10月）內(nèi)統(tǒng)一申報(bào)本機(jī)構(gòu)聘用人員的相關(guān)情況，并提交年度確認(rèn)匯總表（包

括書面和電子文件兩種格式）。

2.6.2在注冊(cè)證書有效期內(nèi)，審核員和高級(jí)審核員每年應(yīng)完成下列活動(dòng)，表明其持續(xù)符

合準(zhǔn)則的相關(guān)要求：

至少成功地完成1次ISMS審核經(jīng)歷，或完成15小時(shí)專業(yè)發(fā)展活動(dòng)；

持續(xù)遵守行為規(guī)范的要求；

已妥善解決任何針對(duì)其審核表現(xiàn)的投訴；

當(dāng)CCAA有指定的審核員繼續(xù)教育或?qū)I(yè)發(fā)展活動(dòng)時(shí)，已按要求完成。

2.6.3審核員和高級(jí)審核員應(yīng)保留完成年度確認(rèn)的記錄（如CCAA發(fā)布的通知公告），

在申請(qǐng)?jiān)僮?cè)時(shí)作為證明文件提交CCAA。

2.6.4實(shí)習(xí)審核員無年度確認(rèn)要求。CCAA將通過處理投訴、接受聘用機(jī)構(gòu)和受審核方

反饋等方式收集信息，對(duì)實(shí)習(xí)審核員進(jìn)行監(jiān)督。

2.6.5必要時(shí)，CCAA可對(duì)各級(jí)別審核員采取專項(xiàng)調(diào)查、質(zhì)詢或要求提供更多證實(shí)信息

等方式進(jìn)行更頻繁更深入的監(jiān)督。

2.7再注冊(cè)要求

2.7.1各級(jí)別審核員應(yīng)每3年進(jìn)行一次再注冊(cè)，以確保持續(xù)符合本準(zhǔn)則相應(yīng)注冊(cè)級(jí)別的

各項(xiàng)要求。

______________________________________________________________________________________________

發(fā)布日期：2012年6月19日CCAA-141

中國(guó)認(rèn)證認(rèn)可協(xié)會(huì)（CCAA）

版本：1信息安全管理體系審核員注冊(cè)準(zhǔn)則第11頁(yè)共16頁(yè)

2.7.2實(shí)習(xí)審核員再注冊(cè)要求

注冊(cè)證書到期前3個(gè)月內(nèi)，向CCAA提出再注冊(cè)申請(qǐng)；

注冊(cè)證書有效期內(nèi)持續(xù)遵守行為規(guī)范；

已妥善解決任何針對(duì)其審核表現(xiàn)的投訴；

當(dāng)CCAA有指定的審核員繼續(xù)教育或?qū)I(yè)發(fā)展活動(dòng)時(shí)，已按要求完成。

2.7.3審核員再注冊(cè)要求

注冊(cè)證書到期前3個(gè)月內(nèi)，向CCAA提出再注冊(cè)申請(qǐng)；

注冊(cè)證書有效期內(nèi)，完成至少3次ISMS審核經(jīng)歷；

如存在注冊(cè)準(zhǔn)則要求變更，應(yīng)符合變更后的相應(yīng)要求；

注冊(cè)證書有效期內(nèi)持續(xù)遵守行為規(guī)范；

已妥善解決任何針對(duì)其審核表現(xiàn)的投訴；

完成歷次的年度確認(rèn)；

當(dāng)CCAA有指定的審核員繼續(xù)教育或?qū)I(yè)發(fā)展活動(dòng)時(shí)，已按要求完成。

2.7.4高級(jí)審核員再注冊(cè)要求

注冊(cè)證書到期前3個(gè)月內(nèi)，向CCAA提出再注冊(cè)申請(qǐng)；

注冊(cè)證書有效期內(nèi)，作為審核組長(zhǎng)完成至少3次ISMS審核經(jīng)歷；

如存在注冊(cè)準(zhǔn)則要求變更，應(yīng)符合變更后的相應(yīng)要求；

注冊(cè)證書有效期內(nèi)持續(xù)遵守行為規(guī)范；

已妥善解決任何針對(duì)其審核表現(xiàn)的投訴；

完成歷次的年度確認(rèn)；

當(dāng)CCAA有指定的審核員繼續(xù)教育或?qū)I(yè)發(fā)展活動(dòng)時(shí)，已按要求完成。

2.8申請(qǐng)資料要求

2.8.1申請(qǐng)資料由推薦機(jī)構(gòu)集中申報(bào)，包括申請(qǐng)表、相關(guān)證明文件和注冊(cè)費(fèi)用。

2.8.2申請(qǐng)資料清單

實(shí)習(xí)審核員

a)注冊(cè)申請(qǐng)表（網(wǎng)上注冊(cè)后生成）；

b)身份證（復(fù)印件）；

______________________________________________________________________________________________

發(fā)布日期：2012年6月19日CCAA-141

中國(guó)認(rèn)證認(rèn)可協(xié)會(huì)（CCAA）

版本：1信息安全管理體系審核員注冊(cè)準(zhǔn)則第12頁(yè)共16頁(yè)

