信息安全管理體系認(rèn)證機(jī)構(gòu)的認(rèn)可說明

1、PAGE PAGE 13信息安全管理體系認(rèn)證機(jī)構(gòu)的認(rèn)可說明（征求意見稿）1 目的和適用范圍1.1 為確保CNAS對GB/T 220802008（ISO/IEC 27001:2005, IDT）信息安全管理體系（以下稱為“ISMS”）認(rèn)證機(jī)構(gòu)實(shí)施評審和認(rèn)可的一致性，指導(dǎo)申請和獲得認(rèn)可的ISMS認(rèn)證機(jī)構(gòu)理解和實(shí)施認(rèn)可規(guī)范要求，特制定本文件。1.2 本文件是對ISMS認(rèn)證機(jī)構(gòu)認(rèn)可規(guī)范的補(bǔ)充和必要說明，適用于CNAS對ISMS認(rèn)證機(jī)構(gòu)的認(rèn)可試點(diǎn)。CNAS將根據(jù)認(rèn)可試點(diǎn)的經(jīng)驗(yàn)進(jìn)一步完善本文件，適時(shí)將其轉(zhuǎn)化為相應(yīng)認(rèn)可規(guī)范。本文件R部分是對相關(guān)認(rèn)可規(guī)則的補(bǔ)充和進(jìn)一步說明。本文件G部分是對相關(guān)認(rèn)可準(zhǔn)則的應(yīng)用指

2、南。2 術(shù)語和定義ISO 9000:2005和GB/T 270002006中的術(shù)語和定義以及下列術(shù)語和定義適用于本文件。2.1技術(shù)領(lǐng)域按照信息安全要求、信息技術(shù)、信息安全技術(shù)和（或）信息安全管理知識(shí)、方法、工具在行業(yè)、組織和（或）業(yè)務(wù)活動(dòng)中的應(yīng)用特點(diǎn)而劃分的范圍2.2ISMS專業(yè)審核員能夠獨(dú)立實(shí)施涉及特定技術(shù)領(lǐng)域的ISMS審核活動(dòng)的審核員2.3ISMS技術(shù)專家針對特定技術(shù)領(lǐng)域的信息安全要求、信息技術(shù)、信息安全技術(shù)和（或）信息安全管理知識(shí)、方法、工具等為ISMS認(rèn)證活動(dòng)提供支持的技術(shù)專家3 ISMS認(rèn)證機(jī)構(gòu)認(rèn)可規(guī)范3.1 CNAS-RC01:2006認(rèn)證機(jī)構(gòu)認(rèn)可規(guī)則規(guī)定了ISMS認(rèn)證機(jī)構(gòu)認(rèn)可活動(dòng)

3、的基本程序規(guī)則。CNAS-CC01:2007管理體系認(rèn)證機(jī)構(gòu)要求是ISMS認(rèn)證機(jī)構(gòu)的基本認(rèn)可準(zhǔn)則。CNAS-CC17:2009信息安全管理體系認(rèn)證機(jī)構(gòu)要求是ISMS認(rèn)證機(jī)構(gòu)的專用認(rèn)可準(zhǔn)則。3.2 其他適用的認(rèn)可規(guī)則包括：CNAS-R01:2006認(rèn)可標(biāo)識(shí)和認(rèn)可狀態(tài)聲明管理規(guī)則（2007年第1次修訂）；CNAS-R02:2006公正性和保密規(guī)則；CNAS-R03:2008申訴、投訴和爭議處理規(guī)則；CNAS-RC02:2006認(rèn)證機(jī)構(gòu)認(rèn)可資格的暫停與撤銷規(guī)則；CNAS-RC03:2006認(rèn)證機(jī)構(gòu)信息通報(bào)規(guī)則；CNAS-RC04:2008認(rèn)證機(jī)構(gòu)認(rèn)可收費(fèi)管理規(guī)則；CNAS-RC05:2006多場所認(rèn)

4、證機(jī)構(gòu)認(rèn)可規(guī)則；CNAS-RC07:2007具有境外關(guān)鍵場所的認(rèn)證機(jī)構(gòu)認(rèn)可規(guī)則。3.3 其他適用的認(rèn)可準(zhǔn)則包括：CNAS-CC11:2008基于抽樣的多場所認(rèn)證；CNAS-CC12:2008已認(rèn)可的管理體系認(rèn)證的轉(zhuǎn)換；CNAS-CC14:2008計(jì)算機(jī)輔助審核技術(shù)在獲得認(rèn)可的管理體系認(rèn)證中的使用。R部分R.1 認(rèn)可申請申請認(rèn)可的ISMS認(rèn)證機(jī)構(gòu)（以下稱為“申請方”）應(yīng)具備CNAS-RC01條款5.1.1規(guī)定的基本條件以及下列條件：ISMS認(rèn)證活動(dòng)已被國家認(rèn)監(jiān)委批準(zhǔn)；基本運(yùn)作符合CNAS-CC01。申請方應(yīng)提供CNAS-RC01:2006條款5.1.2規(guī)定的申請文件以及下列文件和信息：ISMS認(rèn)

