中国合格评定国家认可委员会(CNAS)于二零一二年一月十日发布了CNAS-CC17:2012《信息安全管理体系认证机构要求》(等同采用ISO/IEC27006:2011),文件将于二零一二年四月一日实施并代替CNAS-CC17:2009。
一、CNAS-CC17:2012的转换期
已经依据CNAS-CC17:2009准则获得CNAS认可的ISMS认证机构,应于二零一三年二月一日前完成CNAS-CC17:2012准则认可转换的工作。转换期自二零一二年四月一日至二零一三年一月三十一日。
截止至二零一二年二月一日,依据CNAS-CC17:2009认可的ISMS认证机构若没有完成CNAS-CC17:2012认可转换,其ISMS认可资格将被撤销。
二、转换准备
(一)CNAS的转换准备
自文件发布之日起至二零一二年三月三十一日之前,CNAS将为转换工作做出相应准备,包括配套规范文件的修订准备、转换评审工作流程策划以及依据CNAS-CC17:2012实施评审所需的人员和资源准备等。
(二)认证机构的转换准备
在此基础上,认证机构与CNAS商定转换评审及认可转换的具体安排。
三、转换实施
ISO27001信息安全管理体系ISMS认证机构的认可转换将采用CNAS-CC17:2012与CNAS-CC01:2011转换结合进行的方式。
(一)申请认可转换
自二零一二年四月一日起至二零一二年十月三十一日,CNAS接受已认可ISMS认证机构CNAS-CC17:2012转换的认可申请。至二零一二年十一月一日后不再接受已认可ISMS认证机构针对CNAS-CC17:2012的认可转换申请,未申请转换的ISMS认证机构其依据CNAS-CC17:2009的认可资格将于二零一三年二月一日撤销。
(二)转换实施
(三)不符合与认可转换决定
在CNAS-CC17:2012转换评审中发现的不符合可能包括对CNAS-CC17:2012新要求的不符合,以及对CNAS-CC17:2009原要求的不符合,转换评审中对CNAS-CC17不符合的关闭验证时限不超过一个月。其中,ISMS认证机构对CNAS-CC17:2012新要求的不合符仅用来评价认证机构CNAS-CC17:2012转换实施的完成情况,仅在确定ISMS认可转换结果的过程中起作用。
在二零一三年二月一日前,对完成认可转换评审的认证机构,CNAS将就其ISO27001信息安全管理体系ISMS领域认可转换作出决定。
四、认证机构新申请ISO27001信息安全管理体系ISMS领域认可的安排
二〇一二年一月十日
CNAS-CC17信息安全管理体系认证机构要求
RequirementsforInformationSecurityManagementSystemCertificationBodies
中国合格评定国家认可委员会发布
1范围
本文件对实施ISO27001信息安全管理体系(以下简称“ISMS”)审核和认证的机构提出要求并提供指南,以作为对CNAS-CC01:2011和GB/T22080-2008要求的补充。制定本文件的主要意图是对实施ISMS认证的认证机构的认可提供支持。
任何提供ISMS认证的机构需要在能力和可靠性方面证实其满足本文件的要求。本文件的指南性条款为这些要求提供了进一步的说明。
注:本文件可以作为认可、同行评审或其他审核过程的准则性文件。
2规范性引用文件
下列文件中的条款通过本文件的引用而成为本文件的条款。凡是注明日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本文件。然而,鼓励根据本文件达成协议的各方研究是否可使用这些文件的最新版本。凡是不注明日期的引用文件,其最新版本适用于本文件。
CNAS-CC01:2011管理体系认证机构要求(等同采用ISO/IEC17021:2011)
GB/T22080-2008信息技术安全技术信息安全管理体系要求(ISO/IEC27001:2005,IDT)
ISO19011:2011管理体系审核指南
3术语和定义
CNAS-CC01:2011和GB/T22080-2008中确立的以及下列术语和定义适用于本文件。
