CNAS-SC18信息安全管理體系認(rèn)證機(jī)構(gòu)認(rèn)可方案AccreditationSchemeforISMSCertificationBodies中國合格評定國家認(rèn)可委員會CNAS-SC18:2012 3 42規(guī)范性引用文件 43術(shù)語和定義 44ISMS認(rèn)證機(jī)構(gòu)認(rèn)可規(guī)范的構(gòu)成 5R.1認(rèn)可申請 5R.2預(yù)訪問 5R.3初次認(rèn)可的見證評審 6R.4認(rèn)證業(yè)務(wù)范圍的認(rèn)可 6 7C.1認(rèn)證協(xié)議 7C.2風(fēng)險評估和責(zé)任安排 7C.3ISMS審核員在教育、工作經(jīng)歷、審核員培訓(xùn)和審核經(jīng)歷方面的必備條件 7C.4ISMS認(rèn)證證書 8C.5保密 8 8C.7已認(rèn)可的ISMS認(rèn)證的轉(zhuǎn)換 9C.8認(rèn)證申請 9C.9認(rèn)證審核相關(guān)要求 9C.10認(rèn)證機(jī)構(gòu)的信息安全管理體系 9G.1ISMS認(rèn)證機(jī)構(gòu)能力分析和評價系統(tǒng)指南 G.2ISMS審核范圍和認(rèn)證范圍界定指南 G.3ISMS審核時間確定指南 20附錄A（規(guī)范性附錄）ISMS認(rèn)證機(jī)構(gòu)認(rèn)證業(yè)務(wù)范圍分類與分級 22通用信息安全技術(shù)領(lǐng)域和通用信息技術(shù)領(lǐng)域—參考分類、知識點及應(yīng)用 24本文件中，用術(shù)語“應(yīng)”表示相應(yīng)條款是強(qiáng)制性的，用術(shù)語“宜”表示建議。CNAS-SC18:2012信息安全管理體系認(rèn)證機(jī)構(gòu)認(rèn)可方案注：對于ISMS，技術(shù)領(lǐng)域與信息安全控制措）；CNAS-SC18:2012圍。CNAS按認(rèn)證業(yè)務(wù)范圍的大類進(jìn)行認(rèn)可，必要時可將認(rèn)可范圍限定到中類。CNASb)根據(jù)該大類和相關(guān)中類的能力需求分析，以適宜）；一個大類中的多個中類實施了認(rèn)證，CNAS可采用抽樣的方式選取其中一部分中類進(jìn)R.4.2CNAS對ISMS認(rèn)證機(jī)R.4.3CNAS對某一大類的認(rèn)可，僅表明CNAS基于評審認(rèn)為，認(rèn)證機(jī)構(gòu)的能力分析理體系認(rèn)證安全管理的通知》的要求以及有關(guān)主CNAS-SC18:2012資產(chǎn)和技術(shù)特點等方面清晰地界定認(rèn)證所覆蓋全的原因不能在認(rèn)證證書上明示上述全部與組C.5.4審核組成員不宜在審核過程中以任何方式C.8.1認(rèn)證機(jī)構(gòu)應(yīng)確保客戶組織符合工信部聯(lián)協(xié)[2010]394號文《關(guān)于加強(qiáng)信息安全管理體系認(rèn)證安全管理的通知》的要求，以及有關(guān)主管部門/監(jiān)管部門對信息安全C.8.2認(rèn)證機(jī)構(gòu)宜要求客戶組織向其說明適用的關(guān)于認(rèn)證機(jī)構(gòu)的資質(zhì)、誠信守法記ISMS初次認(rèn)證審核的第一階段審核宜包括在客ISMS認(rèn)證審核員在審核過程中評價可能涉及的信息安全控制措施的b)應(yīng)用知識/技能所要實現(xiàn)的結(jié)果。