5、證活動(dòng)國家認(rèn)監(jiān)委批準(zhǔn)文件復(fù)印件；已審核過的組織（對應(yīng)到附錄一中的相應(yīng)中類）；自申請時(shí)間起6個(gè)月內(nèi)計(jì)劃實(shí)施的審核（對應(yīng)到附錄一中的相應(yīng)中類）；需要時(shí)CNAS要求的其他信息。R.2 初次認(rèn)可的見證評審CNAS結(jié)合申請方ISMS認(rèn)證活動(dòng)的范圍、規(guī)模和風(fēng)險(xiǎn)水平確定初次認(rèn)可的見證評審安排，通常情況下進(jìn)行不少于兩次見證評審。注：認(rèn)可試點(diǎn)期間，如果初次認(rèn)可中僅實(shí)施一次見證評審，CNAS將在申請方獲得認(rèn)可后，結(jié)合其ISMS認(rèn)證活動(dòng)發(fā)展情況，至少補(bǔ)充一次見證評審。R.3 認(rèn)證業(yè)務(wù)范圍的認(rèn)可R.3.1 認(rèn)證業(yè)務(wù)范圍的分類與分級(jí)CNAS對ISMS認(rèn)證機(jī)構(gòu)認(rèn)證業(yè)務(wù)范圍的認(rèn)可采用本文件附錄一的分類方法：分為“政務(wù)”、“

6、公共”、“商務(wù)”、“產(chǎn)品的生產(chǎn)”四個(gè)大類，每個(gè)大類包含若干中類，每個(gè)中類被賦予“I”、“II”或“III”（由髙至低）的風(fēng)險(xiǎn)級(jí)別。本文件附錄一對以上分類和分級(jí)做了進(jìn)一步說明。R.3.2 認(rèn)證業(yè)務(wù)范圍的認(rèn)可程序ISMS認(rèn)證機(jī)構(gòu)申請認(rèn)證業(yè)務(wù)范圍認(rèn)可應(yīng)符合CNAS認(rèn)可規(guī)范的相關(guān)要求。通常情況下，在申請認(rèn)可的認(rèn)證業(yè)務(wù)范圍內(nèi)，認(rèn)證機(jī)構(gòu)的能力分析和評價(jià)系統(tǒng)應(yīng)能夠有效地識(shí)別和配備開展相關(guān)ISMS認(rèn)證活動(dòng)所需的能力。R.3.2.1 認(rèn)證業(yè)務(wù)范圍的評審認(rèn)證業(yè)務(wù)范圍的評審方法包括檔案和記錄審查、見證評審、與有關(guān)人員面談、對獲證組織的實(shí)地訪問等。評審的內(nèi)容主要包括：按申請認(rèn)可的大類確認(rèn)認(rèn)證機(jī)構(gòu)能力分析和評價(jià)系統(tǒng)的完

7、整性、符合性和總體運(yùn)行情況；在申請認(rèn)可的每個(gè)大類中選取一定數(shù)量的中類，按中類從認(rèn)證活動(dòng)管理和實(shí)施的各個(gè)環(huán)節(jié)驗(yàn)證認(rèn)證機(jī)構(gòu)能力分析和評價(jià)系統(tǒng)運(yùn)行的有效性。通常情況下，I級(jí)風(fēng)險(xiǎn)的中類必選，并需要實(shí)施見證評審；II級(jí)和III級(jí)風(fēng)險(xiǎn)的中類采用適當(dāng)?shù)某闃臃椒ㄟx取，必要時(shí)進(jìn)行見證評審；基于以上評審活動(dòng)的結(jié)果，評價(jià)認(rèn)證機(jī)構(gòu)能力分析和評價(jià)系統(tǒng)整體運(yùn)行的有效性。R.3.2.2 認(rèn)證業(yè)務(wù)范圍的認(rèn)可決定通常情況下，如果CNAS經(jīng)過認(rèn)證業(yè)務(wù)范圍的評審，認(rèn)為認(rèn)證機(jī)構(gòu)的能力分析和評價(jià)系統(tǒng)運(yùn)行基本有效，能夠在某一大類中識(shí)別和配備認(rèn)可活動(dòng)所需的能力，則認(rèn)可該大類。CNAS對某一大類的認(rèn)可，僅表明CNAS基于評審認(rèn)為，認(rèn)證機(jī)構(gòu)在

