认可委 关于发布CNAS-SC18:2012《信息安全管理体系认证机构认可方案》的通知
认可委(秘) (2012) 35 号 关于发布实施 CNAS-SC18:2012 《信息安全管理体系认证机构认可方案》的通知
相关认证机构及相关人员:
中国合格评定国家认可委员会(CNAS)自二零零九年开始对ISO27001信息安全管理体系(ISMS)认证机构开展认可工作,为配合认可实施编制了CNAS-EC-027《信息安全管理体系认证机构认可说明》对ISO27001信息安全管理体系ISMS认证机构认可工作中相关问题进行指导和说明。结合近年来对ISO27001信息安全管理体系ISMS认证机构的认可实践,CNAS组织制定了CNAS-SC18:2012《信息安全管理体系认证机构认可方案》,该认可方案沿用了CNAS-EC-027的主要内容,并补充调整了近期信息安全管理体系相关标准和政策信息。
CNAS-SC18:2012《信息安全管理体系认证机构认可说方案》于二零一二年四月一日起发布实施,同时原认可说明CNAS-EC-027:2010停止使用。请相关认证机构及相关人员遵照实施。
特此通知。
二零一二年四月九日
CNAS-SC18 信息安全管理体系认证机构认可方案
Accreditation Scheme for ISMS Certification Bodies
中国合格评定国家认可委员会
1 范围
1.1 为确保 CNAS 对实施 GB/T 22080—2008(ISO/IEC 27001:2005, IDT)认证的信息安全管理体系(以下称为“ISMS”)认证机构实施评审和认可的一致性,指导申请和获得认可的 ISMS 认证机构理解和实施认可规范要求,特制定本文件。
1.2 本文件包括对信息安全管理体系认证机构认可规范的补充说明和指南,适用于CNAS 对ISO27001信息安全管理体系ISMS认证机构的认可。
本文件 R 部分和 C 部分分别是对相关认可规则和认可准则的补充和说明。本文件
G 部分是对相关认可准则的应用指南。
2 规范性引用文件
下列文件中的条款通过本文件的引用而成为本文件的条款。以下引用的文件,注明日期的,仅引用的版本适用;未注明日期的,引用文件的最新版本(包括任何修订)适用。
CNAS-RC01《认证机构认可规则》
CNAS-CC01《管理体系认证机构要求》
CNAS-CC17《信息安全管理体系认证机构要求》
CNAS-CC11《基于抽样的多场所认证》
CNAS-CC12《已认可的管理体系认证的转换》
ISO/IEC 27007 《信息技术 安全技术 信息安全管理体系审核指南》
ISO/IEC TR 27008 《信息技术 安全技术 审核员的信息安全控制措施指南》
ISO/IEC 27003 《信息技术 安全技术 信息安全管理体系实施指南》
3 术语和定义
GB/T 19000-2008 和 GB/T 27000-2006 中的术语和定义以及下列术语和定义适用于本文件。
3.1 认证业务范围:认证机构的 ISMS 认证活动涉及的行业领域
注:认证业务范围的分类与分级见附录 A,包括“政务”、“公共”、“商务”、“产品的生产”四个大类,每个大类包含若干中类,每个中类被赋予“一”、“二”或“三”级别(认可风险水平由高至低)。附录 A 介绍了认证业务范围分类与分级的相关考虑。
3.2 能力:应用知识和技能实现预期结果的本领
3.3 技术领域:以 ISMS 相关过程的共性为特征的领域
注:对于 ISMS,技术领域与信息安全控制措施所涉及的信息安全技术、信息技术及业务活动的类别有关。
3.3 专业能力:能够应用特定技术领域的知识实现预期结果的本领
4 ISMS 认证机构认可规范的构成
4.1 CNAS-RC01《认证机构认可规则》是 ISMS 认证机构认可活动的基本程序规则。
CNAS-CC01《管理体系认证机构要求》是 ISMS 认证机构的基本认可准则。
CNAS-CC17《信息安全管理体系认证机构要求》是 ISMS 认证机构的专用认可准则。
4.2 其他适用的认可规则包括:
a) CNAS-R01《认可标识和认可状态声明管理规则》;
b) CNAS-R02《公正性和保密规则》;
c) CNAS-R03《申诉、投诉和争议处理规则》;
d) CNAS-RC02《认证机构认可资格处理规则》;
e) CNAS-RC03《认证机构信息通报规则》;
f) CNAS-RC04《认证机构认可收费管理规则》;
g) CNAS-RC05《多场所认证机构认可规则》;
h) CNAS-RC07《具有境外关键场所的认证机构认可规则》。
4.3 其他适用的认可准则包括:
a) CNAS-CC11《基于抽样的多场所认证》;
b) CNAS-CC12《已认可的管理体系认证的转换》;
c) CNAS-CC14《计算机辅助审核技术在获得认可的管理体系认证中的使用》。
R 部分
R.1 认可申请
在中华人民共和国境内从事 ISMS 认证活动的认证机构申请认可的(以下称为“申请方”),应具备 CNAS-RC01 条款 5.1.1 规定的基本条件以及下列条件:
a) ISMS 认证活动已被国家认监委批准;
b) 已按照 CNAS-CC01 和 CNAS-CC17 建立了管理体系,且运行时间不少于 6 个月。
申请方应提供 CNAS-RC01 条款 5.1.2 规定的申请文件以及下列文件和信息:
1) ISMS 认证活动国家认监委批准文件复印件;
2) 已审核过的组织(对应到认证业务范围相应中类);
3) 自申请时间起6个月内计划实施的审核(对应到认证业务范围相应中类);
4) 本机构确保客户组织符合工信部联协[2010]394 号文《关于加强信息安全管理体系认证安全管理的通知》的要求以及有关主管部门/监管部门对信息安全管理体系认证的管理要求的措施;
5) 需要时,CNAS 要求的其他信息。
R.2 预访问
必要时,CNAS 可在受理申请过程中安排预访问,以了解申请方是否已满足认可申请条件以及是否基本具备接受认可评审的条件。
R.3 初次认可的见证评审
CNAS 结合申请方 ISMS 认证活动的范围、规模和风险水平确定初次认可的见证评审安排,通常情况下进行不少于两次见证评审。
R.4 认证业务范围的认可
R.4.1 CNAS 通过对 ISMS 认证机构的认证业务范围进行认可来确定该机构的认可范围。CNAS 按认证业务范围的大类进行认可,必要时可将认可范围限定到中类。CNAS认可某一大类的基本要求是认证机构的能力分析和评价系统覆盖了该大类,且系统运行基本有效。为此,认证机构应满足以下条件:
a) 对该大类和认证活动涉及到的中类进行了适宜、有效的能力需求分析;
b) 根据该大类和相关中类的能力需求分析,以适宜、有效的方式确定了能力分析和评价系统的相关组成部分(例如技术领域、能力准则等);
c) 能力分析和评价系统在与相关中类有关的认证活动中有效地发挥了作用。
CNAS 按申请认可的每个大类评价认证机构是否满足以上条件。如果认证机构在一个大类中的多个中类实施了认证,CNAS 可采用抽样的方式选取其中一部分中类进行评价。通常情况下,一级风险的中类必选,并需要实施见证评审;二、三级风险的中类可以视具体情况抽样,必要时进行见证评审。
R.4.2 CNAS 对ISO27001信息安全管理体系ISMS认证机构认证业务范围的认可不包括中华人民共和国境内(不含香港、澳门特别行政区,台湾地区)的各级政府机关、政府信息系统运行单位和涉密信息系统建设使用单位,并在认可证书附件中做相应说明。
R.4.3 CNAS 对某一大类的认可,仅表明 CNAS 基于评审认为,认证机构的能力分析和评价系统能够保证充分地识别和配备该大类认证活动所需的能力,并不表明 CNAS认为认证机构已经具备了在该大类实施认证活动所需的全部能力,在该大类的每次认证活动都有效,也不意味着 CNAS 批准认证机构可以对该大类的任何组织实施认证。
因此,认证机构应确保运用能力分析和评价系统为该大类的每次认证活动配备所需的全部能力,同时确保客户组织符合工信部联协[2010]394 号文《关于加强信息安全管理体系认证安全管理的通知》的要求以及有关主管部门/监管部门对信息安全管理体系认证的管理要求,并在满足这些条件后,才实施认证活动和颁发带有 CNAS 认可标识的认证证书(不包括 I 级风险的中类)。对于 I 级风险的中类,通常情况下,认证机构应在 CNAS 实施见证评审并确认符合认可规范要求后,才可以在认证证书上施加CNAS 认可标识。
R.4.4 CNAS 在认可某一大类后,将在后续监督中对认证机构在该大类下自我评价和配备认证能力的情况进行评审(包括对 II 级或 III 级风险的中类实施必要的见证评审),并依据相关认可规范对发现的不符合进行处理(包括依据 CNAS-RC02 暂停或撤销部分或全部认可范围)。
R.5 其他
R.5.1 获得 CNAS 认可的 ISMS 认证机构不能使用 IAF-MLA/CNAS 联合标识。
R.5.2 CNAS-RC03 条款 5.1.2 中“获得认证的组织或产品发生重大事故”是指获得ISMS 认证的组织发生具有下列影响的信息安全破坏:
a) 已经或可能严重损害国家安全、社会秩序、公共利益或获证组织及其相关方的合法权益;或者
b) 可能损害颁证机构或 CNAS 的公信力、声誉,或使颁证机构或 CNAS 承担连带责任。
发生上述情况时,颁证机构应及时采取相应措施并向 CNAS 通报相关情况。
R.5.3 如果 CNAS 可能需要在评审中接触认证机构的客户组织的相关信息资产,认证机构应向相关组织询问是否同意 CNAS 接触这些信息资产。如果组织同意,认证机构应识别 CNAS 接触这些信息资产时须满足的所有要求,并告知 CNAS。如果组织不同意或 CNAS 无法满足相关要求,CNAS 将根据评审所受的影响采取相应的措施。
C 部分
C.1 认证协议(CNAS-CC01 条款 5.1.2)
认证协议应就控制审核和认证活动引发的客户组织信息安全风险做出规定,包括明确认证机构和客户组织及其有关人员的责任与义务。
C.2 风险评估和责任安排(CNAS-CC01 条款 5.3.1)
