CNAS-CC170-2015 信息安全管理体系认证机构要求.pdf
《CNAS-CC170-2015 信息安全管理体系认证机构要求.pdf》由会员分享,可在线阅读,更多相关《CNAS-CC170-2015 信息安全管理体系认证机构要求.pdf(38页珍藏版)》请在咨信网上搜索。
1、 2015 年 12 月 30 日发布 2016 年 04 月 01 日 实施 CNAS-CC170 信息安全信息安全管理体系认证机构要求管理体系认证机构要求 Requirements for Information Security Management System Certification Bodies 中国合格评定国家认可委员会 CNAS-CC170:2015 第 1 页 共 37 页 2015 年 12 月 30 日 发布 2016 年 04 月 01 日 实施 目 次 目 次.1 前 言.3 引 言.4 1 范围.5 2 规范性引用文件.5 3 术语和定义.5 4 原则.5 5
2、通用要求.5 5.1 法律与合同事宜.5 5.2 公正性的管理.5 5.3 责任和财力.6 6 结构要求.6 7 资源要求.6 7.1 人员能力.6 7.2 参与认证活动的人员.9 7.3 外部审核员和外部技术专家的使用.10 7.4 人员记录.10 7.5 外包.10 8 信息要求.10 8.1 公开信息.10 8.2 认证文件.11 8.3 认证的引用和标志的使用.11 8.4 保密.11 8.5 认证机构与其客户间的信息交换.11 9 过程要求.11 9.1 认证前的活动.11 9.2 策划审核.14 9.3 初次认证.15 9.4 实施审核.16 9.5 认证决定.17 9.6 保持认
3、证.17 9.7 申诉.18 CNAS-CC170:2015 第 2 页 共 37 页 2015 年 12 月 30 日 发布 2016 年 04 月 01 日 实施 9.8 投诉.18 9.9 客户的记录.18 10 认证机构的管理体系要求.18 10.1 可选方式.18 10.2 方式 A:通用的管理体系要求.19 10.3 方式 B:与 GB/T19001 一致的管理体系要求.19 附录 A(资料性附录)ISMS 审核与认证的知识与技能.20 附录 B(规范性附录)审核时间.22 附录 C(资料性附录)审核时间计算方法.27 附录 D(资料性附录)对已实施的 ISO/IEC 27001:
4、2013 附录 A 的控制的评审指南.31 参考文献.37 CNAS-CC170:2015 第 3 页 共 37 页 2015 年 12 月 30 日 发布 2016 年 04 月 01 日 实施 前 言 本文件等同采用国际标准ISO/IEC 27006:2015信息技术 安全技术 信息安全管理体系审核认证机构的要求。本文件是CNAS对信息安全管理体系认证机构的专用认可准则,与管理体系认证机构基本认可准则CNAS-CC01:2015管理体系认证机构要求共同构成CNAS对信息安全管理体系认证机构的认可准则。本文件的附录A、C和D是资料性附录,附录B是规范性附录。为了便于使用,对ISO/IEC 2
5、7006:2015做了下列编辑性修改:1)针对认证机构的管理时,用词汇“程序”表示“procedure”;针对客户的管理时,用词汇“规程”表示“procedure”;2)针对认证机构的管理时,用词汇“政策”表示“policy”;针对客户的信息安全方面的管理时,用词汇“策略”表示“policy”,针对客户的管理体系方面的管理时,用“方针”表示“policy”;本文件代替了 CNAS-CC17:2012。CNAS-CC170:2015 第 4 页 共 37 页 2015 年 12 月 30 日 发布 2016 年 04 月 01 日 实施 引 言 CNAS-CC01:2015(等同采用ISO/IE
6、C 17021-1:2015)是CNAS针对各类管理体系认证机构的基本认可准则。如果管理体系认证机构按照ISO/IEC 27001:2013信息技术 安全技术 信息安全管理体系 要求开展以信息安全管理体系(ISMS)审核和认证为目的活动,并打算依据CNAS-CC01:2015获得认可,对CNAS-CC01:2015补充一些要求和指南是必要的。本文件提供了这样的内容。本文件正文遵循CNAS-CC01:2015的结构,针对ISMS审核和认证所增加的特定要求和指南,用“IS”加以标识。贯穿本文件全文,使用“应”(shall)这一术语,以表示本文件中与CNAS-CC01:2015和ISO/IEC 27