8、該大類中開展認(rèn)證活動(dòng)時(shí)，能夠運(yùn)用能力分析和評價(jià)系統(tǒng)有效地識(shí)別和配備所需的能力，并不意味著認(rèn)證機(jī)構(gòu)已經(jīng)具備了對該大類中所有組織實(shí)施認(rèn)證的能力，更不代表認(rèn)證機(jī)構(gòu)在該大類中的每次審核都一定有效。因此，認(rèn)證機(jī)構(gòu)應(yīng)充分發(fā)揮能力分析和評價(jià)系統(tǒng)的作用，在該大類中按照技術(shù)領(lǐng)域和認(rèn)證活動(dòng)的職能來評價(jià)和配備實(shí)施認(rèn)證活動(dòng)所需的能力（見G.1.2），尤其是要確保為每次審核配備的審核組具備實(shí)施有效審核所需的全部能力（見G.1.3 b）。在已認(rèn)可的大類中，認(rèn)證機(jī)構(gòu)應(yīng)在確認(rèn)具備能力（特別是相關(guān)技術(shù)領(lǐng)域所需的能力）后，才實(shí)施相應(yīng)的認(rèn)證活動(dòng)和在認(rèn)證證書（不包括I級(jí)風(fēng)險(xiǎn)的中類的認(rèn)證證書）上施加CNAS認(rèn)可標(biāo)識(shí)。對于I級(jí)風(fēng)險(xiǎn)的中類

9、，通常情況下，認(rèn)證機(jī)構(gòu)應(yīng)在CNAS實(shí)施見證評審并確認(rèn)符合認(rèn)可規(guī)范要求后，才可以在認(rèn)證證書上施加CNAS認(rèn)可標(biāo)識(shí)。R.4 認(rèn)可決定在CNAS對申請方做出授予認(rèn)可的決定前，申請方不能頒發(fā)帶有CNAS認(rèn)可標(biāo)識(shí)的ISMS認(rèn)證證書。獲得CNAS認(rèn)可的ISMS認(rèn)證機(jī)構(gòu)不能使用IAF-MLA/CNAS聯(lián)合標(biāo)識(shí)。R.5 認(rèn)證信息通報(bào)CNAS-RC03條款4.1.2中的“重大事故”是指具有下列影響的信息安全破壞：已經(jīng)或可能嚴(yán)重?fù)p害國家安全、社會(huì)秩序、公共利益或獲證組織及其相關(guān)方的合法權(quán)益；或者可能損害頒證機(jī)構(gòu)或CNAS的公信力、聲譽(yù)，或使頒證機(jī)構(gòu)或CNAS承擔(dān)連帶責(zé)任。發(fā)生上述情況時(shí)，相關(guān)ISMS認(rèn)證機(jī)構(gòu)應(yīng)及時(shí)

10、采取相應(yīng)措施并向CNAS通報(bào)相關(guān)情況。G部分G.1 ISMS認(rèn)證機(jī)構(gòu)的人員能力G.1.1 技術(shù)領(lǐng)域根據(jù)CNAS-CC01條款7.1.1的要求，ISMS認(rèn)證機(jī)構(gòu)應(yīng)確定與ISMS認(rèn)證相關(guān)的每個(gè)技術(shù)領(lǐng)域所需的能力。因此，認(rèn)證機(jī)構(gòu)首先需要識(shí)別和確定與ISMS認(rèn)證相關(guān)的技術(shù)領(lǐng)域。識(shí)別和確定技術(shù)領(lǐng)域宜考慮行業(yè)、組織或業(yè)務(wù)活動(dòng)特定的過程、產(chǎn)品（包括服務(wù)）、信息安全要求、信息技術(shù)、信息安全技術(shù)以及信息安全管理知識(shí)、方法、工具。認(rèn)證機(jī)構(gòu)宜理解技術(shù)領(lǐng)域和認(rèn)證業(yè)務(wù)范圍的區(qū)別：認(rèn)證業(yè)務(wù)范圍分類的主要目的是規(guī)范認(rèn)可的實(shí)施與管理、控制認(rèn)可風(fēng)險(xiǎn)，而確定技術(shù)領(lǐng)域是為了使認(rèn)證機(jī)構(gòu)能夠充分、有效地分析和評價(jià)開展ISMS認(rèn)證所需的

11、能力；兩者所考慮的因素（認(rèn)證業(yè)務(wù)范圍分類的考慮因素見附錄一）也有很大區(qū)別，所以不能認(rèn)為認(rèn)證業(yè)務(wù)范圍分類就是技術(shù)領(lǐng)域。實(shí)際情況有可能是認(rèn)證業(yè)務(wù)范圍的一個(gè)中類涉及若干特定技術(shù)領(lǐng)域，或者一個(gè)技術(shù)領(lǐng)域涉及多個(gè)中類。因此，認(rèn)證機(jī)構(gòu)宜結(jié)合本機(jī)構(gòu)ISMS認(rèn)證活動(dòng)的特點(diǎn)和能力分析與評價(jià)的需要來識(shí)別和確定技術(shù)領(lǐng)域。如果認(rèn)證機(jī)構(gòu)參考認(rèn)證業(yè)務(wù)范圍分類來確定技術(shù)領(lǐng)域，宜按照技術(shù)領(lǐng)域的定義（見2.1）重新予以調(diào)整，以確保能力分析與評價(jià)的充分性和有效性。G.1.2 能力分析和評價(jià)系統(tǒng)ISMS認(rèn)證機(jī)構(gòu)應(yīng)按照認(rèn)可規(guī)范要求建立能力分析和評價(jià)系統(tǒng)。該系統(tǒng)應(yīng)覆蓋ISMS認(rèn)證活動(dòng)涉及的所有人員（包括直接實(shí)施審核與認(rèn)證活動(dòng)的人員、支持