c）學(xué)歷證書和學(xué)位證書（復(fù)印件）；

d)審核員培訓(xùn)合格證書（復(fù)印件）；

e）考試合格證明（復(fù)印件）；

f)中級(jí)以上（含中級(jí)）職稱證明（復(fù)印件）（適用時(shí)）；

g）注冊(cè)費(fèi)。

審核員

a)注冊(cè)申請(qǐng)表（網(wǎng)上注冊(cè)后生成），應(yīng)經(jīng)推薦機(jī)構(gòu)蓋章確認(rèn)；

b)身份證（復(fù)印件）；

c）學(xué)歷證書和學(xué)位證書（復(fù)印件）；

d)實(shí)習(xí)審核員注冊(cè)資格證明（復(fù)印件）；

e)審核員培訓(xùn)合格證書（復(fù)印件）；

f）考試合格證明（復(fù)印件）；

g）審核經(jīng)歷證明(包括審核計(jì)劃、審核經(jīng)歷記錄表、審核經(jīng)歷匯總表)；

h)注冊(cè)費(fèi)。

高級(jí)審核員

a)注冊(cè)申請(qǐng)表（網(wǎng)上注冊(cè)后生成），應(yīng)經(jīng)推薦機(jī)構(gòu)蓋章確認(rèn)；

b)身份證（復(fù)印件）；

c)學(xué)歷證書和學(xué)位證書（復(fù)印件）；

d)CCAAQMS高級(jí)審核員或高級(jí)技術(shù)職稱（復(fù)印件）；

e)審核員注冊(cè)資格證明（復(fù)印件）；

f）審核經(jīng)歷證明(包括審核計(jì)劃、審核經(jīng)歷記錄表、審核經(jīng)歷匯總表)；

g）完成年度確認(rèn)的證明文件，如CCAA通知（適用時(shí)）；

h)完成CCAA指定繼續(xù)教育或?qū)I(yè)發(fā)展的證明文件（適用時(shí)）；

i)注冊(cè)費(fèi)。

年度確認(rèn)

a）年度確認(rèn)匯總表，包括書面和電子文件兩種格式。其中書面文件應(yīng)經(jīng)聘用機(jī)

構(gòu)蓋章確認(rèn)；

b）年度確認(rèn)費(fèi)。

審核員/高級(jí)審核員再注冊(cè)

______________________________________________________________________________________________

發(fā)布日期：2012年6月19日CCAA-141

中國(guó)認(rèn)證認(rèn)可協(xié)會(huì)（CCAA）

版本：1信息安全管理體系審核員注冊(cè)準(zhǔn)則第13頁(yè)共16頁(yè)

a）審核員再注冊(cè)申請(qǐng)表（網(wǎng)上注冊(cè)后生成），應(yīng)經(jīng)推薦機(jī)構(gòu)蓋章確認(rèn)；

b）身份證（復(fù)印件）；

c）學(xué)歷證書和學(xué)位證書（復(fù)印件）；

d)前一輪次注冊(cè)資格證明（復(fù)印件）；

e）完成年度確認(rèn)的證明文件，如CCAA通知；

f)審核經(jīng)歷證明(包括審核計(jì)劃、審核經(jīng)歷記錄表、審核經(jīng)歷匯總表)；

g）完成CCAA指定繼續(xù)教育或?qū)I(yè)發(fā)展的證明文件（適用時(shí)）；

h）注冊(cè)費(fèi)。

第三章評(píng)價(jià)過程

3.1申請(qǐng)受理與資格審查

3.1.1CCAA注冊(cè)管理人員對(duì)注冊(cè)申請(qǐng)資料進(jìn)行審查，確認(rèn)申請(qǐng)人符合2.1和2.2的要求。

3.1.2CCAA注冊(cè)管理人員應(yīng)關(guān)注申請(qǐng)人對(duì)注冊(cè)過程是否有特殊需求并作出相應(yīng)安排。

3.2知識(shí)和技能的考核

申請(qǐng)人應(yīng)在注冊(cè)申請(qǐng)前3年內(nèi)通過CCAA組織的筆試，以證實(shí)其滿足2.4.1

規(guī)定的知識(shí)和技能要求。

3.3個(gè)人素質(zhì)的考核

對(duì)申請(qǐng)人個(gè)人素質(zhì)的考核在培訓(xùn)、考試、審核現(xiàn)場(chǎng)及聘用機(jī)構(gòu)和客戶反饋、注冊(cè)擔(dān)