7、001:2013的要求相对应的条款是要求性的,认证机构必须遵循;使用“宜”(should)这一术语表示建议。本文件的主要目的是使得认可机构在应用其评审认证机构所依据的标准时更有效地协调一致。注:本文件中术语“管理体系”和“体系”可以互换使用。管理体系的定义见GB/T 19000-2008(ISO 9000:2005,IDT)。请勿将本文件中使用的管理体系与其他类型的系统混淆,例如IT系统。CNAS-CC170:2015 第 5 页 共 37 页 2015 年 12 月 30 日 发布 2016 年 04 月 01 日 实施 信息安全管理体系认证机构要求 1 1 范围范围 本文件对实施信息安全管
8、理体系(以下简称“ISMS”)审核和认证的机构规定了要求并提供了指南,以作为对CNAS-CC01:2015和ISO/IEC 27001:2013要求的补充。本文件的主要目的是为ISMS认证机构的认可提供支持。任何提供ISMS认证的机构,需要在能力和可靠性方面证实其满足本文件中的要求。本文件中的指南提供了对这些要求的进一步说明。注:本文件可以作为认可、同行评审或其他审核过程的准则性文件。2 2 规范性引用文件规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。CNAS-CC01
9、:2015 管理体系认证机构要求(等同采用ISO/IEC 17021-1:2015)ISO/IEC 27000 信息技术 安全技术 信息安全管理体系 概述与词汇 ISO/IEC 27001:2013 信息技术 安全技术 信息安全管理体系 要求 3 3 术语和定义术语和定义 CNAS-CC01:2015和ISO/IEC 27000中确立的以及下列术语和定义适用于本文件。3.1 认证文件 certification document 表明客户的ISMS符合指定的ISMS标准及ISMS所要求的任何补充性文件的一类文件。4 4 原则原则 CNAS-CC01:2015中第4章的原则适用。5 5 通用要求
10、通用要求 5.15.1 法律与合同事宜法律与合同事宜 CNAS-CC01中5.1的要求适用。5.25.2 公正性的管理公正性的管理 CNAS-CC01中5.2的要求适用。并且,以下要求和指南适用。5.2.1 IS 5.25.2.1 IS 5.2 利益冲突利益冲突 CNAS-CC170:2015 第 6 页 共 37 页 2015 年 12 月 30 日 发布 2016 年 04 月 01 日 实施 认证机构可以从事以下工作,而不被视为咨询或具有潜在的利益冲突:a)安排培训课程并作为讲师参与讲授,如果这些课程涉及信息安全管理、有关的管理体系或审核,认证机构应仅限于提供可公开获取的通用信息和建议,
11、即认证机构不应针对具体公司提供那些违反下面 b)要求的建议;b)根据请求,提供或发布认证机构对认证审核标准要求的解释性信息(见 9.1.3.6);c)仅以确定认证审核是否就绪为目的的审核前活动,但是这些活动不应导致提供违反本条款的建议和意见。认证机构应能够证实这些活动不违反本条款的要求,且没有把这些活动作为减少最终认证审核时间的理由;d)根据没有包含在认可范围内的标准或法规,实施第二方或第三方审核;e)在认证审核和监督审核过程中的增值活动,例如,在审核过程中,当改进机会明显时,识别改进机会但不推荐具体的解决方案。认证机构不应为寻求认证的客户ISMS提供内部信息安全评审。此外,认证机构应独立于提
12、供ISMS内部审核的机构(包括任何个人)。5.35.3 责任和财力责任和财力 CNAS-CC01中5.3的要求适用。6 6 结构要求结构要求 CNAS-CC01第6章的要求适用。7 7 资源要求资源要求 7.17.1 人员能力人员能力 CNAS-CC01中7.1的要求适用。并且,以下要求和指南适用。7.1.1 7.1.1 通用的能力要求通用的能力要求 认证机构应确保其人员具备与所评定的客户ISMS有关的、适时的技术知识和法律法规知识。认证机构应参照CNAS-CC01的表A.1,为每项认证职能确定能力准则。认证机构应考虑CNAS-CC01以及本文件7.1.2和7.2.1中所规定的、与认证机构确定
13、ISMS技术领域相关的所有要求。注:附录A提供了特定认证职能的人员能力要求的摘要。7.1.27.1.2 IS 7.1.2IS 7.1.2 能力准则能力准则的确定的确定 7.1.2.1 实施 ISMS 审核的能力要求 7.1.2.1.1 总体要求 认证机构应有验证审核组成员的背景经验、特定培训或情况说明的准则,以确保审核组至少具备:a)信息安全的知识;CNAS-CC170:2015 第 7 页 共 37 页 2015 年 12 月 30 日 发布 2016 年 04 月 01 日 实施 b)与受审核的活动相关的技术知识;c)管理体系的知识;d)审核原则的知识;注:有关审核原则的进一步信息,参见G