12、性人員、管理層、各委員會(huì)成員以及行政人員），并至少包含下列過程：根據(jù)本機(jī)構(gòu)特點(diǎn)和需要，分析和識(shí)別與ISMS認(rèn)證相關(guān)的技術(shù)領(lǐng)域和ISMS認(rèn)證活動(dòng)的職能（例如申請?jiān)u審、配備審核組、實(shí)施審核、認(rèn)證決定等）；確定每個(gè)技術(shù)領(lǐng)域和每項(xiàng)職能所需的能力（即能力要求）及能力評價(jià)方法；注：某項(xiàng)職能所需的能力包括當(dāng)該職能涉及某個(gè)技術(shù)領(lǐng)域時(shí)，有效履行職能所需的該技術(shù)領(lǐng)域的相關(guān)能力，例如對某一客戶組織進(jìn)行申請?jiān)u審所需的技術(shù)能力。依據(jù)能力要求，使用能力評價(jià)方法，評價(jià)和證實(shí)有關(guān)人員是否具備所需的能力；使用經(jīng)證實(shí)具備能力的人員履行相應(yīng)的職能，或?yàn)橄鄳?yīng)技術(shù)領(lǐng)域提供支持；對所使用人員的表現(xiàn)及能力保持與發(fā)展情況進(jìn)行持續(xù)的監(jiān)控；當(dāng)通

13、過評價(jià)、監(jiān)控等發(fā)現(xiàn)有關(guān)人員的實(shí)際能力與能力要求存在差距時(shí)，通過提供培訓(xùn)、指導(dǎo)、實(shí)踐機(jī)會(huì)、技術(shù)專家等，確保能力要求得到滿足；評審和改進(jìn)技術(shù)領(lǐng)域劃分、能力要求、評價(jià)方法等的充分性和適宜性。維護(hù)公正性的委員會(huì)對認(rèn)證業(yè)務(wù)范圍發(fā)展的意見。認(rèn)證機(jī)構(gòu)應(yīng)記錄能力評價(jià)的證據(jù)、發(fā)現(xiàn)和結(jié)論，以證實(shí)評價(jià)過程的完整性、可信性和充分性。G.1.3 ISMS審核員能力本文件附錄二參考GB/T 190112003的相關(guān)指南和認(rèn)可規(guī)范相關(guān)要求，通過列舉ISMS審核員能力的基本方面，為ISMS認(rèn)證機(jī)構(gòu)確定審核員能力要求的具體內(nèi)容提供了一個(gè)指導(dǎo)性框架。附錄二不一定覆蓋對某一客戶組織實(shí)施有效審核所需的能力的所有方面，同時(shí)在很多方面并

14、未描述ISMS審核員能力的具體內(nèi)容。ISMS認(rèn)證機(jī)構(gòu)應(yīng)按照認(rèn)可規(guī)范要求，運(yùn)用能力分析和評價(jià)系統(tǒng)，參考附錄二確定：ISMS審核員基本能力要求的具體內(nèi)容；每次審核的審核組能力要求的具體內(nèi)容，即通過分析擬審核組織的結(jié)構(gòu)、業(yè)務(wù)過程、信息安全要求、信息系統(tǒng)、ISMS的規(guī)模和復(fù)雜程度、信息安全風(fēng)險(xiǎn)、適用性聲明等，確定對該組織實(shí)施有效審核所需的全部能力。ISMS審核員能力的評價(jià)方法可以包括（但不限于）：記錄評價(jià)、考試、面談、模擬演練（角色扮演）、審核活動(dòng)的見證等。G.1.4 ISMS審核員和ISMS技術(shù)專家的資格條件ISMS審核員和ISMS技術(shù)專家應(yīng)滿足教育、經(jīng)歷、培訓(xùn)等方面適用的資格條件。教育、經(jīng)歷、培訓(xùn)