保人擔(dān)保等過程中結(jié)合進(jìn)行。

3.4擔(dān)保與推薦

3.4.1每名注冊(cè)申請(qǐng)人應(yīng)由一名注冊(cè)擔(dān)保人擔(dān)保。

注冊(cè)擔(dān)保人是指具有良好的個(gè)人聲譽(yù)和CCAA認(rèn)證人員注冊(cè)資格（不含實(shí)習(xí)注

冊(cè)資格），了解申請(qǐng)人專業(yè)狀況、主要工作經(jīng)歷和基本個(gè)人素質(zhì)的人員。

3.4.2注冊(cè)擔(dān)保人應(yīng)對(duì)申請(qǐng)人個(gè)人素質(zhì)(2.3.1)的適宜性和專業(yè)工作經(jīng)歷(2.2.3)

的真實(shí)性作出擔(dān)保。

______________________________________________________________________________________________

發(fā)布日期：2012年6月19日CCAA-141

中國(guó)認(rèn)證認(rèn)可協(xié)會(huì)（CCAA）

版本：1信息安全管理體系審核員注冊(cè)準(zhǔn)則第14頁(yè)共16頁(yè)

3.4.3推薦機(jī)構(gòu)應(yīng)對(duì)申請(qǐng)人資格經(jīng)歷(2.2)的真實(shí)性進(jìn)行核實(shí)，并就申請(qǐng)人的個(gè)人素質(zhì)、

知識(shí)與能力是否適合從事審核活動(dòng)作出推薦意見。

3.5注冊(cè)決定與注冊(cè)公告

3.5.1注冊(cè)決定

CCAA評(píng)價(jià)人員根據(jù)評(píng)價(jià)考核過程中收集的信息形成評(píng)價(jià)考核結(jié)論，作出申請(qǐng)人

是否適宜注冊(cè)的意見；

CCAA注冊(cè)管理人員對(duì)評(píng)價(jià)考核結(jié)論、注冊(cè)意見進(jìn)行審定，作出是否予以注冊(cè)的

決定；注冊(cè)管理人員應(yīng)未參與過對(duì)申請(qǐng)人的評(píng)價(jià)考核與培訓(xùn)。

CCAA負(fù)責(zé)人審核注冊(cè)意見和注冊(cè)決定，批準(zhǔn)注冊(cè)決定。

3.5.2注冊(cè)公告或證書

對(duì)批準(zhǔn)注冊(cè)的申請(qǐng)人，CCAA將予以公告或頒發(fā)注冊(cè)證書，注冊(cè)有效期3年。

對(duì)不予注冊(cè)的申請(qǐng)人，CCAA將通知推薦機(jī)構(gòu)或本人。

對(duì)于符合再注冊(cè)要求的申請(qǐng)人，CCAA將給予再注冊(cè)，有效期3年，自原注冊(cè)

截止日期延續(xù)計(jì)算。對(duì)不符合要求、不予再注冊(cè)的申請(qǐng)人，CCAA將通知推薦機(jī)構(gòu)或

本人。

CCAA負(fù)責(zé)人負(fù)責(zé)批準(zhǔn)人員注冊(cè)公告或注冊(cè)證書。

注冊(cè)公告包含下列信息：

注冊(cè)領(lǐng)域；

注冊(cè)人員姓名；

注冊(cè)級(jí)別和注冊(cè)證書編號(hào)；

注冊(cè)日期；

執(zhí)業(yè)機(jī)構(gòu)名稱。

注冊(cè)證書包含下列信息（適用時(shí)）

CCAA的名稱、標(biāo)識(shí)；

注冊(cè)準(zhǔn)則標(biāo)識(shí)；

注冊(cè)人員姓名和身份識(shí)別信息；

注冊(cè)級(jí)別和注冊(cè)證書編號(hào)；

注冊(cè)日期和有效期。

______________________________________________________________________________________________

發(fā)布日期：2012年6月19日CCAA-141

中國(guó)認(rèn)證認(rèn)可協(xié)會(huì)（CCAA）

版本：1信息安全管理體系審核員注冊(cè)準(zhǔn)則第15頁(yè)共16頁(yè)

3.5.3注冊(cè)人員使用注冊(cè)證書，應(yīng)遵守CCAA《證書及標(biāo)志的使用規(guī)則》，在取得注冊(cè)

證書之前應(yīng)簽署《認(rèn)證人員注冊(cè)證書、標(biāo)志使用承諾》。

3.5.4CCAA擁有頒發(fā)的各類注冊(cè)證書、證卡的所有權(quán)。注冊(cè)人員一旦被撤銷相應(yīng)注冊(cè)

資格，應(yīng)交回相應(yīng)證書。

3.6注冊(cè)資格處置

3.6.1對(duì)違反行為規(guī)范、不滿足注冊(cè)要求的各級(jí)別審核員，經(jīng)調(diào)查核實(shí)，CCAA將按照

《注冊(cè)人員資格處置規(guī)則》給予警告、暫停注冊(cè)資格、降低注冊(cè)級(jí)別，直至撤銷注冊(cè)

資格的處置