信息安全管理體系認證機構的認可說明

1、PAGE PAGE 13信息安全管理體系認證機構的認可說明（征求意見稿）1 目的和適用范圍1.1 為確保CNAS對GB/T 220802008（ISO/IEC 27001:2005, IDT）信息安全管理體系（以下稱為“ISMS”）認證機構實施評審和認可的一致性，指導申請和獲得認可的ISMS認證機構理解和實施認可規(guī)范要求，特制定本文件。1.2 本文件是對ISMS認證機構認可規(guī)范的補充和必要說明，適用于CNAS對ISMS認證機構的認可試點。CNAS將根據(jù)認可試點的經(jīng)驗進一步完善本文件，適時將其轉化為相應認可規(guī)范。本文件R部分是對相關認可規(guī)則的補充和進一步說明。本文件G部分是對相關認可準則的應用指

2、南。2 術語和定義ISO 9000:2005和GB/T 270002006中的術語和定義以及下列術語和定義適用于本文件。2.1技術領域按照信息安全要求、信息技術、信息安全技術和（或）信息安全管理知識、方法、工具在行業(yè)、組織和（或）業(yè)務活動中的應用特點而劃分的范圍2.2ISMS專業(yè)審核員能夠獨立實施涉及特定技術領域的ISMS審核活動的審核員2.3ISMS技術專家針對特定技術領域的信息安全要求、信息技術、信息安全技術和（或）信息安全管理知識、方法、工具等為ISMS認證活動提供支持的技術專家3 ISMS認證機構認可規(guī)范3.1 CNAS-RC01:2006認證機構認可規(guī)則規(guī)定了ISMS認證機構認可活動

3、的基本程序規(guī)則。CNAS-CC01:2007管理體系認證機構要求是ISMS認證機構的基本認可準則。CNAS-CC17:2009信息安全管理體系認證機構要求是ISMS認證機構的專用認可準則。3.2 其他適用的認可規(guī)則包括：CNAS-R01:2006認可標識和認可狀態(tài)聲明管理規(guī)則（2007年第1次修訂）；CNAS-R02:2006公正性和保密規(guī)則；CNAS-R03:2008申訴、投訴和爭議處理規(guī)則；CNAS-RC02:2006認證機構認可資格的暫停與撤銷規(guī)則；CNAS-RC03:2006認證機構信息通報規(guī)則；CNAS-RC04:2008認證機構認可收費管理規(guī)則；CNAS-RC05:2006多場所認

4、證機構認可規(guī)則；CNAS-RC07:2007具有境外關鍵場所的認證機構認可規(guī)則。3.3 其他適用的認可準則包括：CNAS-CC11:2008基于抽樣的多場所認證；CNAS-CC12:2008已認可的管理體系認證的轉換；CNAS-CC14:2008計算機輔助審核技術在獲得認可的管理體系認證中的使用。R部分R.1 認可申請申請認可的ISMS認證機構（以下稱為“申請方”）應具備CNAS-RC01條款5.1.1規(guī)定的基本條件以及下列條件：ISMS認證活動已被國家認監(jiān)委批準；基本運作符合CNAS-CC01。申請方應提供CNAS-RC01:2006條款5.1.2規(guī)定的申請文件以及下列文件和信息：ISMS認

5、證活動國家認監(jiān)委批準文件復印件；已審核過的組織（對應到附錄一中的相應中類）；自申請時間起6個月內計劃實施的審核（對應到附錄一中的相應中類）；需要時CNAS要求的其他信息。R.2 初次認可的見證評審CNAS結合申請方ISMS認證活動的范圍、規(guī)模和風險水平確定初次認可的見證評審安排，通常情況下進行不少于兩次見證評審。注：認可試點期間，如果初次認可中僅實施一次見證評審，CNAS將在申請方獲得認可后，結合其ISMS認證活動發(fā)展情況，至少補充一次見證評審。R.3 認證業(yè)務范圍的認可R.3.1 認證業(yè)務范圍的分類與分級CNAS對ISMS認證機構認證業(yè)務范圍的認可采用本文件附錄一的分類方法：分為“政務”、“