15、是獲取能力的可能途徑，但滿足資格條件并不代表相關(guān)人員一定具備所需的能力，認(rèn)證機(jī)構(gòu)還應(yīng)按照能力分析和評價(jià)系統(tǒng)的規(guī)定評價(jià)和證實(shí)該人員具備所需的能力。資格條件的審查不能代替能力的評價(jià)和證實(shí)。G.1.4.1 ISMS審核員資格條件教育：ISMS相應(yīng)專業(yè)本科學(xué)歷（或同等學(xué)力），包括：計(jì)算機(jī)科學(xué)技術(shù)，電子、通信和自動(dòng)控制技術(shù)，數(shù)學(xué)，物理；或ISMS相關(guān)專業(yè)本科學(xué)歷（或同等學(xué)力），包括：G.1.4.1 a）1）以外的其他理工學(xué)科，管理。工作經(jīng)歷：滿足G.1.4.1 a）1）時(shí)，至少4年信息技術(shù)方面全職實(shí)際工作經(jīng)歷，其中至少2年的工作經(jīng)歷來自與信息安全有關(guān)的職責(zé)或職能；或滿足G.1.4.1 a）2）時(shí)，至少6

16、年信息技術(shù)方面全職實(shí)際工作經(jīng)歷，其中至少3年的工作經(jīng)歷來自與信息安全有關(guān)的職責(zé)或職能。審核員培訓(xùn)：成功完成5天或40小時(shí)的ISMS審核員培訓(xùn)；審核經(jīng)歷：參加至少4次ISMS審核，審核總天數(shù)不少于20天，其中包括文件評審、風(fēng)險(xiǎn)分析的評審、現(xiàn)場審核和審核報(bào)告。G.1.4.2 特定技術(shù)領(lǐng)域的ISMS專業(yè)審核員和ISMS技術(shù)專家資格條件教育：滿足G.1.4.1 a）的1）或2）；該技術(shù)領(lǐng)域工作經(jīng)歷：滿足G.1.4.1 b）1），且至少1年該技術(shù)領(lǐng)域相關(guān)工作經(jīng)歷，可與G.1.4.1 b）1）同時(shí)發(fā)生；或滿足G.1.4.1 b）2），且至少2年該技術(shù)領(lǐng)域相關(guān)工作經(jīng)歷，可與G.1.4.1 b）2）同時(shí)發(fā)生。

17、注：G.1.4.2的b）可用c）或d）代替。該技術(shù)領(lǐng)域相關(guān)培訓(xùn)：ISMS專業(yè)審核員：滿足G.1.4.1 c），且成功完成該技術(shù)領(lǐng)域相關(guān)的審核技術(shù)培訓(xùn)（可與G.1.4.1 c）同時(shí)發(fā)生）；ISMS技術(shù)專家：成功完成該技術(shù)領(lǐng)域相關(guān)的信息技術(shù)、信息安全、法律法規(guī)等培訓(xùn)。該技術(shù)領(lǐng)域相關(guān)審核經(jīng)歷（ISMS專業(yè)審核員適用）：滿足G.1.4.1 d），且在該技術(shù)領(lǐng)域ISMS專業(yè)審核員或技術(shù)專家指導(dǎo)下，參加至少4次涉及該技術(shù)領(lǐng)域的ISMS審核，審核總天數(shù)不少于20天（可與G.1.4.1 d）同時(shí)發(fā)生）；該技術(shù)領(lǐng)域的其他資格條件。G.1.5 其他ISMS認(rèn)證機(jī)構(gòu)及其人員還應(yīng)滿足其他適用的資格要求，例如客戶組織或

18、其主管部門可能對認(rèn)證機(jī)構(gòu)的資質(zhì)、誠信守法記錄或認(rèn)證人員的身份背景等提出要求。G.2 申請ISMS認(rèn)證機(jī)構(gòu)應(yīng)要求申請或接受其認(rèn)證的組織向其說明適用于該組織或相關(guān)認(rèn)證活動(dòng)的有關(guān)保守國家秘密的法律法規(guī)要求，并即時(shí)更新該說明，以便判斷認(rèn)證機(jī)構(gòu)是否具備實(shí)施認(rèn)證活動(dòng)的資格或條件。G.3 第一階段審核ISMS初次認(rèn)證審核的第一階段審核應(yīng)包括在客戶組織現(xiàn)場實(shí)施的審核活動(dòng)，現(xiàn)場審核時(shí)間不宜少于1個(gè)審核人日。附錄一ISMS認(rèn)證機(jī)構(gòu)認(rèn)證業(yè)務(wù)范圍分類表大類中類風(fēng)險(xiǎn)級(jí)別內(nèi)容備注01政務(wù)01.01I國家機(jī)構(gòu)包括人大、政府、法院、檢察院等，不含稅務(wù)機(jī)關(guān)和海關(guān)01.02I稅務(wù)機(jī)關(guān)01.03I海關(guān)01.04II其他例如政黨，政