它與人員所承擔(dān)的職能有承擔(dān)認(rèn)證職能知識和技能實施申請評審以確定所需的審核組成員和確定審核時間復(fù)核審核報告和做出認(rèn)證決定審核和領(lǐng)導(dǎo)審核組經(jīng)營管理實踐的知識√審核原則、實踐和技巧的知識√√ISMS標(biāo)準(zhǔn)和規(guī)范的知識√√√認(rèn)證機(jī)構(gòu)過程的知識√√√涉及ISMS活動的客戶的業(yè)務(wù)領(lǐng)域的知識√√√客戶的產(chǎn)品、過程和組織的知識√√與客戶組織中的各個層級相適應(yīng)的語言技能√作記錄和撰寫報告的技能√表達(dá)技能√面談技能√承擔(dān)認(rèn)證職能知識和技能實施申請評審以確定所需的審核組成員和確定審核時間復(fù)核審核報告和做出認(rèn)證決定審核和領(lǐng)導(dǎo)審核組審核管理技能√承擔(dān)同種職能的人員在不同的認(rèn)證活動風(fēng)險和復(fù)雜性水平下需要具有的知識/技能水G.1.1.2.2.1通用信息安全技術(shù)領(lǐng)域和通用信息技術(shù)G.1.1.2.2.2認(rèn)證機(jī)構(gòu)宜確定通用信息安全技術(shù)領(lǐng)域和通用信息技術(shù)領(lǐng)域的具體分由于風(fēng)險和復(fù)雜性水平、知識水平可以有不同的分級方式，表G實施申請評審以確定所需的審核組能力、選擇審核組成員和確定審核時間復(fù)核審核報告和做出認(rèn)證決定領(lǐng)導(dǎo)審核組**********************b)技術(shù)領(lǐng)域的分類和專業(yè)能力要求的確定和調(diào)整：認(rèn)證業(yè)務(wù)范圍(1)能力需求分析(1)認(rèn)證業(yè)務(wù)范圍專業(yè)能力需求(2)來自審核的相關(guān)反饋審核指導(dǎo)來自審核的相關(guān)反饋審核指導(dǎo)文件(4)能力提能力提升和補(bǔ)充(5)人員能力評價(3)特定客戶組織專業(yè)能力需求分析具備能力？特定客戶組織專業(yè)能力需求分析具備能力？是特定客戶組織涉及的技術(shù)領(lǐng)域類別和專業(yè)能力及的技術(shù)領(lǐng)域類別和專業(yè)能力人力資源過程(6)選擇和使用對特定客戶組織實施審核和認(rèn)證的人員(6)輸入或輸出判定(7)能力的持續(xù)監(jiān)視(7)b)基于典型的業(yè)務(wù)流程和信息處理流程，分析典型信息處理流程(3)(5)典型信息處理流程(3)(5)典型資產(chǎn)(1)業(yè)務(wù)活動要求(1)(4)典型業(yè)務(wù)流程法規(guī)要求(2)典型信息(4)典型業(yè)務(wù)流程法規(guī)要求(2)(6)合同/相關(guān)方要求(6)典型信息資產(chǎn)的典型信息安全特性典型信息資產(chǎn)的典型信息安全特性安全風(fēng)險(7)信息安全技術(shù)的典型應(yīng)用(7)信息安全技術(shù)的典型應(yīng)用控制措施G.1.3.2.1認(rèn)證機(jī)構(gòu)在對特定客戶組織實施申請評審時，宜根據(jù)G.1.3.2.2由于技術(shù)領(lǐng)域的分類和專業(yè)能力要求主要在認(rèn)證業(yè)務(wù)范圍能力需求分析G.1.3.2.3特定客戶組織的能力需求分析由申請評審人員實施。由于申請評審人員G.1.4.1能力評價是獲取被評價人能力的證據(jù)，并將能力的證據(jù)與能力要求進(jìn)行比G.1.4.2能力的證據(jù)宜與能力要求的內(nèi)容相關(guān)，b)評價的目的，例如：初次聘用、持續(xù)監(jiān)視、b)ISO/IEC27003《信息技術(shù)-安全技術(shù)-信息安全G.2.1.2認(rèn)證機(jī)構(gòu)審核組宜針對所有適用的認(rèn)證業(yè)務(wù)范圍和邊界主要包括關(guān)鍵業(yè)務(wù)及業(yè)務(wù)特性描之外的業(yè)務(wù)流程共用的資產(chǎn)和技術(shù)，要識別其可能產(chǎn)生的風(fēng)險及相應(yīng)對于沒有納入到組織ISMS范圍內(nèi)的職能和部門，客戶組織應(yīng)提供將其排除在外的適基于以上考慮，在界定組織的邊界時，宜識別ISMS所影響的所有人員，并將其b)客戶組織已對臨時現(xiàn)場風(fēng)險進