6、公共”、“商務”、“產(chǎn)品的生產(chǎn)”四個大類，每個大類包含若干中類，每個中類被賦予“I”、“II”或“III”（由髙至低）的風險級別。本文件附錄一對以上分類和分級做了進一步說明。R.3.2 認證業(yè)務范圍的認可程序ISMS認證機構申請認證業(yè)務范圍認可應符合CNAS認可規(guī)范的相關要求。通常情況下，在申請認可的認證業(yè)務范圍內，認證機構的能力分析和評價系統(tǒng)應能夠有效地識別和配備開展相關ISMS認證活動所需的能力。R.3.2.1 認證業(yè)務范圍的評審認證業(yè)務范圍的評審方法包括檔案和記錄審查、見證評審、與有關人員面談、對獲證組織的實地訪問等。評審的內容主要包括：按申請認可的大類確認認證機構能力分析和評價系統(tǒng)的完

7、整性、符合性和總體運行情況；在申請認可的每個大類中選取一定數(shù)量的中類，按中類從認證活動管理和實施的各個環(huán)節(jié)驗證認證機構能力分析和評價系統(tǒng)運行的有效性。通常情況下，I級風險的中類必選，并需要實施見證評審；II級和III級風險的中類采用適當?shù)某闃臃椒ㄟx取，必要時進行見證評審；基于以上評審活動的結果，評價認證機構能力分析和評價系統(tǒng)整體運行的有效性。R.3.2.2 認證業(yè)務范圍的認可決定通常情況下，如果CNAS經(jīng)過認證業(yè)務范圍的評審，認為認證機構的能力分析和評價系統(tǒng)運行基本有效，能夠在某一大類中識別和配備認可活動所需的能力，則認可該大類。CNAS對某一大類的認可，僅表明CNAS基于評審認為，認證機構在

8、該大類中開展認證活動時，能夠運用能力分析和評價系統(tǒng)有效地識別和配備所需的能力，并不意味著認證機構已經(jīng)具備了對該大類中所有組織實施認證的能力，更不代表認證機構在該大類中的每次審核都一定有效。因此，認證機構應充分發(fā)揮能力分析和評價系統(tǒng)的作用，在該大類中按照技術領域和認證活動的職能來評價和配備實施認證活動所需的能力（見G.1.2），尤其是要確保為每次審核配備的審核組具備實施有效審核所需的全部能力（見G.1.3 b）。在已認可的大類中，認證機構應在確認具備能力（特別是相關技術領域所需的能力）后，才實施相應的認證活動和在認證證書（不包括I級風險的中類的認證證書）上施加CNAS認可標識。對于I級風險的中類

9、，通常情況下，認證機構應在CNAS實施見證評審并確認符合認可規(guī)范要求后，才可以在認證證書上施加CNAS認可標識。R.4 認可決定在CNAS對申請方做出授予認可的決定前，申請方不能頒發(fā)帶有CNAS認可標識的ISMS認證證書。獲得CNAS認可的ISMS認證機構不能使用IAF-MLA/CNAS聯(lián)合標識。R.5 認證信息通報CNAS-RC03條款4.1.2中的“重大事故”是指具有下列影響的信息安全破壞：已經(jīng)或可能嚴重損害國家安全、社會秩序、公共利益或獲證組織及其相關方的合法權益；或者可能損害頒證機構或CNAS的公信力、聲譽，或使頒證機構或CNAS承擔連帶責任。發(fā)生上述情況時，相關ISMS認證機構應及時

10、采取相應措施并向CNAS通報相關情況。G部分G.1 ISMS認證機構的人員能力G.1.1 技術領域根據(jù)CNAS-CC01條款7.1.1的要求，ISMS認證機構應確定與ISMS認證相關的每個技術領域所需的能力。因此，認證機構首先需要識別和確定與ISMS認證相關的技術領域。識別和確定技術領域宜考慮行業(yè)、組織或業(yè)務活動特定的過程、產(chǎn)品（包括服務）、信息安全要求、信息技術、信息安全技術以及信息安全管理知識、方法、工具。認證機構宜理解技術領域和認證業(yè)務范圍的區(qū)別：認證業(yè)務范圍分類的主要目的是規(guī)范認可的實施與管理、控制認可風險，而確定技術領域是為了使認證機構能夠充分、有效地分析和評價開展ISMS認證所需的

11、能力；兩者所考慮的因素（認證業(yè)務范圍分類的考慮因素見附錄一）也有很大區(qū)別，所以不能認為認證業(yè)務范圍分類就是技術領域。實際情況有可能是認證業(yè)務范圍的一個中類涉及若干特定技術領域，或者一個技術領域涉及多個中類。因此，認證機構宜結合本機構ISMS認證活動的特點和能力分析與評價的需要來識別和確定技術領域。如果認證機構參考認證業(yè)務范圍分類來確定技術領域，宜按照技術領域的定義（見2.1）重新予以調整，以確保能力分析與評價的充分性和有效性。G.1.2 能力分析和評價系統(tǒng)ISMS認證機構應按照認可規(guī)范要求建立能力分析和評價系統(tǒng)。該系統(tǒng)應覆蓋ISMS認證活動涉及的所有人員（包括直接實施審核與認證活動的人員、支持