认证机构应对其审核和认证活动可能给客户组织的信息安全带来的风险以及认证机构可能承担的责任进行评估,并做出充分的安排(例如购买职业责任保险或设立储备金)。
C.3 ISMS 审核员在教育、工作经历、审核员培训和审核经历方面的必备条件(CNAS-CC17 条款 7.2.1.3) ISMS 审核员在教育、工作经历、审核员培训和审核经历等方面应满足下列条件:
a) 教育:与信息安全技术相关的专业的本科学历;
b) 工作经历:至少 4 年信息技术方面全职实际工作经历,其中至少 2 年的工作经历来自与信息安全有关的职责或职能;
c) 审核员培训:成功完成 5 天或 40 小时的 ISMS 审核员培训;
d) 审核经历:参加至少 4 次 ISMS 审核,审核总天数不少于 20 天,其中包括文件评审、风险分析的评审、现场审核和审核报告。
认证机构应注意:教育、工作经历、审核员培训和审核经历仅是认证人员获取认证所需能力的途径,认证人员具有相关的经历并不等于一定具备认证所需的能力。因此,认证机构应按照其能力分析和评价系统(参见 G.1)的相关规定,对满足上述条件的人员实际所具有的能力进行评价和证实,而不应用资格条件的审查代替能力的评价和证实。
C.4 ISMS 认证证书(CNAS-CC01 条款 8.2.3、CNAS-CC17 条款 IS 8.2)
C.4.1 认证机构宜在 ISMS 认证证书中从客户组织的业务、组织结构、位置、场所、资产和技术特点等方面清晰地界定认证所覆盖的 ISMS 范围。如果由于组织的信息安全的原因不能在认证证书上明示上述全部与组织 ISMS 范围相关的信息时,通过在认证证书上引用组织的适用性声明的方式是一种可以采取的间接方式。
C.4.2 ISMS 认证证书中宜体现适用性声明的版本信息。认证机构应对获证组织适用性声明的版本变化情况进行监视和控制,这需要认证机构和组织间的信息沟通渠道通畅。
C.5 保密(CNAS-CC01 条款 8.5、CNAS-CC17 条款 IS 8.5)
C.5.1 在认证审核前,认证机构应要求客户组织识别并向认证机构告知其 ISMS 范围内的哪些信息资产不允许认证机构接触,或者认证机构在接触相关信息资产时应满足哪些要求,包括法律要求、相关方的要求和组织自身的要求。认证机构应满足所有这些要求,否则不应在认证活动中接触组织的相关信息资产。
如果认证机构因为未获得组织的允许或无法满足适用的要求而不能接触相关信息资产,那么认证机构应对审核和认证所受到的影响进行评估并采取相应的措施(例如终止审核、缩小审核和认证的范围等)。
如果组织事先没有禁止认证机构接触某一信息资产,或未告知认证机构应满足的要求,但认证机构在认证过程中发现自己并不具备接触该信息资产的资格和条件,应立即向组织提出。
C.5.2 认证机构应与其 ISMS认证相关人员签订在法律上具有强制实施力的协议,以确保认证相关人员对审核和认证过程中接触到的组织的保密或敏感信息予以保密。认证机构还宜要求直接接触组织信息的认证人员(例如审核组成员)按照组织的保密要求与组织签署保密协议,或向组织做出保密承诺。
C.5.3 认证机构宜对其ISO27001信息安全管理体系ISMS认证人员进行保密意识教育,并进行保密方面的法律法规、标准、规章制度、知识技能的培训。
C.5.4 审核组成员不宜在审核过程中以任何方式记录受审核组织的保密或敏感信息。审核组在离开受审核组织前,宜请受审核组织检查和确认审核组携带的文件、资料和设备中未夹带受审核组织的任何保密或敏感信息。
C.5.5 认证机构应为包含客户组织保密或敏感信息的文件、资料和其他物品的制作、收发、传递、使用、复制、摘抄、保存和销毁建立保密程序。
C.6 ISMS 的变化(CNAS-CC01 条款 8.6.3)
认证机构应要求客户组织即时报告其业务、组织结构、位置、场所、资产和技术特点等方面可能导致其 ISMS 范围和边界变化的情况,以及与其 ISMS 相关的法律法规的变化情况。
C.7 已认可的 ISMS 认证的转换(CNAS-CC01 条款 9.1.1)
认证机构仅应根据CNAS-CC12对CNAS认可的其他认证机构颁发的ISMS认证实施转换。除此以外的其他情况应按照初次认证对待。此时,认证机构若要考虑客户组织以往所获的 ISMS 认证,应满足 CNAS-CC01 条款 9.1.1 的要求。
C.8 认证申请(CNAS-CC01 条款 9.2.1)
C.8.1 认证机构应确保客户组织符合工信部联协[2010]394 号文《关于加强信息安全管理体系认证安全管理的通知》的要求,以及有关主管部门/监管部门对信息安全管理体系认证的管理要求(如工信部 2011 年第 21 号公告《工业和信息化部加强政府部门信息技术外包服务安全管理》等)。
C.8.2 认证机构宜要求客户组织向其说明适用的关于认证机构的资质、诚信守法记录或认证人员身份背景的要求,以及适用的与保守国家秘密或维护国家安全有关的法律法规要求,并即时更新该说明,以便认证机构判断其是否具备对该组织实施认证活动的资格或条件。
C.9 认证审核相关要求(CNAS-CC01 条款 9.2 至条款 9.9)
