CNAS-SC18-2012 信息安全管理體系認(rèn)證機(jī)構(gòu)認(rèn)可方案

2012年04月01日發(fā)布2012年04月01日實(shí)施中國合格評(píng)定國家認(rèn)可委員會(huì)編號(hào)：CNAS-SC18:2012 3 4 4 4 5 5 6 6 6 7 7 7 7 8 8 8 9 9 9 9 20 22通用信息安全技術(shù)領(lǐng)域和通用信息技術(shù)領(lǐng)域—參考 24編號(hào)：CNAS-SC18:2012編號(hào)：CNAS-SC18:20122規(guī)范性引用文件3術(shù)語和定義編號(hào)：CNAS-SC18:2012注：對(duì)于ISMS，技術(shù)領(lǐng)域與信息安全控制措施所涉及的信息安全技術(shù)、信息技術(shù)及4ISMS認(rèn)證機(jī)構(gòu)認(rèn)可規(guī)范的構(gòu)成R.1認(rèn)可申請(qǐng)編號(hào)：CNAS-SC18:2012R.2預(yù)訪問R.3初次認(rèn)可的見證評(píng)審R.4認(rèn)證業(yè)務(wù)范圍的認(rèn)可b)根據(jù)該大類和相關(guān)中類的能力需求分析，以適宜、有效的）；和評(píng)價(jià)系統(tǒng)能夠保證充分地識(shí)別和配備該大類認(rèn)證證活動(dòng)都有效，也不意味著CNAS批準(zhǔn)認(rèn)證機(jī)構(gòu)理體系認(rèn)證安全管理的通知》的要求以及有關(guān)主管部門/監(jiān)管部編號(hào)：CNAS-SC18:2012R.5其他C.1認(rèn)證協(xié)議（CNAS-CC01條款5.1.2）C.2風(fēng)險(xiǎn)評(píng)估和責(zé)任安排（CNAS-CC01條款5.3.1）認(rèn)證機(jī)構(gòu)應(yīng)對(duì)其審核和認(rèn)證活動(dòng)可能給客戶組織的信C.3ISMS審核員在教育、工作經(jīng)歷、審核員培訓(xùn)和審核經(jīng)歷方面的必備條件（CNAS-CC17條款7.2.1.3）編號(hào)：CNAS-SC18:2012C.4ISMS認(rèn)證證書（CNAS-CC01條款8.2.3、CNAS-CC17條款I(lǐng)S8.2）C.5保密（CNAS-CC01條款8.5、CNAS-CC17條款I(lǐng)S8.5）如果認(rèn)證機(jī)構(gòu)因?yàn)槲传@得組織的允許或無法滿足C.5.4審核組成員不宜在審核過程中以任何方式記錄受審核組C.6ISMS的變化（CNAS-CC01條款8.6.3）編號(hào)：CNAS-SC18:2012C.7已認(rèn)可的ISMS認(rèn)證的轉(zhuǎn)換（CNAS-CC01條款9.1.1）C.8認(rèn)證申請(qǐng)（CNAS-CC01條款9.2.1）C.8.1認(rèn)證機(jī)構(gòu)應(yīng)確?？蛻艚M織符合全管理體系認(rèn)證安全管理的通知》的要求，以及有關(guān)主管部C.8.2認(rèn)證機(jī)構(gòu)宜要求客戶組織向其說明適用的關(guān)于認(rèn)證機(jī)構(gòu)C.9認(rèn)證審核相關(guān)要求（CNAS-CC01條款9.2至條款9.9）ISO/IECTR27008《信息C.10認(rèn)證機(jī)構(gòu)的信息安全管理體系（CNAS-CC01條款10.3、CANS-CC17編號(hào)：CNAS-SC18:2012G.1ISMS認(rèn)證機(jī)構(gòu)能力分析和評(píng)價(jià)系統(tǒng)指南請(qǐng)?jiān)u審、認(rèn)證決定、審核和領(lǐng)導(dǎo)審核組四種職能的人員b)應(yīng)用知識(shí)/技能所要實(shí)現(xiàn)的結(jié)果。它與人員所承擔(dān)的職能有關(guān)審核員需要考慮受審核組織的整體信息安全風(fēng)險(xiǎn)++++識(shí)++++——對(duì)審核員和審核組長的審核原則、實(shí)務(wù)和技巧的知識(shí)、ISMG.1.1.1.2認(rèn)證機(jī)構(gòu)宜在能力要求中進(jìn)一步定義表G.1中每類知承擔(dān)同種職能的人員在不同的認(rèn)證活動(dòng)風(fēng)險(xiǎn)和復(fù)雜性水平下需要具有的知識(shí)/技能水G.1.1.2.2通用信息安全技術(shù)領(lǐng)域和編號(hào)：CNAS-SC18:2012G.1.1.2.2.1通用信息安全技術(shù)領(lǐng)域和通用信息技術(shù)領(lǐng)域是考慮G.1.1.2.2.2認(rèn)證機(jī)構(gòu)宜確定通用信息安全技術(shù)領(lǐng)域和通用信息構(gòu)在分析通用信息安全技術(shù)領(lǐng)域和通用信息技術(shù)領(lǐng)域的知識(shí)以及相G.1.1.2.3業(yè)務(wù)應(yīng)用技術(shù)領(lǐng)域安全風(fēng)險(xiǎn)，為組織的業(yè)務(wù)活動(dòng)提供保障。