12、性人員、管理層、各委員會成員以及行政人員），并至少包含下列過程：根據(jù)本機構特點和需要，分析和識別與ISMS認證相關的技術領域和ISMS認證活動的職能（例如申請評審、配備審核組、實施審核、認證決定等）；確定每個技術領域和每項職能所需的能力（即能力要求）及能力評價方法；注：某項職能所需的能力包括當該職能涉及某個技術領域時，有效履行職能所需的該技術領域的相關能力，例如對某一客戶組織進行申請評審所需的技術能力。依據(jù)能力要求，使用能力評價方法，評價和證實有關人員是否具備所需的能力；使用經(jīng)證實具備能力的人員履行相應的職能，或為相應技術領域提供支持；對所使用人員的表現(xiàn)及能力保持與發(fā)展情況進行持續(xù)的監(jiān)控；當通

13、過評價、監(jiān)控等發(fā)現(xiàn)有關人員的實際能力與能力要求存在差距時，通過提供培訓、指導、實踐機會、技術專家等，確保能力要求得到滿足；評審和改進技術領域劃分、能力要求、評價方法等的充分性和適宜性。維護公正性的委員會對認證業(yè)務范圍發(fā)展的意見。認證機構應記錄能力評價的證據(jù)、發(fā)現(xiàn)和結論，以證實評價過程的完整性、可信性和充分性。G.1.3 ISMS審核員能力本文件附錄二參考GB/T 190112003的相關指南和認可規(guī)范相關要求，通過列舉ISMS審核員能力的基本方面，為ISMS認證機構確定審核員能力要求的具體內容提供了一個指導性框架。附錄二不一定覆蓋對某一客戶組織實施有效審核所需的能力的所有方面，同時在很多方面并

14、未描述ISMS審核員能力的具體內容。ISMS認證機構應按照認可規(guī)范要求，運用能力分析和評價系統(tǒng)，參考附錄二確定：ISMS審核員基本能力要求的具體內容；每次審核的審核組能力要求的具體內容，即通過分析擬審核組織的結構、業(yè)務過程、信息安全要求、信息系統(tǒng)、ISMS的規(guī)模和復雜程度、信息安全風險、適用性聲明等，確定對該組織實施有效審核所需的全部能力。ISMS審核員能力的評價方法可以包括（但不限于）：記錄評價、考試、面談、模擬演練（角色扮演）、審核活動的見證等。G.1.4 ISMS審核員和ISMS技術專家的資格條件ISMS審核員和ISMS技術專家應滿足教育、經(jīng)歷、培訓等方面適用的資格條件。教育、經(jīng)歷、培訓

15、是獲取能力的可能途徑，但滿足資格條件并不代表相關人員一定具備所需的能力，認證機構還應按照能力分析和評價系統(tǒng)的規(guī)定評價和證實該人員具備所需的能力。資格條件的審查不能代替能力的評價和證實。G.1.4.1 ISMS審核員資格條件教育：ISMS相應專業(yè)本科學歷（或同等學力），包括：計算機科學技術，電子、通信和自動控制技術，數(shù)學，物理；或ISMS相關專業(yè)本科學歷（或同等學力），包括：G.1.4.1 a）1）以外的其他理工學科，管理。工作經(jīng)歷：滿足G.1.4.1 a）1）時，至少4年信息技術方面全職實際工作經(jīng)歷，其中至少2年的工作經(jīng)歷來自與信息安全有關的職責或職能；或滿足G.1.4.1 a）2）時，至少6

16、年信息技術方面全職實際工作經(jīng)歷，其中至少3年的工作經(jīng)歷來自與信息安全有關的職責或職能。審核員培訓：成功完成5天或40小時的ISMS審核員培訓；審核經(jīng)歷：參加至少4次ISMS審核，審核總天數(shù)不少于20天，其中包括文件評審、風險分析的評審、現(xiàn)場審核和審核報告。G.1.4.2 特定技術領域的ISMS專業(yè)審核員和ISMS技術專家資格條件教育：滿足G.1.4.1 a）的1）或2）；該技術領域工作經(jīng)歷：滿足G.1.4.1 b）1），且至少1年該技術領域相關工作經(jīng)歷，可與G.1.4.1 b）1）同時發(fā)生；或滿足G.1.4.1 b）2），且至少2年該技術領域相關工作經(jīng)歷，可與G.1.4.1 b）2）同時發(fā)生。