C.9.1 初次认证第一阶段审核(CNAS-CC01 条款 9.2.3.1)
ISMS 初次认证审核的第一阶段审核宜包括在客户组织现场实施的审核活动,现场审核时间不宜少于 1 个审核人日。当客户组织由于信息安全的原因在申请评审阶段不能提供给认证机构足够的信息时,认证机构应通过第一阶段审核在客户组织的现场补充对上述信息的确认,并完成申请评审任务。这种情况下,认证机构应增加第一阶段现场审核时间。
C.9.2 对 ISMS 认证审核的指南
ISO/IEC 27007《信息技术 安全技术 信息安全管理体系审核指南》的第 5 章和第 6 章为 ISMS 认证机构涉及的审核方案管理、审核实施等内容提供了指南,并于附录 A 中提供了 ISMS 审核实践的指导示例,认证机构可参考采用。
ISO/IEC TR 27008 《信息技术 安全技术 审核员的信息安全控制措施指南》为ISMS 认证审核员在审核过程中评价可能涉及的信息安全控制措施的贯彻和运作提供了指南,认证机构可参考采用。
C.10 认证机构的信息安全管理体系(CNAS-CC01 条款 10.3、CANS-CC17条款 IS 10.3)
当认证机构采用方式二建立其管理体系时,宜在其方针、政策、目标和承诺上体现认证机构自身的信息安全意识和追求,并在管理体系建立和实施中予以体现。 认可评审中需要关注认证机构自身的信息安全管理体系(方针、政策、目标、文件控制)、信息安全风险评估、内审。管理评审等。
认证机构宜将认证机构的信息安全绩效,以及为其 ISMS 认证活动所采取的、与客户组织信息安全相关的措施的绩效作为管理评审的关注点之一。
G 部分
G.1 ISMS 认证机构能力分析和评价系统指南
G.1.1 概述
G.1.1.1 能力要求
G.1.1.1.1 能力是应用知识和技能实现预期结果的本领。ISMS 认证人员的能力要求应包括:
a) 所需的知识/技能。列举了承担申请评审、认证决定、审核和领导审核组四种职能的人员应掌握的知识和技能的类型;
b) 应用知识/技能所要实现的结果。它与人员所承担的职能有关,例如:ISMS审核员需要考虑受审核组织的整体信息安全风险,分析和判断组织的控制措施的充分性、适宜性和有效性,然后追溯到组织 ISMS 的符合性和有效性。
认证机构宜参考表 G.1 定义其他人员宜掌握的知识和技能。
注:其他人员包括认证机构的管理人员、行政支持性人员、相关委员会的成员以及技术专家等。
G.1.1.1.2 认证机构宜在能力要求中进一步定义表 G.1 中每类知识/技能的具体内容。
由于承担不同职能的人员需要具有的知识/技能水平可能不同,承担同种职能的人员在不同的认证活动风险和复杂性水平下需要具有的知识/技能水平也可能不同,因此能力要求宜体现出各种职能在各种认证活动风险和复杂性水平下宜具有的知识/技能水平。相应的,认证机构宜定义:
a) 认证活动风险和复杂性的确定方法和水平分级;
b) 知识/技能的水平分级。知识/技能的水平宜从知识/技能的广度和深度、知识/技能的熟练程度等方面来体现。
G.1.1.2 专业能力和技术领域
G.1.1.2.1 ISMS 认证人员应用表 G.1 中的“技术领域”的知识,实现预期结果的本领是认证人员的专业能力。
技术领域是以 ISMS 相关过程的共性为特征的领域。ISMS 相关过程包括分析和评价业务活动中信息资产面临的信息安全风险,即风险评估;然后选择和实施保护信息资产的安全控制措施,以消除信息安全风险或把风险降至可接受的水平,即风险处置;以及风险评估和风险处置的持续改进。这些过程是信息安全技术和信息技术在组织业务活动中的应用,因此归纳过程的共性和划分技术领域宜基于信息安全技术、信息技术和组织业务活动的种类(参见 CNAS-CC01 条款 7.1.2 注),并考虑信息安全技术和信息技术在组织业务活动中的应用特点。技术领域的一种划分方法是:
a) 通用信息安全技术领域;
b) 通用信息技术领域;
c) 业务应用技术领域。
G.1.1.2.2 通用信息安全技术领域和通用信息技术领域
G.1.1.2.2.1 通用信息安全技术领域和通用信息技术领域是考虑到信息安全技术和信息技术具有通用性,不同种类业务活动中所应用的信息安全技术和信息技术很多是相同或相近的,与之相关的知识构成了 ISMS 认证人员专业能力的基础。因此,认证机构可将通用的信息安全技术知识和信息技术知识分别作为两个技术领域,即通用信息安全技术领域和通用信息技术领域。
G.1.1.2.2.2 认证机构宜确定通用信息安全技术领域和通用信息技术领域的具体分类方式,以确保专业能力分析和评价的系统性和充分性。本文件附录 B 提供了通用信息安全技术领域和通用信息技术领域的参考分类,认证机构可根据认证业务范围专业能力需求分析结果对其进行调整或补充,以形成本机构的分类。本文件附录 B 还对通用信息安全技术领域和通用信息技术领域的知识点及其应用提供了指南,可供认证机构在分析通用信息安全技术领域和通用信息技术领域的知识以及相应的专业能力时参考。
G.1.1.2.3 业务应用技术领域和认证业务范围