14、B/T 19011。e)ISMS 监视、测量、分析和评价的知识。除了b)可以在作为审核组成员的审核员之间共享外,以上a)-e)适用于作为审核组成员的所有审核员。审核组应有能力将客户ISMS中信息安全事件的现象追溯到ISMS的相应要素;审核组应有关于上述项目的适当工作经历且实际应用过这些项目(这不意味着一个审核员需要具有信息安全所有领域的全面的经验,但审核组整体上应对被审核的领域具备足够的认识和经验)。7.1.2.1.2 信息安全管理术语、原则、实践和技术 审核组所有成员作为一个整体,应具有以下知识:a)ISMS 特定文件的结构、层级和相互关系;b)信息安全管理相关的工具、方法、技术及其应用;c
15、)信息安全风险评估和风险管理;d)ISMS 适用的过程;e)当前可能与信息安全相关的或可能面临信息安全问题的技术。每个审核员应满足a)、c)和d)。7.1.2.1.3 信息安全管理体系标准和规范性文件 参与ISMS审核的审核员,应具有以下知识:a)ISO/IEC 27001的所有要求;审核组所有成员作为一个整体,应具有以下知识:b)ISO/IEC 27002(如确定有必要,还可来源于行业特定标准)中的所有控制及其实施,这些控制分为以下类别:1)信息安全策略;2)信息安全组织;3)人力资源安全;4)资产管理;5)访问控制,包括鉴别;6)密码;7)物理和环境安全;8)运行安全,包括IT服务;9)通
16、讯安全,包括网络安全管理和信息传输;10)系统获取、开发和维护;11)供应商关系,包括外包服务;CNAS-CC170:2015 第 8 页 共 37 页 2015 年 12 月 30 日 发布 2016 年 04 月 01 日 实施 12)信息安全事件管理;13)业务连续性管理的信息安全方面,包括冗余;14)符合性,包括信息安全评审。7.1.2.1.4 业务管理实践 参与ISMS审核的审核员,应具有以下知识:a)行业的信息安全最佳实践和信息安全规程;b)信息安全的策略和业务要求;c)通用业务管理的概念、实践,以及方针、目标和结果之间的关系;d)管理过程和相关的术语。注:这些过程也包括人力资源管
17、理、内部沟通、外部沟通和其他的相关支持过程。7.1.2.1.5 客户的业务领域 参与ISMS审核的审核员,应具有以下知识:a)特定的信息安全领域、地域和管辖范围的法律法规要求;注:具备法律法规要求的知识,不意味着要有深厚的法律背景。b)与业务领域相关的信息安全风险;c)与客户业务领域相关的通用术语、过程和技术;d)相关业务领域的实践。准则a)可在审核组内共享。7.1.2.1.6 客户的产品、过程和组织 审核组所有成员作为一个整体,应具有以下知识:a)组织类型、规模、治理、结构、职能和关系,对开发和实施ISMS和认证活动的影响,包括外包;b)广义上的复杂运营;c)适用于产品或服务的法律法规要求;
18、7.1.2.2 领导 ISMS 审核组的能力要求 除了7.1.2.1中的要求,审核组组长应满足以下要求:a)具备管理认证审核过程和审核组的知识和技能;b)具备有效的口头和书面沟通能力。应通过在有指导和监督下进行的审核来证实审核组长满足上述要求。7.1.2.3 实施申请评审的能力要求 7.1.2.3.1 信息安全管理体系标准和规范性文件 实施申请评审以确定所需的审核组能力、选择审核组成员并确定审核时间的人员,应具备以下知识:a)认证过程中所用的相关ISMS标准和其他规范性文件。7.1.2.3.2 客户的业务领域 CNAS-CC170:2015 第 9 页 共 37 页 2015 年 12 月 3
19、0 日 发布 2016 年 04 月 01 日 实施 实施申请评审以确定所需的审核组能力、选择审核组成员并确定审核时间的人员,应具备以下知识:a)与客户业务领域相关的通用术语、过程、技术和风险。7.1.2.3.3 客户的产品、过程和组织 实施申请评审以确定所需的审核组能力、选择审核组成员并确定审核时间的人员,应具备以下知识:a)客户的产品、过程、组织类型、规模、治理、结构、职能和关系,包括外包的职能。7.1.2.4 复核审核报告并做出认证决定的能力要求 7.1.2.4.1 总则 复核审核报告并作出认证决定的人员应具备知识,使其能够验证认证范围及其变更的适宜性,以及认证范围的变更对审核有效性的影