17、注：G.1.4.2的b）可用c）或d）代替。該技術領域相關培訓：ISMS專業(yè)審核員：滿足G.1.4.1 c），且成功完成該技術領域相關的審核技術培訓（可與G.1.4.1 c）同時發(fā)生）；ISMS技術專家：成功完成該技術領域相關的信息技術、信息安全、法律法規(guī)等培訓。該技術領域相關審核經(jīng)歷（ISMS專業(yè)審核員適用）：滿足G.1.4.1 d），且在該技術領域ISMS專業(yè)審核員或技術專家指導下，參加至少4次涉及該技術領域的ISMS審核，審核總天數(shù)不少于20天（可與G.1.4.1 d）同時發(fā)生）；該技術領域的其他資格條件。G.1.5 其他ISMS認證機構及其人員還應滿足其他適用的資格要求，例如客戶組織或

18、其主管部門可能對認證機構的資質、誠信守法記錄或認證人員的身份背景等提出要求。G.2 申請ISMS認證機構應要求申請或接受其認證的組織向其說明適用于該組織或相關認證活動的有關保守國家秘密的法律法規(guī)要求，并即時更新該說明，以便判斷認證機構是否具備實施認證活動的資格或條件。G.3 第一階段審核ISMS初次認證審核的第一階段審核應包括在客戶組織現(xiàn)場實施的審核活動，現(xiàn)場審核時間不宜少于1個審核人日。附錄一ISMS認證機構認證業(yè)務范圍分類表大類中類風險級別內容備注01政務01.01I國家機構包括人大、政府、法院、檢察院等，不含稅務機關和海關01.02I稅務機關01.03I海關01.04II其他例如政黨，政

19、協(xié)，人民團體等02公共02.01I廣播電視02.02I通信02.03I新聞出版02.04II互聯(lián)網(wǎng)內容提供02.05II科研02.06II社會保障例如社會保險基金管理、慈善團體等02.07II衛(wèi)生保健02.08III教育02.09III其他例如市政公用事業(yè)（水的生產(chǎn)和供應、污水處理、燃氣生產(chǎn)和供應、熱力生產(chǎn)和供應、城市水陸交通設施的維護管理等）03商務03.01I金融例如銀行、證券、期貨、保險、資產(chǎn)管理等03.02I電子商務以在線交易為主要特點，含網(wǎng)絡游戲03.03III服務外包03.04III咨詢中介例如法律、會計、審計、公證等03.05III物流含郵政03.06III旅游、賓館、飯店03.

20、07III其他04產(chǎn)品的生產(chǎn)產(chǎn)品包括軟件、硬件、流程性材料和服務04.01I電力包括發(fā)電和輸、變、配電等04.02I鐵路04.03I民航04.04I化工04.05I航空航天04.06II交通運輸包括公路、水路、城市公共客運交通等，不含航空和鐵路04.07II信息與通信技術例如軟、硬件生產(chǎn)及其服務，系統(tǒng)集成及其服務，數(shù)字版權保護等04.08II冶金04.09II采礦含石油、天然氣開采04.10II水利04.11II食品、藥品、煙草04.12III農(nóng)、林、牧、副、漁業(yè)04.13III其他注1：以上分類考慮了組織的信息、信息載體及載體所處環(huán)境的特點，并結合了當前我國信息安全等級保護的重點領域，例如政

21、府、稅務、海關、廣播電視網(wǎng)、通信網(wǎng)、金融銀行、電力、鐵路、民航、石油化工等。不宜將認證業(yè)務范圍等同于與ISMS認證相關的技術領域（見G.1.1）。注2：以上風險分級主要考慮獲證組織的信息安全遭受破壞時，對國家安全、社會秩序、公共利益或組織及其相關方的合法權宜可能造成的危害的嚴重程度，以及獲證組織ISMS的有效性發(fā)生問題時，認證機構和CNAS可能承擔的責任，主要是為了控制認可活動的風險，也可為認證機構分析和控制認證業(yè)務風險提供參考。某些中類（例如每個大類的“其他”中類）的風險級別還需要隨著ISMS認證認可活動的發(fā)展做進一步分析。因此，中類的風險級別并不代表相關組織的信息安全風險水平，也不表示該類