G.1.1.2.3.1 业务应用技术领域是考虑到 ISMS 是为了控制组织业务活动中的信息安全风险,为组织的业务活动提供保障。ISMS 认证人员需要适当掌握与组织业务活动相关的知识,例如流程、资产、风险、安全要求、控制措施以及信息安全技术和信息技术在业务活动中的特定应用等方面的知识,以便能够分析和判断组织信息安全控制措施的充分性、有效性和适宜性,进而追溯到组织 ISMS 的符合性和有效性。认证机构可将与特定种类业务活动相关的这些知识归为一个技术领域,即业务应用技术领域。
G.1.1.2.3.2 本文件附录 A 的认证业务范围分类为认证机构确定业务应用技术领域分类提供了框架。认证机构宜根据认证业务范围专业能力需求分析的结果,通过认证业务范围中类的进一步细分和(或)合并来确定本机构业务应用技术领域的分类。
注:认证业务范围中类进一步细分后得到的类别,可以与其他中类或其他中类里的细分类别合并。
G.1.1.2.4 技术领域知识的水平
在能力评价时,认证机构宜确定认证人员技术领域知识的水平,作为选择和使用认证人员的依据。认证机构可以对认证人员的通用信息安全技术领域知识的整体水平和通用信息技术领域知识的整体水平进行评价,但每个业务应用技术领域的知识水平宜分别进行评价。
给出了从事申请评审、认证决定、审核和领导审核组四种职能的人员在不同的认证活动风险和复杂性水平下,在认证活动涉及的技术领域宜具有的知识水平。由于风险和复杂性水平、知识水平可以有不同的分级方式,表 G.2 仅用“*”的数量表示了相对水平,“*”数量越多,相对水平越高。
G.1.2 能力分析和评价系统
认证机构应按照认可规范的所有适用要求建立覆盖所有 ISMS 认证人员的能力分析和评价系统。在专业能力方面,该系统宜包括以下过程,以确保为每个客户组织配备有效审核和认证所需的专业能力:
a) 认证业务范围专业能力需求分析:认证机构对本机构认证活动涉及的所有认证业务范围大类和中类进行专业能力需求分析(参见 G.1.3.1)。
b) 技术领域的分类和专业能力要求的确定和调整:认证机构对从本机构涉及的所有认证业务范围大类和中类分析出的知识进行归纳,形成本机构技术领域分类(参见 G.1.1.2),然后基于每个技术领域的知识确定该技术领域对每类认证人员的专业能力要求,必要时编制特定技术领域的审核指导文件。当认证业务范围类别增加时,或者当特定客户组织的专业能力需求分析或者来自审核过程的相关反馈显示有必要时,调整和完善技术领域的分类和专业能力要求。
c) 特定客户组织专业能力需求分析:在申请评审中,根据特定客户组织的具体情况和本机构技术领域的分类与专业能力要求,分析和确定对该组织实施审核和认证所涉及的技术领域类别以及相应的专业能力,以便为选择和使用认证人员以及改进技术领域分类和专业能力要求提供输入,并在后续的审核方案管理中根据组织情况的变化予以必要调整(参见 G.1.3.2)。
d) 能力评价:在认证活动管理和实施的相应阶段,采用适宜的能力评价方法,依据专业能力要求,对拟使用的人员实施能力评价,以确定其是否具备所需的专业能力(参见 G.1.4)。下列情况时宜对人员能力进行补充评价:
1) 技术领域分类和(或)专业能力要求得到了更新;
2) 通过能力的持续监视获得了相关反馈;
3) 对人员能力进行了提升。
e) 能力提升和补充:当能力评价结果显示相关人员的能力不满足专业能力要求时,通过适当方式(例如培训)提升其能力,或通过其他途径(例如技术专家)补足所需的能力。
f) 选择和使用对特定客户组织实施审核和认证的人员:根据特定客户组织涉及的技术领域类别和专业能力,从经评价可供使用的人员中选择具备相应能力的人员,用于对该客户组织实施审核和认证。
g) 能力的持续监视:对人员专业能力的运用、保持和发展情况进行持续监视,以便为人员能力补充评价提供输入。
G.1.3 能力需求分析
G.1.3.1 认证业务范围专业能力需求分析
G.1.3.1.1 作为 ISMS 认证人员专业能力分析和评价的起点,认证机构宜对本机构认证活动涉及的认证业务范围大类和中类进行专业能力需求分析。
认证业务范围专业能力需求分析是为了初步识别实施涉及某个大类或中类的认证活动所需的专业知识,以便为归纳技术领域分类和确定专业能力要求,搭建能力分析和评价系统的框架,以及后续的针对特定客户组织实施专业能力分析奠定基础。因此,认证业务范围大类和中类的专业能力需求分析可基于该类别的典型的、有代表性的情况,而不必穷尽该类别涉及的所有情况。
G.1.3.1.2 实施认证活动需要了解 ISMS 建立与实施中涉及的知识,而信息安全风险评估和处置是建立与实施 ISMS 的基础。因此,认证业务范围大类或中类的能力需求分析可采用信息安全风险评估和处置的思路(见图 G.2),分析该类别 ISMS 建立与实施的典型情况及相应的知识,包括:
a) 分析典型的业务流程和信息处理流程;
b) 基于典型的业务流程和信息处理流程,分析典型资产(包括硬件、软件、网络、业务系统、人员和数据资料等)和典型信息安全风险(包括脆弱性和威胁);