(jìn)行評估并且該CNAS-SC18:2012圍和邊界，一般可以通過識別組織使用的信息系統(tǒng)CNAS-SC18:2012CNAS-SC18:2012大類描述備注政務(wù)01.01一01.02一稅務(wù)機(jī)關(guān)01.03一海關(guān)01.04二其他公共02.01一通信、廣播電視02.02一新聞出版02.03二科研02.04二社會保障02.05二醫(yī)療服務(wù)02.06三教育02.07三其他理、燃?xì)馍a(chǎn)和供應(yīng)、熱力生產(chǎn)和供應(yīng)、城市水陸交通設(shè)施的維護(hù)管理等）商務(wù)03.01一金融03.02一03.03一物流03.04三咨詢中介03.05三旅游、賓館、飯店03.06三其他產(chǎn)品的生產(chǎn)04.01一04.02一鐵路04.03一04.04一化工04.05一航空航天04.06一水利04.07二交通運輸04.08二信息與通信技術(shù)04.09二冶金04.10二采礦04.11二食品、藥品、煙草04.12三農(nóng)、林、牧、副、漁業(yè)04.13三其他注1：CNAS提出ISMS認(rèn)證機(jī)構(gòu)認(rèn)證業(yè)務(wù)范圍分類是為了在規(guī)范的框架下對認(rèn)證機(jī)構(gòu)的能力實施評審，并相應(yīng)地限定其認(rèn)可范圍，以促使ISMS認(rèn)證活動規(guī)范、有序地發(fā)展，控制認(rèn)可風(fēng)險；同時給各認(rèn)證機(jī)構(gòu)開展能力分析和評價提供一致的框架。該分類并不意味著CNAS批準(zhǔn)認(rèn)證機(jī)構(gòu)可以對每個類別中的任何組織實施認(rèn)證活動。注2：CNAS考慮到ISMS相關(guān)技術(shù)和知識與組織的業(yè)務(wù)活動具有相關(guān)性，組織相關(guān)方和業(yè)內(nèi)專家，CNAS-SC18:2012通過討論和劃分ISMS認(rèn)證組織業(yè)務(wù)活動的類型，提出了認(rèn)證業(yè)務(wù)范圍分類。該分類基于我國ISMS認(rèn)證和認(rèn)可活動當(dāng)前的實踐和經(jīng)驗，注意涵蓋了我國信息安全等級保護(hù)的重點領(lǐng)域，例如：廣播電視網(wǎng)、通信網(wǎng)、金融銀行、電力、鐵路、民航、石油化工等，同時兼顧了其他行業(yè)領(lǐng)域。注3：由于ISMS認(rèn)證在世界范圍內(nèi)仍處于發(fā)展階段，我國ISMS認(rèn)證的數(shù)量以及涉及的業(yè)務(wù)活動類型都還有限，所以認(rèn)證業(yè)務(wù)范圍中組織業(yè)務(wù)活動類型的劃分方式仍需隨著我國ISMS認(rèn)證的發(fā)展和經(jīng)驗的增加不斷改進(jìn)。因此認(rèn)證機(jī)構(gòu)不宜直接將認(rèn)證業(yè)務(wù)范圍分類作為業(yè)務(wù)應(yīng)用技術(shù)領(lǐng)域分類，而需要以其為框架進(jìn)一步分析和確定業(yè)務(wù)應(yīng)用技術(shù)領(lǐng)域。注4：認(rèn)證業(yè)務(wù)范圍分級是為了使CNAS在確定認(rèn)證業(yè)務(wù)范圍的評審方式時考慮相關(guān)的風(fēng)險，從而對認(rèn)證機(jī)構(gòu)業(yè)務(wù)活動的擴(kuò)展進(jìn)行控制，降低認(rèn)可風(fēng)險。這里的風(fēng)險是指CNAS認(rèn)可的風(fēng)險，即CNAS認(rèn)可的ISMS認(rèn)證機(jī)構(gòu)所認(rèn)證的組織的信息安全發(fā)生問題時，連帶使CNAS聲譽(yù)受損或承擔(dān)責(zé)任的風(fēng)險。每個中類的級別主要考慮了在該中類信息安全對于國家安全、社會秩序、公共利益、組織及其相關(guān)方合法權(quán)益的重要性的典型情況。和