22、中所有組織的信息安全風險水平都相同。附錄二ISMS審核員能力的基本方面1 個人素質為了能夠遵循審核原則開展工作，審核員應具備下列個人素質（不限于）：有道德，即公平、誠實、守信、誠懇、謹慎；愿意考慮不同意見或觀點；有交往能力，能夠得體地與人交往；有觀察能力，能夠主動意識到周圍環(huán)境和活動；有感知能力，能夠本能地認識和理解遇到的情況；有適應能力，易于根據(jù)不同情況進行調整；能夠堅持和專注于實現(xiàn)目標；能夠根據(jù)邏輯推理和分析及時得出結論；能夠在與他人有效相互配合的同時獨立工作并發(fā)揮作用。2 審核原則、程序和技術為了在不同審核活動中應用適用的審核原則、程序和技術，并確保審核實施的一致性和系統(tǒng)性，審核員應能夠

23、（不限于）：理解認證可信性與有效性的重要性、利益相關方對認證的期望以及審核風險，并在審核中勤勉盡責，保持應有的職業(yè)謹慎與合理懷疑，合理運用專業(yè)判斷；應用審核類型、審核方案、審核計劃方面的知識和技能；對工作進行有效地計劃和安排，合理利用時間，優(yōu)先關注重點問題，按計劃高效地完成工作；通過有效地面談、傾聽、觀察以及對文件、記錄和數(shù)據(jù)的審查來收集信息，并驗證所收集信息的準確性；理解審核中使用抽樣方法的適宜性和后果，并在審核中使用適當?shù)某闃臃椒ǎ淮_認審核證據(jù)的充分性和適宜性以支持審核發(fā)現(xiàn)和審核結論，僅根據(jù)審核證據(jù)得出審核發(fā)現(xiàn)和審核結論，并評價影響審核發(fā)現(xiàn)和審核結論可靠性的因素；如實、準確地報告審核活動、

24、審核發(fā)現(xiàn)和審核結論，并報告審核中遇到的重大障礙和審核組與受審核方之間未解決的分歧意見使用工作文件記錄審核活動；編制審核報告；維護信息的保密性和安全性；通過個人語言技能或通過翻譯人員有效地溝通。3 管理體系和引用文件為了理解審核范圍并運用審核準則，審核員應能夠：理解管理體系的基礎理論，例如通用術語、管理的系統(tǒng)方法、過程方法、PDCA循環(huán)、方針和目標、體系文件、體系有效性、持續(xù)改進等，并用其指導審核活動；認識和理解信息安全管理體系（包括信息安全控制措施）在組織中的具體應用，以及信息安全管理體系（包括信息安全控制措施）各組成部分之間的相互作用；理解信息安全管理體系標準、適用的程序或其他用作審核準則的

25、信息安全管理體系文件，以及引用文件之間的區(qū)別及優(yōu)先次序，并能在具體審核活動中應用適用的標準、程序或文件，以取得審核證據(jù)，生成審核發(fā)現(xiàn)和審核結論；了解用于文件、數(shù)據(jù)和記錄的核準、安全防護、分發(fā)及控制的信息系統(tǒng)和技術，并能在具體審核活動中應用相關知識。注1：已發(fā)布和制定中的信息安全管理體系標準：GB/T 220802008信息技術 安全技術 信息安全管理體系 要求(ISO/IEC 27001:2005, IDT)GB/T 220812008信息技術 安全技術 信息安全管理實用規(guī)則(ISO/IEC 27002:2007, IDT)ISO/IEC 27000信息技術安全技術信息安全管理體系概述和術語(

26、制定中，預計2009年發(fā)布)ISO/IEC 27003信息技術安全技術信息安全管理體系實施指南(制定中，預計2010年發(fā)布)ISO/IEC 27004信息技術安全技術信息安全管理測量(制定中，預計2010年發(fā)布)ISO/IEC 27005:2008信息技術安全技術信息安全風險管理ISO/IEC 27011信息技術安全技術基于ISO/IEC 27002的電信業(yè)組織信息安全管理指南(制定中，預計2009年發(fā)布)ISO/IEC 27012信息技術安全技術電子政務服務的信息安全管理指南(制定中)ISO 27799:2008健康信息學健康領域使用ISO/IEC 27002的信息安全管理4 組織狀況為了理