c) 基于典型信息处理流程和典型资产,分析信息技术在该类别中的典型应用;
d) 基于业务活动要求、法规要求和合同/相关方要求分析典型信息安全要求;
e) 基于典型资产和典型信息安全要求,分析典型信息资产的典型信息安全特性,例如保密性、可用性、完整性、、真实性、不可抵赖性、可追溯性等;
f) 基于典型信息安全风险和典型信息资产的典型信息安全特性,分析典型控制措施;
g) 基于典型控制措施,分析信息安全技术在该类别中的典型应用。
G.1.3.2 特定客户组织能力需求分析
G.1.3.2.1 认证机构在对特定客户组织实施申请评审时,宜根据该组织的具体情况以及本机构技术领域的分类和专业能力要求,分析和确定对该组织实施审核和认证所涉及的技术领域类别和相应的专业能力(即能力需求),并从经评价可用的人力资源中选择具备这些专业能力的人员,对该组织实施审核和认证。
认证机构在授予客户组织初次认证后,宜在审核方案管理中关注客户组织发生的任何可能影响其能力需求的变化,并及时根据此类变化对客户组织的能力需求和配备的认证人员进行必要的调整。
G.1.3.2.2 由于技术领域的分类和专业能力要求主要在认证业务范围能力需求分析的基础上确定,而后者基于相关业务范围类别的典型情况,不一定考虑到所有可能的情况,因此对特定客户组织进行能力需求分析时宜注意识别该组织是否存在认证业务范围能力需求分析时未考虑到的情况。如果存在,宜基于所识别的情况进行补充分析(可采用图 G.2 的分析思路),并根据补充分析的结果对现有的技术领域的分类和(或)专业能力要求进行调整和完善,然后相应地对相关认证人员的能力进行补充评价,并在必要时进行能力的提升或补充,以确保具有充分的能力对特定客户组织实施审核和认证活动。
G.1.3.2.3 特定客户组织的能力需求分析由申请评审人员实施。由于申请评审人员的能力依据现有的专业能力要求评定,所以当特定客户组织能力需求分析的过程中有迹象显示该组织涉及的专业能力可能超出现有的专业能力要求时,认证机构宜及时确认申请评审人员的能力,并在必要时通过适宜方式补足对特定客户组织实施能力需求分析所需的能力。
G.1.4 能力评价
G.1.4.1 能力评价是获取被评价人能力的证据,并将能力的证据与能力要求进行比较,以确定被评价人是否满足能力要求的过程。能力评价宜保留能力证据、评价活动和评价结论的记录(包括音像资料)。
G.1.4.2 能力的证据宜与能力要求的内容相关,并且能够为评价结论提供支持。因此,认证机构宜通过适宜的评价方法获取充分的能力证据。评价方法的选择宜考虑:
a) 评价所依据的能力要求的内容(包括知识、技能、所要实现的结果);
b) 评价的目的,例如:初次聘用、持续监视、扩大能力范围、能力要求更新后的补充评价等;
c) 已建立的对被评价人能力的了解和信心。
以下介绍了一些常用的评价方法。这些方法宜组合使用,以获得关于被评价人员能力的充分证据和全面评价;通常,仅采用其中某一种方法不足以对被评价人的能力做出全面评价。
a) 记录审查:对被评价人的教育、工作、培训、审核的相关记录进行审查,以获取其知识和技能的证据,获得对其能力的基本了解。记录审查的注意事项包括:
1) 记录内容宜尽可能详细、充分,以便于识别被评价人所具有的知识和技能;
2) 宜通过调查、面谈等方法对记录中的相关信息进行必要的验证、澄清和确认;
3) 在通过记录审查获得对被评价人能力的基本了解后,宜进一步通过考试、见证等方法对其能力进行确认;
4) 不宜直接根据被评价人的学历、工作年限、培训时间、审核次数/天数等经历认定其满足相关能力要求。
b) 意见反馈:通过被评价人的工作单位、同事或客户组织等方面反映的意见了解被评价人员的知识、技能、表现等情况。意见反馈宜作为其他评价方法的补充,不宜仅根据某方面的意见对被评价人的能力做出判断。
c) 面谈:面谈有助于详细了解被评价人的知识或技能,并可用于评估语言、沟通、人际管理方面的技能。依据能力要求对被评价人进行结构化面谈,并予以适当记录,可以获得其能力的直接证据。面试的示例:
- 人员招聘时进行面谈,以从人员的简历和过去的工作经历详细了解其知识和技能;
- 在绩效考评中进行面谈,了解人员知识和技能的具体情况;
- 在见证或审核报告的复核中与审核组成员进行面谈,以了解审核员的知识和技能、做出某项结论的理由或选择审核方法、审核路径的理由。
d) 考试:包括笔试、口试和实际操作考试。笔试可以为人员的知识提供良好的文件化证据。对于人员的技能也可通过适宜的笔试方法获取证据。口试可为人员的知识提供良好的证据,但在人员技能的评价上作用有限。实际操作考试的示例包括情景演练、案例分析、压力模拟、岗位实操考核等。
e) 见证:对人员实施工作任务的情况进行观察,可以用于认证机构的所有人员。见证可以为人员的能力提供直接证据。
ISO/IEC 27007《信息技术 安全技术 信息安全管理体系审核指南》第 7 章为 ISMS认证机构确定用以满足审核方案需求的审核员能力提供了指南,认证机构建立和实施能力分析评价系统时可参考采用。
G.2 ISMS 审核范围和认证范围界定指南