3.1
认证证书certificate
3.2
认证机构certificationbody
按照正式发布的ISMS标准及ISMS所要求的任何补充性文件,对客户组织的ISMS进行评定和认证的第三方机构。
3.3
认证文件certificationdocument
表明客户组织的ISMS符合指定的ISMS标准及ISMS所要求的任何补充性文件的一类文件。
3.4
标志mark
3.5
组织organization
公司、集团、事务所、工厂、政府机构、科研机构、学校等,或者其部分或组合,无论其是否是法人,还是公有或私有的,均具有其自身的职能和管理并能够确保实施其信息安全。
4原则
CNAS-CC01:2011的4中的原则适用。
5通用要求
5.1法律与合同事宜
CNAS-CC01:2011的5.1中的要求适用。
5.2公正性的管理
CNAS-CC01:2011的5.2中的要求适用。并且,以下ISMS特定要求和指南适用。
5.2.1IS5.2利益冲突
认证机构从事以下工作可不被视为咨询或具有潜在的利益冲突:
a)认证,其中包括信息沟通会议、审核策划会议、文件评审、审核(但不是ISMS内部审核或内部信息安全评审)和不符合的跟踪;
b)作为讲师安排和参与培训课程,如果这些课程涉及信息安全管理、有关的管理体系或审核,认证机构应仅限于提供可以公开自由获取的通用的信息和建议,即他们不应针对具体公司提供那些违反下面c)要求的建议;
c)根据请求,提供或公开发布有关认证机构对认证审核标准的要求予以说明的信息(见9.1.1);
e)根据标准或法规要求,实施认可范围以外的第二方或第三方审核;
f)在认证审核和监督审核过程中的增值活动,例如,在审核过程中,当改进机会明显时,识别改进的机会但不推荐具体的解决方案。
认证机构应独立于为其所认证的客户组织ISMS提供ISMS内部审核的机构(也包括任何个人)。
5.3责任和财力
CNAS-CC01:2011的5.3中的要求适用。
6结构要求
6.1组织结构和最高管理层
CNAS-CC01:2011的6.1中的要求适用。
6.2维护公正性的委员会
CNAS-CC01:2011的6.2中的要求适用。
7资源要求
7.1管理层和人员的能力
CNAS-CC01:2011的7.1中的要求适用。并且,以下ISMS特定要求和指南适用。
7.1.1IS7.1.1总体考虑
为实施ISMS认证,管理层的基本能力是选择、提供和管理那些具备与受审核的活动和有关的信息安全事宜相适应的技能和综合能力的人员。
7.1.1.1能力分析和合同评审
认证机构应确保具备与所评定的客户组织ISMS有关的技术和法律发展的知识。
认证机构应具有一个有效的能力分析系统,以便在其运作所涉及的全部技术领域就需要具备的信息安全管理方面的能力进行分析。
对于每个客户组织,认证机构在实施合同评审前,应能够证实其已经针对每个有关行业的要求进行了能力分析(针对所评估出的需求进行技能评定)。然后,认证机构应以该能力分析的结果为基础,对与客户组织的合同进行评审。尤其,认证机构应能够证实其具备完成以下活动的能力:
b)根据所识别的活动以及有关客户组织的与信息安全有关的对资产的威胁、脆弱性和影响来确定认证机构实施认证所需的能力;
c)确认具备所需的能力。
7.1.1.2资源
认证机构的管理应包括必要的过程和资源,以使认证机构能够确定每个审核员是否有能力针对认证范围从事所要求的工作。审核员的能力可以通过经验证的背景经历和特定的培训或情况说明来确定。认证机构应能与其提供服务的所有客户组织进行有效的沟通。
7.1.2IS7.1.2能力准则的确定
附录B中提供了知识和技能的附加信息以支持CNAS-CC01:2011的能力准则。
7.2参与认证活动的人员
CNAS-CC01:2011的7.2中的要求适用。并且,以下ISMS特定要求和指南适用。
7.2.1IS7.2认证机构人员能力
认证机构应具备胜任以下工作的人员:
a)选择并验证ISMS审核员的能力,以使审核组适合审核;
b)向ISMS审核员进行情况说明并安排必要的培训;
c)做出授予、保持、撤销、暂停、扩大或缩小认证的决定;