20、响,特别是识别接口、相关性和相应风险时的持续有效性;此外,复核审核报告并作出认证决定的人员应具备以下知识:a)通用的管理体系;b)审核过程和程序;c)审核原则、实践和技巧。7.1.2.4.2 信息安全管理术语、原则、实践和技术 复核审核报告并作出认证决定的人员,应具备以下知识:a)7.1.2.1.2中a)、c)、d)所列的知识;b)与信息安全相关的法律法规要求。7.1.2.4.3 信息安全管理体系标准和规范性文件 复核审核报告并作出认证决定的人员,应具备以下知识:a)认证过程中所用的相关ISMS标准和其他规范性文件。7.1.2.4.4 客户的业务领域 复核审核报告并作出认证决定的人员,应具备以
21、下知识:a)与相关业务领域实践有关的通用术语和风险。7.1.2.4.5 客户的产品、过程和组织 复核审核报告并作出认证决定的人员,应具备以下知识:a)客户的产品、过程、组织类型、规模、治理、结构、职能和关系。7.27.2 参与认证活动的人员参与认证活动的人员 CNAS-CC01中7.2的要求适用。并且,以下要求和指南适用。7.2.1 IS 7.27.2.1 IS 7.2 证实证实审核员审核员的的知识和经验知识和经验 认证机构应通过以下方式证实审核员具备知识和经验:a)经承认的、ISMS 特定的资格;CNAS-CC170:2015 第 10 页 共 37 页 2015 年 12 月 30 日 发
22、布 2016 年 04 月 01 日 实施 b)适用时,注册为审核员;c)参加 ISMS 培训课程并获得相关的个人证书;d)最新的持续专业发展记录;e)由另一个 ISMS 审核员见证的 ISMS 审核。7.2.1.1 选择审核员 除7.1.2.1之外,选择审核员的准则应确保每位审核员:a)具备等同于大学教育水平的专业教育或培训;b)在信息技术方面具备至少 4 年的全职实际工作经历,其中至少 2 年的工作经历来自与信息安全有关的职责或职能;c)成功地完成至少 5 天的培训,培训范围包括 ISMS 审核和审核管理;d)在被赋予审核员责任之前,已获得整个信息安全评估过程的经验。宜通过参与最少 4 次
23、、总天数至少 20 天(其中最多 5 天可来自于监督审核)的 ISMS 认证审核(包括再认证审核和监督审核)来获得这种经验。参与审核时,应包括评审文件与风险评估,评估实施情况和报告审核情况;e)具备相关的且合乎时宜的经验;f)通过持续的专业发展,更新现有的、信息安全和审核方面的知识与技能。技术专家应符合准则a)、b)和e)。7.2.1.2 选择领导审核组的审核员 除了7.1.2.2和7.2.1.1外,选择领导审核组的审核员的准则应确保该审核员:a)已经积极参与过 3 次 ISMS 审核的所有阶段(all stages)。参与审核时,应包括初次的范围识别与策划、评审文件与风险评估、评估实施情况和
24、正式地报告审核情况。7.37.3 外部审核员和外部技术专家的使用外部审核员和外部技术专家的使用 CNAS-CC01中7.3的要求适用。并且,以下要求和指南适用。7.3.1 IS 7.3 使用外部审核员或外部技术专家作为审核组的一部分 技术专家应在审核员的监督下进行工作。7.2.1.1 列出了技术专家的最低要求。7.47.4 人员记录人员记录 CNAS-CC01 中 7.4 的要求适用。7.57.5 外包外包 CNAS-CC01 中 7.5 的要求适用。8 8 信息要求信息要求 8.18.1 公开信息公开信息 CNAS-CC01 中 8.1 的要求适用。CNAS-CC170:2015 第 11
25、页 共 37 页 2015 年 12 月 30 日 发布 2016 年 04 月 01 日 实施 8.28.2 认证文件认证文件 CNAS-CC01 中 8.2 的要求适用。并且,以下要求和指南适用。8.2.1 IS 8.2 ISMS8.2.1 IS 8.2 ISMS 认证文件认证文件 认证文件应由负责此项职责的人员签署。认证文件应包括适用性声明的版本。注:如果适用性声明的变更没有改变认证范围中控制措施的覆盖范围,则不要求更新认证证书。认证文件也可以包括所使用的行业特定标准。8.38.3 认证的引用和标志的使用认证的引用和标志的使用 CNAS-CC01 中 8.3 的要求适用。8.48.4 保
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- CNAS-CC170-2015 信息安全管理体系认证机构要求 CNAS CC170 2015 信息 安全管理 体系 认证 机构 要求
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【clo****rst】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【clo****rst】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。