19、協(xié)，人民團(tuán)體等02公共02.01I廣播電視02.02I通信02.03I新聞出版02.04II互聯(lián)網(wǎng)內(nèi)容提供02.05II科研02.06II社會(huì)保障例如社會(huì)保險(xiǎn)基金管理、慈善團(tuán)體等02.07II衛(wèi)生保健02.08III教育02.09III其他例如市政公用事業(yè)（水的生產(chǎn)和供應(yīng)、污水處理、燃?xì)馍a(chǎn)和供應(yīng)、熱力生產(chǎn)和供應(yīng)、城市水陸交通設(shè)施的維護(hù)管理等）03商務(wù)03.01I金融例如銀行、證券、期貨、保險(xiǎn)、資產(chǎn)管理等03.02I電子商務(wù)以在線交易為主要特點(diǎn)，含網(wǎng)絡(luò)游戲03.03III服務(wù)外包03.04III咨詢中介例如法律、會(huì)計(jì)、審計(jì)、公證等03.05III物流含郵政03.06III旅游、賓館、飯店03.

20、07III其他04產(chǎn)品的生產(chǎn)產(chǎn)品包括軟件、硬件、流程性材料和服務(wù)04.01I電力包括發(fā)電和輸、變、配電等04.02I鐵路04.03I民航04.04I化工04.05I航空航天04.06II交通運(yùn)輸包括公路、水路、城市公共客運(yùn)交通等，不含航空和鐵路04.07II信息與通信技術(shù)例如軟、硬件生產(chǎn)及其服務(wù)，系統(tǒng)集成及其服務(wù)，數(shù)字版權(quán)保護(hù)等04.08II冶金04.09II采礦含石油、天然氣開采04.10II水利04.11II食品、藥品、煙草04.12III農(nóng)、林、牧、副、漁業(yè)04.13III其他注1：以上分類考慮了組織的信息、信息載體及載體所處環(huán)境的特點(diǎn)，并結(jié)合了當(dāng)前我國信息安全等級(jí)保護(hù)的重點(diǎn)領(lǐng)域，例如政

21、府、稅務(wù)、海關(guān)、廣播電視網(wǎng)、通信網(wǎng)、金融銀行、電力、鐵路、民航、石油化工等。不宜將認(rèn)證業(yè)務(wù)范圍等同于與ISMS認(rèn)證相關(guān)的技術(shù)領(lǐng)域（見G.1.1）。注2：以上風(fēng)險(xiǎn)分級(jí)主要考慮獲證組織的信息安全遭受破壞時(shí)，對國家安全、社會(huì)秩序、公共利益或組織及其相關(guān)方的合法權(quán)宜可能造成的危害的嚴(yán)重程度，以及獲證組織ISMS的有效性發(fā)生問題時(shí)，認(rèn)證機(jī)構(gòu)和CNAS可能承擔(dān)的責(zé)任，主要是為了控制認(rèn)可活動(dòng)的風(fēng)險(xiǎn)，也可為認(rèn)證機(jī)構(gòu)分析和控制認(rèn)證業(yè)務(wù)風(fēng)險(xiǎn)提供參考。某些中類（例如每個(gè)大類的“其他”中類）的風(fēng)險(xiǎn)級(jí)別還需要隨著ISMS認(rèn)證認(rèn)可活動(dòng)的發(fā)展做進(jìn)一步分析。因此，中類的風(fēng)險(xiǎn)級(jí)別并不代表相關(guān)組織的信息安全風(fēng)險(xiǎn)水平，也不表示該類

22、中所有組織的信息安全風(fēng)險(xiǎn)水平都相同。附錄二ISMS審核員能力的基本方面1 個(gè)人素質(zhì)為了能夠遵循審核原則開展工作，審核員應(yīng)具備下列個(gè)人素質(zhì)（不限于）：有道德，即公平、誠實(shí)、守信、誠懇、謹(jǐn)慎；愿意考慮不同意見或觀點(diǎn)；有交往能力，能夠得體地與人交往；有觀察能力，能夠主動(dòng)意識(shí)到周圍環(huán)境和活動(dòng)；有感知能力，能夠本能地認(rèn)識(shí)和理解遇到的情況；有適應(yīng)能力，易于根據(jù)不同情況進(jìn)行調(diào)整；能夠堅(jiān)持和專注于實(shí)現(xiàn)目標(biāo)；能夠根據(jù)邏輯推理和分析及時(shí)得出結(jié)論；能夠在與他人有效相互配合的同時(shí)獨(dú)立工作并發(fā)揮作用。2 審核原則、程序和技術(shù)為了在不同審核活動(dòng)中應(yīng)用適用的審核原則、程序和技術(shù)，并確保審核實(shí)施的一致性和系統(tǒng)性，審核員應(yīng)能夠