d)建立和运行申诉和投诉过程。
7.2.1.1审核组的培训
认证机构应有审核组的培训准则,以确保审核组:
b)理解信息安全;
c)从业务角度,理解风险评估和风险管理;
f)具有管理体系的知识;
g)理解基于GB/T19011的审核原则;
h)具有评审ISMS有效性和测量控制措施有效性的知识。
以上培训要求,除了上述d)可以在审核组成员之间共享外,其余均适用于审核组的所有成员。
7.2.1.1.1当为特定认证审核选择指派审核组时,认证机构应确保审核组实施各项工作的技能是适宜的。审核组应:
b)充分理解客户组织,以便对(管理客户组织活动、产品和服务的信息安全的)ISMS进行可靠的认证审核;
c)适当地理解适用于客户组织的ISMS的法规要求。
7.2.1.1.2需要时,审核组的能力可以通过技术专家予以补充,这些技术专家应能够证实具备与受审核方活动相应的技术领域的特定能力。值得注意的是,技术专家不能作为ISMS审核员,但可就受审核方管理体系中技术充分性事宜为审核员提供建议。认证机构应就以下活动制定程序:
a)按照其能力、所接受的培训、资格与经历来选择审核员和技术专家;
b)在认证审核中对审核员和技术专家的素质和能力进行初始评价,而后对审核员和技术专家的表现进行监视。
7.2.1.2决定过程的管理
管理层应具备技术能力并能够对有关授予、保持、扩大、缩小、暂停和撤销ISMS认证(依据GB/T
22080-2008要求)的决定过程进行管理。
7.2.1.3ISMS审核员在教育、工作经历、审核员培训和审核经历方面的必备条件
7.2.1.3.1以下准则适用于ISMS审核组中的每个审核员。审核员应:
a)具备中等教育;
b)在信息技术方面具备至少4年的全职实际工作经历,其中至少2年的工作经历来自与信息安全有关的职责或职能;
c)成功地完成5天的培训,范围应包括ISMS审核和审核管理;
d)在被赋予审核员责任之前,已获得评定整个信息安全管理体系的经验。这种经验宜通过参与最
少4次、总共天数至少20天的认证审核获得,其中包括文件评审、风险分析的评审、现场审核和审核报告;
e)具备合乎时宜的经验;
f)能够广泛、透彻地认识复杂的运作,并理解在较大的客户组织中各单元的职能;
g)通过持续的专业发展,保持最新的信息安全和审核的知识与技能。
技术专家应符合上述a)、b)、e)和f)准则。
7.2.1.3.2除了7.2.1.3.1中的要求,审核组组长应符合以下要求,并应通过在指导和监督下进行的审核中得到证实:
a)具备管理认证审核过程的知识和技能;
b)已经至少作为审核员实施过3次完整ISMS审核;
c)具备有效的口头和书面沟通能力。
7.3外部审核员和外部技术专家的使用
CNAS-CC01:2011的7.3中的要求适用。并且,以下ISMS特定要求和指南适用。
7.3.1IS7.3使用外部审核员或外部技术专家作为审核组的一部分
7.3.1.1技术专家的使用
具有有关影响客户组织的过程、信息安全和法律方面的特定知识,但未必满足本文件的7.2中的全部准则的技术专家,可以成为审核组成员。技术专家应在审核员的监督下进行工作。
7.4人员记录
CNAS-CC01:2011的7.4中的要求适用。
7.5外包
CNAS-CC01:2011的7.5中的要求适用。
8信息要求
8.1可公开获取的信息
CNAS-CC01:2011的8.1中的要求适用。并且,以下ISMS特定要求和指南适用。
8.1.1IS8.1授予、保持、扩大、缩小、暂停和撤销认证的程序
认证机构应要求客户组织具有一个文件化并且已实施的符合GB/T22080-2008要求和认证所需其他文件要求的ISMS。
认证机构应为以下活动具备形成文件的程序:
8.2认证文件
CNAS-CC01:2011的8.2中的要求适用。并且,以下ISMS特定要求和指南适用。
8.2.1IS8.2ISMS的认证文件
8.3获证客户组织名录
CNAS-CC01:2011的8.3中的要求适用。
8.4认证的引用和标志的使用
CNAS-CC01:2011的8.4中的要求适用。并且,以下ISMS特定要求和指南适用。