G.2.1 概述
G.2.1.1 鉴于:
a) GB/T22080-2008/ISO/IEC27001:2005 条款 4.2.1 a)明确提出“组织应根据业务、组织、位置、资产和技术等方面的特性,确定 ISMS 的范围和边界,包括对范围任何删减的详细说明和正当性理由”;
b) ISO/IEC 27003《信息技术-安全技术-信息安全管理体系实施指南》就组织ISMS 范围的确定提供了指南;
c) CNAS-CC17 中,条款 9.1.2 IS 9.1.2“认证范围”对认证机构确定组织 ISMS的范围和边界提出了要求;条款 8.2.1 IS 8.2“ISMS 的认证文件”对认证文件中认证范围的描述提出了要求;
认证机构宜在审核中确认:
a) 客户组织根据其业务、组织、技术、物理和资产的特性充分、清晰地界定了其 ISMS 的范围和边界;
b) 客户组织的信息安全风险评估和风险处置与其 ISMS 的范围和边界一致,并其适用性声明中得到体现;与不完全属于客户组织 ISMS 范围内的服务或活动的接口已得到说明,并已包括在客户组织的信息安全风险评估中,例如:与其他机构共享设施的情况(信息技术系统、数据库和通讯系统等)。
认证机构宜在申请评审和第一阶段审核中确认客户组织 ISMS 范围和边界的界定是否清晰和充分。适宜时,审核组宜在第二阶段审核报告中予以适当描述。
G.2.1.2 认证机构审核组宜针对所有适用的认证要求,对包含在确定范围内的客户组织的 ISMS 进行审核。认证机构提供给客户组织的认证证书或文件所描述的认证范围应与认证机构审核确认的客户组织的 ISMS 的范围和边界相一致。认证范围宜至少包括以下内容:
a) 认证客户组织的业务范围和边界;
b) 认证客户组织的组织范围和边界;
c) 认证客户组织的物理范围和边界;
d) 对组织 ISMS 相关和适用的控制目标和控制措施的情况,及其任何删减的细节
和正当性理由,即《适用性声明》;在证书范围上列明《适用性声明》文件的适用版本。
G.2.2 组织 ISMS 范围和边界的界定
组织ISO27001信息安全管理体系ISMS的范围和边界宜从业务、组织、技术、物理和资产五个方面来定义。
G.2.2.1 业务范围和边界的界定
业务范围和边界主要包括关键业务及业务特性描述(业务、服务、资产和每一个资产的责任范围和边界等的说明)。一般从其从事的业务流程进行描述,如软件开发、系统集成等。
如果客户组织只是选择其部分业务流程进入到 ISMS 范围,则必须确保被选择的业务流程所涉及的所有资产均已在风险评估中予以考虑,对于 ISMS 范围内的业务流程与范围之外的业务流程共用的资产和技术,要识别其可能产生的风险及相应的控制措施需求。
G.2.2.2 组织范围和边界的界定
组织范围和边界一般可以通过 ISMS 范围内的职能部门、过程、组织结构来界定。
对于没有纳入到组织 ISMS 范围内的职能和部门,客户组织应提供将其排除在外的适当理由。
在界定组织范围和边界时,客户组织宜考虑以下因素:
a) 在确定组织范围和边界时需考虑组织ISMS的 PDCA 管理的完整性,确保组织ISMSPDCA 管理所涉及的所有职能和部门均已纳入管理体系范围。如某客户组织申请认证的业务范围是软件开发,则覆盖的组织范围和边界除了软件开发业务职能部门外,其它如涉及该业务的 ISMS 策划部门、监控和持续改进职能部门也宜纳入到其 ISMS 范围;
b) 信息安全管理委员会/管理机构宜包括与ISO27001信息安全管理体系ISMS直接相关的管理人员;
c) 对 ISMS 负责的管理层人员宜是对所覆盖的所有职责领域负有最终责任的人员(即他们的角色通常是由其在组织中的控制力和职责的范围所决定的);
d) 如果负责管理ISO27001信息安全管理体系ISMS的角色不是高层管理人员,则有必要让一名来自最高管理层组织高层的发起人来作为信息安全利益的代表,并在组织的最高层作为ISMS 的代言人;
e) 组织范围和边界的界定方式需要使所有相关资产均被纳入风险评估的考虑之中以识别其风险控制需求。对于组织 ISMS 范围内的职能部门与体系范围外的职能部门共用的资产与技术,要识别其可能产生的风险及相应的控制措施需求。
基于以上考虑,在界定组织的边界时,宜识别ISMS所影响的所有人员,并将其包括在组织的范围内。人员的识别可以与过程和(或)职能部门联系起来。如果组织范围内的某些过程被外包给第三方,这些依赖关系宜清晰地形成文件。
G.2.2.3 确定物理范围和边界
物理范围和边界一般根据组织业务运营实际使用并控制的地理位置,包括建筑物、场所或设施进行界定。
对于跨越物理边界的信息系统,客户组织在确定物理范围和边界时宜考虑以下因素:
a) 远程设备;
b) 通过顾客的信息系统以及第三方所提供的服务的接口;
c) 适用时,适当的接口和服务级别。 在考虑以上因素的基础上,物理范围和边界的描述一般宜包括以下适用的方面:
a) 结合职能部门或过程的物理位置以及组织对其的控制程度,对职能部门或流程进行描述;