23、（不限于）：理解認(rèn)證可信性與有效性的重要性、利益相關(guān)方對認(rèn)證的期望以及審核風(fēng)險(xiǎn)，并在審核中勤勉盡責(zé)，保持應(yīng)有的職業(yè)謹(jǐn)慎與合理懷疑，合理運(yùn)用專業(yè)判斷；應(yīng)用審核類型、審核方案、審核計(jì)劃方面的知識(shí)和技能；對工作進(jìn)行有效地計(jì)劃和安排，合理利用時(shí)間，優(yōu)先關(guān)注重點(diǎn)問題，按計(jì)劃高效地完成工作；通過有效地面談、傾聽、觀察以及對文件、記錄和數(shù)據(jù)的審查來收集信息，并驗(yàn)證所收集信息的準(zhǔn)確性；理解審核中使用抽樣方法的適宜性和后果，并在審核中使用適當(dāng)?shù)某闃臃椒?；確認(rèn)審核證據(jù)的充分性和適宜性以支持審核發(fā)現(xiàn)和審核結(jié)論，僅根據(jù)審核證據(jù)得出審核發(fā)現(xiàn)和審核結(jié)論，并評價(jià)影響審核發(fā)現(xiàn)和審核結(jié)論可靠性的因素；如實(shí)、準(zhǔn)確地報(bào)告審核活動(dòng)、

24、審核發(fā)現(xiàn)和審核結(jié)論，并報(bào)告審核中遇到的重大障礙和審核組與受審核方之間未解決的分歧意見使用工作文件記錄審核活動(dòng)；編制審核報(bào)告；維護(hù)信息的保密性和安全性；通過個(gè)人語言技能或通過翻譯人員有效地溝通。3 管理體系和引用文件為了理解審核范圍并運(yùn)用審核準(zhǔn)則，審核員應(yīng)能夠：理解管理體系的基礎(chǔ)理論，例如通用術(shù)語、管理的系統(tǒng)方法、過程方法、PDCA循環(huán)、方針和目標(biāo)、體系文件、體系有效性、持續(xù)改進(jìn)等，并用其指導(dǎo)審核活動(dòng)；認(rèn)識(shí)和理解信息安全管理體系（包括信息安全控制措施）在組織中的具體應(yīng)用，以及信息安全管理體系（包括信息安全控制措施）各組成部分之間的相互作用；理解信息安全管理體系標(biāo)準(zhǔn)、適用的程序或其他用作審核準(zhǔn)則的

25、信息安全管理體系文件，以及引用文件之間的區(qū)別及優(yōu)先次序，并能在具體審核活動(dòng)中應(yīng)用適用的標(biāo)準(zhǔn)、程序或文件，以取得審核證據(jù)，生成審核發(fā)現(xiàn)和審核結(jié)論；了解用于文件、數(shù)據(jù)和記錄的核準(zhǔn)、安全防護(hù)、分發(fā)及控制的信息系統(tǒng)和技術(shù)，并能在具體審核活動(dòng)中應(yīng)用相關(guān)知識(shí)。注1：已發(fā)布和制定中的信息安全管理體系標(biāo)準(zhǔn)：GB/T 220802008信息技術(shù) 安全技術(shù) 信息安全管理體系 要求(ISO/IEC 27001:2005, IDT)GB/T 220812008信息技術(shù) 安全技術(shù) 信息安全管理實(shí)用規(guī)則(ISO/IEC 27002:2007, IDT)ISO/IEC 27000信息技術(shù)安全技術(shù)信息安全管理體系概述和術(shù)語(

26、制定中，預(yù)計(jì)2009年發(fā)布)ISO/IEC 27003信息技術(shù)安全技術(shù)信息安全管理體系實(shí)施指南(制定中，預(yù)計(jì)2010年發(fā)布)ISO/IEC 27004信息技術(shù)安全技術(shù)信息安全管理測量(制定中，預(yù)計(jì)2010年發(fā)布)ISO/IEC 27005:2008信息技術(shù)安全技術(shù)信息安全風(fēng)險(xiǎn)管理ISO/IEC 27011信息技術(shù)安全技術(shù)基于ISO/IEC 27002的電信業(yè)組織信息安全管理指南(制定中，預(yù)計(jì)2009年發(fā)布)ISO/IEC 27012信息技術(shù)安全技術(shù)電子政務(wù)服務(wù)的信息安全管理指南(制定中)ISO 27799:2008健康信息學(xué)健康領(lǐng)域使用ISO/IEC 27002的信息安全管理4 組織狀況為了理

27、解組織的運(yùn)作情況（包括相關(guān)的業(yè)務(wù)風(fēng)險(xiǎn)），審核員應(yīng)能夠：理解組織的規(guī)模、結(jié)構(gòu)、職能、關(guān)系和相關(guān)方的期望；理解組織的基本業(yè)務(wù)過程、產(chǎn)品（包括服務(wù)）及相關(guān)術(shù)語；理解和尊重受審核方的文化和社會(huì)習(xí)俗；從廣闊的視角認(rèn)識(shí)復(fù)雜的運(yùn)作，并理解較大的客戶組織中各單元的作用。注2：如果技術(shù)專家僅能夠提供與受審核方的組織、業(yè)務(wù)過程、產(chǎn)品（包括服務(wù)）、語言或文化有關(guān)的知識(shí)或技能，則該技術(shù)專家不是本文件所定義的ISMS技術(shù)專家（見2.3）。5 適用的法律法規(guī)和其他要求審核員應(yīng)能夠識(shí)別適用的法律法規(guī)和與信息安全相關(guān)的其他要求，理解它們在受審核組織中的具體應(yīng)用，并以適當(dāng)?shù)姆绞嚼盟鼈優(yōu)閷徍颂峁┲С帧＿@些法律法規(guī)和其他要求可能