8.4.1IS8.4认证标志的控制
8.5保密性
CNAS-CC01:2011的8.5中的要求适用。并且,以下ISMS特定要求和指南适用。
8.5.1IS8.5客户组织记录的获取
在认证审核之前,认证机构应要求客户组织报告是否存在不能提供给审核组的包含保密性或敏感性信息的ISMS记录。认证机构应确定ISMS是否能在缺少这些记录的情况下得到充分的审核。如果认证机构得出不对已识别的保密性或敏感性的记录进行核查就不能对ISMS进行充分审核的结论,就应告知客户组织,并只有获得适当的访问安排许可时才能进行认证审核。
8.6认证机构与其客户组织间的信息交换
CNAS-CC01:2011的8.6中的要求适用。
9过程要求
9.1通用要求
CNAS-CC01:2011的9.1中的要求适用。并且,以下ISMS特定要求和指南适用。
9.1.1IS9.1.1通用ISMS审核要求
9.1.1.1认证审核准则
9.1.1.2政策和程序
认证机构的管理体系文件应包括实施认证过程的政策和程序,其中包括对用于各类ISMS认证的那些文件的使用和应用情况的检查,也包括对用于审核和认证客户组织ISMS的那些程序的检查。
9.1.1.3审核组
认证机构应正式任命审核组并为其提供相应的工作文件。审核计划和日期应得到客户组织的同意。
9.1.2IS9.1.2认证范围
审核组应针对所有适用的认证要求,对包含在确定范围内的客户组织ISMS进行审核。认证机构应确保根据客户组织的业务、组织、位置、资产和技术的特点清晰地确定其ISMS的范围和边界。认证机构应确认客户组织在其ISMS范围内满足了GB/T22080-2008中1.2的要求。
认证机构应确保,与不完全属于ISMS范围内的服务或活动的接口已在接受认证的ISMS中得到说明,并已包括在客户组织的信息安全风险评估中,例如,与其他机构共享设施的情况(信息技术系统、数据库和通讯系统等)。
a)ISMS范围的规模(例如,所使用的信息系统的数量和雇员的数量);
b)ISMS的复杂程度(例如,信息系统的关键程度和ISMS的风险状况),见本文件的附录A;
c)在ISMS范围内开展的业务类型;
d)在ISMS各部分的实施过程中,所应用的技术的水平和多样性[例如,已实施的控制措施、文件和(或)过程控制,以及纠正和(或)预防措施等];
e)场所的数量;
f)经证实的以往ISMS绩效;
g)在ISMS范围内,所使用的外包和第三方安排的程度;
h)适用于认证的标准和法规。
9.1.4IS9.1.4多场所
9.1.4.1在ISMS认证领域,有关多场所的抽样决定比质量管理体系认证领域更加复杂。当客户组织拥有满足以下a)至c)的多个场所时,认证机构可以考虑使用基于抽样的方法进行多场所认证审核:
a)所有的场所在同一ISMS下运行,并接受统一的管理、内部审核和管理评审;
b)所有的场所都包含在客户组织的ISMS内部审核方案中;
c)所有的场所都包含在客户组织的ISMS管理评审方案中。
9.1.4.2认证机构当使用基于抽样的方法时,应具备程序以确保:
a)在初次的合同评审中,最大程度地识别场所之间的差异,以便确定适宜的抽样水平;
b)结合以下因素,认证机构抽取具有代表性的场所:
1)总部及其他场所的内部审核的结果;
2)管理评审的结果;
3)场所规模的异同;
4)场所业务目的的异同;
5)ISMS的复杂程度;
6)不同场所的信息系统的复杂程度;
7)工作惯例的异同;
8)所实施的活动的异同;
9)与关键的信息系统或处理敏感信息的信息系统之间的潜在相互作用;
10)任何不同的法律要求。
c)从客户组织的ISMS范围内所有场所中选择具有代表性的样本,这种选择应基于判断以反映上述b)中所列因素,同时也考虑随机因素;
d)在授予认证之前,认证机构审核ISMS中每个有重大信息安全风险的场所;
f)无论是在总部还是在某单一场所发现不符合,纠正措施规程的实施适用于包括在认证范围内的总部和所有场所。
9.1.5IS9.1.5审核方法
认证机构应有程序要求客户组织证实其已就ISMS内部审核做出日程安排,且其方案与规程具备操作性并表明其可操作。