b) 在组织信息通信技术边界内的储存或包含信息通信技术硬件或 ISMS 范围内的数据(如在备份磁带上)的专用设施。
如果这些内容不是由组织自己控制,则应将与第三方之间的依从关系形成文件。
认证机构在确定客户组织审核范围时宜考虑其临时场所和异地备份地点的情况。对临时场所一般宜到现场进行审核,但如能同时满足以下条件则可考虑采用其它非现场方式取证:
a) 客户组织的客户有充分合适的理由(例如:客户组织提供的系统集成或服务项目涉及客户机密信息或项目实施地址距离客户组织较远);
b) 客户组织已对临时现场风险进行评估并且该残余风险是可接受的,不是重大风险;
c) 客户组织已经采取措施对临时现场信息安全风险进行监控或定期检查;
d) 审核员确认通过上述方法客户组织的信息安全风险可以得到控制。
如果组织内有建筑物、场所或设施没有纳入到 ISMS 范围内的,客户组织宜说明其排除在外的适当理由。
G.2.2.4 确定资产范围和边界
资产范围和边界的确定一般可根据确定的客户组织的业务、组织和物理边界进行确定。
在确定客户组织的资产范围和边界时,宜考虑以下因素:
a) 资产范围宜包括软件资产、硬件资产、数据资产、文件资产、人员资产及服务资产等方面;
b) 客户组织 ISMS 范围内的业务流程、组织与职能、物理范围内的所有资产均宜纳入组织信息安全风险评估范围。
G.2.2.5 确定技术范围和边界
技术范围和边界主要是指客户组织所使用的信息与通信技术(ICT)和其它技术的范围和边界,一般可以通过识别组织使用的信息系统的方法进行确定。组织为支持其业务运作而进行的存储、处理或传输关键信息的各类信息系统一般宜纳入组织ISO27001信息安全管理体系ISMS范围。
组织信息系统可能跨越组织边界甚至国界,在这种情况下,确定组织组织信息系统的范围应考虑以下因素:
a) 社会文化环境;
b) 适用的法律法规及合同要求;
c) 对关键职责的责任;
d) 技术约束(如:可用的带宽、服务的可用性等)。 在考虑到以上因素后,适用时组织技术范围和边界的确定应包括以下描述:
a) 组织负有管理职责的包含不同技术(例如无线、有线或数据/语音网络)的通信设施;
b) 组织边界内的被组织控制和使用的软件;
c) 网络、应用或生产系统所要求的信息通信技术硬件;
d) 与信息通信技术硬件、网络和软件有关的角色和职责。
当上述内容不是由客户组织自行控制时,宜将对第三方的依从关系用文件清晰定义。
对于任何由组织所管理的、但被排除在ISO27001信息安全管理体系ISMS范围之外的信息通信技术,宜提供排除的理由。
G.2.2.6 组织 ISMS 范围和边界的综合描述
以上五个方面的范围和边界是相互渗透、紧密联系的。综合以上五个方面的范围和边界后,组织ISO27001信息安全管理体系ISMS的范围和边界可从以下方面进行描述:
a) 组织的关键特征(组织的职能部门、组织结构、服务、资产以及各资产的责任范围和边界等);
b) 范围内的组织的过程;
c) 范围内的设备和网络的配置;
d) 范围内的信息资产列表;
e) 范围内的信息通信技术资产(例如服务器)列表;
f) 范围内的场所位置图,并指出组织ISO27001信息安全管理体系ISMS的物理边界;
g) ISMS 范围内的角色和职责描述,以及其与组织结构的关系;
h) 对于ISO27001信息安全管理体系ISMS范围的任何删减的细节和正当性理由。
G.3 ISMS 审核时间确定指南
ISMS 认证机构在基于 CNAS-CC17 附录 C“审核时间”表 C.1“审核时间表”确定审核时间时,除了考虑 CNAS-CC17 附录 C 中的指南外,还宜考虑以下因素:
a) 同一业务同一工作岗位(如在软件开发企业中都从事软件测试工作)人数大于 100 的,且其占总人数 50%以上的,可减少 CNAS-CC17 附录 C 表 C.1 所列审核时间(以下简称“表列时间”)的 20%;
b) 用户数量达到 20-100 万的,宜增加表列时间的 5%;用户数量达到 100 万以上的,宜增加表列时间的 10%;
c) 单一场所多建筑物时,每 3-5 个建筑物宜增加 1 人日,另外宜增加在建筑物之间移动所需的路程时间;
d) 被抽样的临时场所,每 3-5 个临时场所宜增加 1 人日,另外宜增加临时场所往返所需的路程时间;
e) 在计算多场所审核所需时间时,CNAS-CC11 适用;
f) 相应的认证业务范围中类级别为一级的宜增加表列时间的 10%;认证业务范围中类级别为三级的可减少表列时间的 5%;
g) 服务器 100 台以上的,宜增加表列时间的 5%;
h) 工作语言非中文的增加表列时间的 10%-20%;
i) 客户组织保持了同一认证机构其他管理体系认证的,可减少表列时间的5%-10%;
j) 客户组织管理体系成熟的或通过其他认证机构 ISMS 认证的,可减少表列时间的 5%-10%
k) 通常情况下,根据 CNAS-CC17 附录 C 以及本文件指南对表列时间所做的全部增加和减少累加后不宜使表列时间被减少 30%;
l) 现场审核时间不宜少于本文件指南所确定的审核时间的80%。