28、來自：國家、區(qū)域、地方的法律法規(guī)；國際公約和條約；合同和協(xié)議；受審核組織須遵守的其他要求。審核員應(yīng)理解下列方面的法規(guī)要求：知識(shí)產(chǎn)權(quán)；組織記錄的內(nèi)容、保護(hù)和保持；數(shù)據(jù)保護(hù)與隱私；密碼控制；反恐；電子商務(wù)；電子和數(shù)字簽名；工作場所監(jiān)督；通訊偵聽與數(shù)據(jù)監(jiān)視（例如，電子郵件）；計(jì)算機(jī)濫用；電子證據(jù)收集；滲透測試；國際和國家的行業(yè)特定要求（例如，銀行業(yè)）。注3：信息安全法律法規(guī)的示例：全國人民代表大會(huì)常務(wù)委員會(huì)關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定；中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例；中華人民共和國保守國家秘密法；中華人民共和國商用密碼管理?xiàng)l例；公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室信息安全

29、等級(jí)保護(hù)管理辦法；公安部計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法；公安部互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定；公安部計(jì)算機(jī)病毒防治管理辦法；中華人民共和國電子簽名法。ISMS專業(yè)審核員還應(yīng)了解特定技術(shù)領(lǐng)域的信息安全要求。注4：行業(yè)特定要求的示例：銀監(jiān)會(huì)電子銀行業(yè)務(wù)管理辦法；銀監(jiān)會(huì)電子銀行安全評估指引；電監(jiān)會(huì)關(guān)于開展電力行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知。6 信息技術(shù)審核員應(yīng)能夠在審核中應(yīng)用通用的信息技術(shù)知識(shí)，包括（但不限于）：軟件知識(shí)，例如軟件類型（指操作系統(tǒng)、應(yīng)用軟件、嵌入式軟件等）、軟件生產(chǎn)（指設(shè)計(jì)、編碼、測試）等；硬件知識(shí)，例如計(jì)算機(jī)結(jié)構(gòu)、存儲(chǔ)設(shè)備、外圍設(shè)備等；網(wǎng)絡(luò)知識(shí)，例如網(wǎng)絡(luò)基本原理。ISM

30、S專業(yè)審核員還應(yīng)能夠在審核中應(yīng)用特定技術(shù)領(lǐng)域的信息技術(shù)知識(shí)，例如下列方面的知識(shí)：工業(yè)控制，如分散控制系統(tǒng)（DCS）、過程控制系統(tǒng)（PCS）、數(shù)據(jù)采集與監(jiān)控系統(tǒng)（SCADA）；計(jì)算機(jī)輔助技術(shù)，如計(jì)算機(jī)輔助設(shè)計(jì)（CAD）、計(jì)算機(jī)輔助制造（CAM）、計(jì)算機(jī)輔助檢測（CAI）；通用的業(yè)務(wù)信息系統(tǒng)，如企業(yè)資源計(jì)劃（ERP）、客戶關(guān)系管理（CRM）、產(chǎn)品數(shù)據(jù)管理（PDM）；行業(yè)專用生產(chǎn)系統(tǒng)，如銀行清算系統(tǒng)、電力調(diào)度系統(tǒng)、機(jī)場離港系統(tǒng)。7 信息安全審核員應(yīng)能夠在審核中應(yīng)用通用的信息安全知識(shí)，包括（但不限于：）信息安全的概念、原則、分析方法和實(shí)踐；信息安全技術(shù)知識(shí)（分類詳見附表）；信息安全管理知識(shí)，例如：信息安全風(fēng)險(xiǎn)評估和處理；信息安全要求、方針、策略；信息安全過程分析；信息安全內(nèi)部審核；信息安全控制措施有效性測量和ISMS有效性測量；資產(chǎn)管理；人力資源安全；物理和環(huán)境安全；通信和操作管理；訪問控制；信息系統(tǒng)獲取、開發(fā)和維護(hù)；信息安全事件管理；業(yè)務(wù)連續(xù)性管理；信息安全工程學(xué)；安全配置管理；脆弱性管理（如漏洞管理）；IT產(chǎn)品和服務(wù)準(zhǔn)入要求。信息安全標(biāo)準(zhǔn)，例如：ISO/IEC JTC 1/SC27歸口的國際標(biāo)準(zhǔn)；全國