认证机构的程序不应预先假定ISMS实施的特殊方式或文件和记录的特殊格式。认证程序应将重点放在确定客户组织的ISMS满足GB/T22080-2008标准的要求以及客户组织的策略与目标。
如适宜,审核计划应识别在审核中使用的网络支持的审核技术。
9.1.6IS9.1.6认证审核报告
9.1.6.1认证机构的报告程序应确保:
a)在离开客户组织场所前,在审核组和客户组织管理者之间召开一次会议,并提供:
1)关于客户组织ISMS与特定认证要求的符合性方面的书面或口头说明;
2)客户组织就审核发现及其根据提出问题的机会。
b)审核组向认证机构提供关于审核发现的审核报告,这些审核发现是针对客户组织的ISMS与所有认证要求的符合性。
9.1.6.2审核报告应提供以下信息或对这些信息的引用:
a)审核的说明,其中包括了文件评审摘要;
b)对客户组织信息安全风险分析进行的认证审核的说明;
d)所进行的审核询问,及其选择的理由和所使用的方法。
9.1.6.3审核报告应足够详细,以帮助和支持认证决定。审核报告应包括:
a)审核覆盖的区域(例如,认证要求和接受审核的场所),也包括所采用的主要审核路线和所使用的审核方法(见本文件的IS9.1.5);
b)观察结果,包括正面的(例如,值得注意的特点)和负面的(例如,潜在的不符合);
c)已识别的任何不符合的详细情况,包括支持它们的客观证据和这些不符合所涉及的GB/T22080-2008或认证所需的其他文件的要求;
完成的问卷、检查清单、观察结果、日志或审核员笔记可能构成完整的审核报告的一部分。如果使用这些方法,这些文件应提供给认证机构,以此作为支持认证决定的证据。在审核过程中,有关被评价样本的信息应包含在审核报告或其他认证资料中。
报告应考虑客户组织所采用的内部组织和规程的充分性,以便对其ISMS建立信心。
除了在CNAS-CC01:2011的9.1.10中对审核报告的要求,报告还应包括:
a)对ISMS内部审核和管理评审的信任程度;
b)有关ISMS的实施和有效性的最重要的正面与负面观察的摘要;
c)审核组关于是否授予客户组织ISMS认证的建议,以及支持该建议的信息。
9.2初次审核与认证
CNAS-CC01:2011的9.2中的要求适用。并且,以下ISMS特定要求和指南适用。
9.2.1IS9.2.1审核组的能力
除了7.2所列的要求之外,以下要求适用于认证审核。对于监督活动,仅仅与已安排的监督活动有关的要求适用。
以下要求适用于整个审核组。
a)在以下每个方面,至少应有一名审核组成员满足认证机构能力准则并在审核组内承担相应责任:
1)管理审核组;
3)在特定的信息安全领域中的法律和法规要求的知识;
4)识别与信息安全有关的威胁和事件趋势;
5)识别客户组织的脆弱性并理解其被利用的可能性和所造成的影响,以及对其的减缓和控制;
6)ISMS的控制措施及其实施的知识;
7)ISMS有效性的评审和控制措施有效性的测量方面的知识;
9)事件处理方法和业务连续性的知识;
10)有关有形和无形信息资产及其影响分析的知识;
11)有关可能涉及安全或可能构成安全问题的当前技术的知识;
12)风险管理过程和方法的知识。
b)审核组应有能力将客户组织ISMS中的安全事件现象追溯到ISMS的相应要素;
c)审核组应有关于上述项目的适当工作经历和应用实践(这不意味着审核员需要信息安全所有领域的全面的经验,但审核组整体上应对被审核的领域具备足够的认识和经验)。
审核组可以由一名审核员组成,如果其满足上述a)的所有准则。
9.2.1.1IS9.2.1.1审核员的能力证实
审核员应能够证实其具备上述知识和经验,如通过:
a)经承认的、ISMS特定的资格;
b)注册为审核员;
c)经批准的ISMS课程培训;
d)最新的持续专业发展记录;
e)对审核员在实际客户组织ISMS的审核过程的见证予以证实。
9.2.2IS9.2.2初次审核的准备
认证机构应要求客户组织为认证审核的实施做出所有必要的安排,这些安排中包括:为了认证审核、再认证审核和解决投诉问题而提供接受检查的文件,以及访问所有区域、记录(包括内部审核报告和信息安全独立评审报告)和人员。