27、解組織的運作情況（包括相關的業(yè)務風險），審核員應能夠：理解組織的規(guī)模、結構、職能、關系和相關方的期望；理解組織的基本業(yè)務過程、產(chǎn)品（包括服務）及相關術語；理解和尊重受審核方的文化和社會習俗；從廣闊的視角認識復雜的運作，并理解較大的客戶組織中各單元的作用。注2：如果技術專家僅能夠提供與受審核方的組織、業(yè)務過程、產(chǎn)品（包括服務）、語言或文化有關的知識或技能，則該技術專家不是本文件所定義的ISMS技術專家（見2.3）。5 適用的法律法規(guī)和其他要求審核員應能夠識別適用的法律法規(guī)和與信息安全相關的其他要求，理解它們在受審核組織中的具體應用，并以適當?shù)姆绞嚼盟鼈優(yōu)閷徍颂峁┲С帧＿@些法律法規(guī)和其他要求可能

28、來自：國家、區(qū)域、地方的法律法規(guī)；國際公約和條約；合同和協(xié)議；受審核組織須遵守的其他要求。審核員應理解下列方面的法規(guī)要求：知識產(chǎn)權；組織記錄的內容、保護和保持；數(shù)據(jù)保護與隱私；密碼控制；反恐；電子商務；電子和數(shù)字簽名；工作場所監(jiān)督；通訊偵聽與數(shù)據(jù)監(jiān)視（例如，電子郵件）；計算機濫用；電子證據(jù)收集；滲透測試；國際和國家的行業(yè)特定要求（例如，銀行業(yè)）。注3：信息安全法律法規(guī)的示例：全國人民代表大會常務委員會關于維護互聯(lián)網(wǎng)安全的決定；中華人民共和國計算機信息系統(tǒng)安全保護條例；中華人民共和國保守國家秘密法；中華人民共和國商用密碼管理條例；公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室信息安全

29、等級保護管理辦法；公安部計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法；公安部互聯(lián)網(wǎng)安全保護技術措施規(guī)定；公安部計算機病毒防治管理辦法；中華人民共和國電子簽名法。ISMS專業(yè)審核員還應了解特定技術領域的信息安全要求。注4：行業(yè)特定要求的示例：銀監(jiān)會電子銀行業(yè)務管理辦法；銀監(jiān)會電子銀行安全評估指引；電監(jiān)會關于開展電力行業(yè)信息系統(tǒng)安全等級保護定級工作的通知。6 信息技術審核員應能夠在審核中應用通用的信息技術知識，包括（但不限于）：軟件知識，例如軟件類型（指操作系統(tǒng)、應用軟件、嵌入式軟件等）、軟件生產(chǎn)（指設計、編碼、測試）等；硬件知識，例如計算機結構、存儲設備、外圍設備等；網(wǎng)絡知識，例如網(wǎng)絡基本原理。ISM

30、S專業(yè)審核員還應能夠在審核中應用特定技術領域的信息技術知識，例如下列方面的知識：工業(yè)控制，如分散控制系統(tǒng)（DCS）、過程控制系統(tǒng)（PCS）、數(shù)據(jù)采集與監(jiān)控系統(tǒng)（SCADA）；計算機輔助技術，如計算機輔助設計（CAD）、計算機輔助制造（CAM）、計算機輔助檢測（CAI）；通用的業(yè)務信息系統(tǒng)，如企業(yè)資源計劃（ERP）、客戶關系管理（CRM）、產(chǎn)品數(shù)據(jù)管理（PDM）；行業(yè)專用生產(chǎn)系統(tǒng)，如銀行清算系統(tǒng)、電力調度系統(tǒng)、機場離港系統(tǒng)。7 信息安全審核員應能夠在審核中應用通用的信息安全知識，包括（但不限于：）信息安全的概念、原則、分析方法和實踐；信息安全技術知識（分類詳見附表）；信息安全管理知識，例如：信息安全風險評估和處理；信息安全要求、方針、策略；信息安全過程分析；信息安全內部審核；信息安全控制措施有效性測量和ISMS有效性測量；資產(chǎn)管理；人力資源安全；物理和環(huán)境安全；通信和操作管理；訪問控制；信息系統(tǒng)獲取、開發(fā)和維護；信息安全事件管理；業(yè)務連續(xù)性管理；信息安全工程學；安全配置管理；脆弱性管理（如漏洞管理）；IT產(chǎn)品和服務準入要求。信息安全標準，例如：ISO/IEC JTC 1/SC27歸口的國際標準；全國