在现场认证审核之前,客户组织至少应提供以下信息:
a)ISMS和其所覆盖活动的一般信息;
9.2.3IS9.2.3初次认证审核
9.2.3.1IS9.2.3.1第一阶段审核
在该审核阶段,认证机构应获取设计ISMS的文件,其中包括GB/T22080-2008的4.3.1中所要求的文件。
第一阶段审核的目的是,结合客户组织ISMS方针和目标,了解其ISMS,特别是客户组织的审核准备状态,为策划第二阶段的审核提供重点。
第一阶段审核结果应形成书面报告。认证机构应在决定进行第二阶段审核前,对第一阶段的审核报告进行核查,以便选择具有所需能力的第二阶段的审核组成员。
认证机构应让客户组织意识到在第二阶段的审核中,可能需要进一步提供信息和记录以供详细检查。
9.2.3.2IS9.2.3.2第二阶段审核
9.2.3.2.1第二阶段审核在客户组织的场所进行。认证机构以第一阶段的审核报告中的形成文件的审核发现为基础,起草实施第二阶段审核的审核计划。第二阶段审核的目标是:
a)确认客户组织遵守自身的策略和规程;
b)确认客户组织的ISMS符合规范性ISMS标准GB/T22080-2008的所有要求,并正在实现客户组织依据方针所制定的目标。
a)与信息安全有关的风险评估,及评估能产生可比较和可再现的结果;
b)符合GB/T22080-2008的4.3.1中所列要求的文件;
c)基于风险评估与风险处置过程,对控制目标与控制措施的选择;
d)ISMS有效性的评审和信息安全控制措施有效性的测量,以及对照ISMS目标进行的报告和评审;
e)ISMS内部审核和管理评审;
f)针对信息安全方针的管理职责;
i)方案、过程、规程、记录、内部审核和对ISMS有效性的评审,以确保其可被追溯至管理决定和ISMS方针与目标。
9.2.3.3IS9.2.3.3ISMS审核的特定要素
认证机构的职责是确定客户组织在制定和保持规程方面是否始终如一,特别是识别、检查和评价有关客户组织的与信息安全有关的资产威胁、脆弱性及影响的规程。认证机构应:
a)要求客户组织证实对信息安全威胁的分析与组织的运行是相应和充分的;
注:客户组织负责确定它的与信息安全有关的重大风险的识别准则,并制定实施的规程。
b)确定客户组织识别、检查和评价与信息安全有关的资产威胁、脆弱性和影响的规程以及应用的结果是否与客户组织的方针、目标和指标保持一致。
认证机构也应确定用于重大风险分析的规程是否健全并正确实施。如果有关客户组织的与信息安全有关的资产威胁、脆弱性或影响被识别为重大时,则应纳入ISMS管理之中。
9.2.3.3.1法律和法规的符合性
法律法规符合性的保持和评价是客户组织的责任。认证机构应通过检查和抽样的方式对ISMS在客户组织的合规性方面的作用建立信心。认证机构应验证客户组织所具有的管理体系使其达到符合有关信息安全风险和影响的法律法规。
9.2.3.3.2ISMS文件与其他管理体系文件的整合
只要ISMS以及与其他管理体系的适当接口能够清楚地被识别,客户组织可以将ISMS文件与其他管理体系文件(例如,质量、环境和健康与安全)相结合。
9.2.3.3.3管理体系结合审核
认证机构可以仅提供ISMS认证服务,或结合ISMS认证提供其他管理体系认证服务。
ISMS审核可以和其他管理体系的审核相结合。这种结合只有在证实审核满足ISMS认证所有要求时才有可能。在审核报告中,所有对ISMS重要的要素应清晰地体现并易于识别。审核的质量不应由于结合审核受到负面影响。
9.2.4IS9.2.4授予初次认证的信息
为给认证决定提供依据,认证机构应要求审核组向其提供含有支持认证决定的充足信息的清晰报告。
要求审核组在认证审核的各个阶段向认证机构提供报告。结合存档信息,报告至少应包括本文件的IS9.1.6中要求的信息。
9.2.5IS9.2.5认证决定
通常情况下,负责做出授予认证决定的实体不宜推翻审核组的负面建议。如果出现这种情况,认证机构应记录和说明作出推翻建议的决定的依据。
对认证决定而言,CNAS-CC01:2011未对客户组织ISMS至少进行一次完整的内部审核和一次管理评审的周期做出具体规定。认证机构可以规定该周期。无论认证机构是否选择规定最低频次的方式,认证机构都应制定措施,以确保客户组织的ISMS管理评审和内部审核过程的有效性。
只有具备充分的证据证实ISMS管理评审和内部审核的安排得以实施,并是有效的和将得到保持,才可对客户组织授予认证。
9.3监督活动
CNAS-CC01:2011的9.3中的要求适用。并且,以下ISMS特定要求和指南适用。
9.3.1IS9.3监督活动
9.3.1.1监督审核程序应与本文件提出的有关客户组织ISMS的认证审核的要求和指南保持一致。
监督的目的是验证已被认证的ISMS的持续实施、考虑由于客户组织运作的变化所造成的管理体系变化,以及确认与认证要求的持续符合。监督审核方案应包括:
a)ISMS内部审核、管理评审和预防与纠正措施等管理体系保持要素;
b)根据ISMS标准GB/T22080-2008和认证所需的其他文件的要求,来自外部各方的沟通;
c)形成文件的管理体系的变更;
d)变更涉及的区域;
e)所选择的GB/T22080-2008要素;
f)适宜时,其他被选择的区域。
9.3.1.2认证机构的监督至少应对以下方面进行审核:
a)ISMS在实现针对客户组织的信息安全方针所确定的目标方面的有效性;
c)针对上次审核中已识别的不符合采取的措施。
9.3.1.3认证机构的监督应包括CNAS-CC01:2011中对监督审核的要求,并且,应覆盖以下事项:
a)认证机构宜能够针对客户组织的与信息安全相有关的资产威胁、脆弱性和影响制定监督方案,并判断方案的合理性;
b)认证机构的监督方案应由认证机构确定。访问的具体日期可与被认证的客户组织达成一致;
c)监督审核可以与其他管理体系的审核相结合。报告应清晰地指出与每个管理体系有关的方面;
d)认证机构应对认证证书的使用进行监督。
在监督审核过程中,认证机构应检查提交给认证机构的申诉和投诉记录,并在发现任何不符合或无法满足认证要求时,还应检查客户组织是否已调查其自身的ISMS和规程并采取了适当的纠正措施。
特别是,监督报告应包括有关消除以往所发现不符合的信息。由监督审核所产生的报告至少应覆盖本文件的9.3.1.2中的全部要求。
9.4再认证
CNAS-CC01:2011的9.4中的要求适用。并且,以下ISMS特定要求和指南适用。
9.4.1IS9.4再认证审核
再认证审核程序应与本文件中提出的有关客户组织ISMS的认证审核的要求和指南保持一致。
9.5特殊审核
CNAS-CC01:2007的9.5中的要求适用。并且,以下ISMS特定要求和指南适用。
9.5.1IS9.5特殊情况
如果已经通过ISMS认证的客户组织对其管理体系做重大修改,或者发生影响其认证基础的其他变更,认证机构应该按照特别规定必要时实施特殊审核以及必要活动。
9.6暂停、撤销或缩小认证范围
CNAS-CC01:2011的9.6中的要求适用。
9.7申诉
CNAS-CC01:2011的9.7中的要求适用。
9.8投诉
CNAS-CC01:2011的9.8中的要求适用。并且,以下ISMS特定要求和指南适用。
9.8.1IS9.8投诉
认证机构应确保客户组织利用上述调查活动制定补救和(或)纠正的措施,这应包括为以下方面所采取的措施:
a)如果法规要求时,通知相应的权力机构;
b)恢复符合性;
c)防止再发生;
e)确保与ISMS其他组成部分的满意的相互作用;
f)评价所采用的补救和(或)纠正措施的有效性。
认证机构应要求,每个ISMS获证客户组织在被要求时,根据GB/T22080-2008要求提供所有投诉和所采取的纠正措施的记录。
9.9申请组织和客户组织的记录
CNAS-CC01:2011的9.9中的要求适用。
10认证机构的管理体系要求
10.1可选方式
CNAS-CC01:2011的10.1中的要求适用。
10.2方式一:按照GB/T19001-2008的管理体系要求
CNAS-CC01:2011的10.2中的要求适用。
10.3方式二:通用的管理体系要求
CNAS-CC01:2011的10.3中的要求适用。并且,以下ISMS特定的要求和指南适用。