I編號(hào)：CNAS-SC18:2012****a)認(rèn)證業(yè)務(wù)范圍專業(yè)能力需求分析：認(rèn)證機(jī)構(gòu)對(duì)b)技術(shù)領(lǐng)域的分類和專業(yè)能力要求的確定和調(diào)整：認(rèn)證機(jī)構(gòu)所有認(rèn)證業(yè)務(wù)范圍大類和中類分析出的知識(shí)進(jìn)行歸納認(rèn)證人員的專業(yè)能力要求，必要時(shí)編制特定技術(shù)領(lǐng)域證業(yè)務(wù)范圍類別增加時(shí)，或者當(dāng)特定客戶組織的專業(yè)審核過程的相關(guān)反饋顯示有必要時(shí)，調(diào)整和完善技術(shù)c)特定客戶組織專業(yè)能力需求分析：在情況和本機(jī)構(gòu)技術(shù)領(lǐng)域的分類與專業(yè)能力要求，分析和核和認(rèn)證所涉及的技術(shù)領(lǐng)域類別以及相應(yīng)的專業(yè)能力，證人員以及改進(jìn)技術(shù)領(lǐng)域分類和專業(yè)能力要求提供輸入d)能力評(píng)價(jià)：在認(rèn)證活動(dòng)管理和實(shí)施的依據(jù)專業(yè)能力要求，對(duì)擬使用的人員實(shí)施能時(shí)，通過適當(dāng)方式（例如培訓(xùn)）提升其能力，f)選擇和使用對(duì)特定客戶組織實(shí)施審核和編號(hào)：CNAS-SC18:2012(1)(1)認(rèn)證業(yè)務(wù)范圍能力需求分析認(rèn)證業(yè)務(wù)范圍專業(yè)能力需求來自審核的相關(guān)反饋(4)(2)來自審核的相關(guān)反饋(4)技術(shù)領(lǐng)域的分類和專業(yè)能力要求的確定和調(diào)整人員能力評(píng)價(jià)審核指導(dǎo)文件技術(shù)領(lǐng)域分類和專業(yè)能力要求(3)能力提升和補(bǔ)充否具備能力？特定客戶組人員能力評(píng)價(jià)審核指導(dǎo)文件技術(shù)領(lǐng)域分類和專業(yè)能力要求(3)能力提升和補(bǔ)充否具備能力？特定客戶組織具體情況特定客戶組織專業(yè)能力需求分析是可用的可用的人力資源及的技術(shù)領(lǐng)域類別和專業(yè)能力過程(6)輸入或輸出判定(7)過程(6)輸入或輸出判定(7)選擇和使用對(duì)特定客戶組織實(shí)施審核和認(rèn)證的人員能力的持續(xù)監(jiān)視認(rèn)證業(yè)務(wù)范圍專業(yè)能力需求分析是為了初步識(shí)別實(shí)施編號(hào)：CNAS-SC18:2012b)基于典型的業(yè)務(wù)流程和信息處理流程，分析典型資產(chǎn)（包絡(luò)、業(yè)務(wù)系統(tǒng)、人員和數(shù)據(jù)資料等）和典型信息安全風(fēng)f)基于典型信息安全風(fēng)險(xiǎn)和典型信息資產(chǎn)典型信息處理流程業(yè)務(wù)活動(dòng)要求信息技術(shù)的典型應(yīng)用(1)典型信息處理流程業(yè)務(wù)活動(dòng)要求信息技術(shù)的典型應(yīng)用(1)(4)典型業(yè)務(wù)流程典型資產(chǎn)典型信息安全要求(2)(6)合同/相關(guān)方要求典型信息安全風(fēng)險(xiǎn)(7)典型控制措施(5)(4)典型業(yè)務(wù)流程典型資產(chǎn)典型信息安全要求(2)(6)合同/相關(guān)方要求典型信息安全風(fēng)險(xiǎn)(7)典型控制措施法規(guī)要求典型信息資產(chǎn)的典型信息安全特性信息安全技術(shù)的典型應(yīng)用G.1.3.2.1認(rèn)證機(jī)構(gòu)在對(duì)特定客戶組織實(shí)施申請(qǐng)?jiān)u審時(shí)，宜根據(jù)該組織的具體情況G.1.3.2.2由于技術(shù)領(lǐng)域的分類和專業(yè)能力要求主要在認(rèn)證業(yè)務(wù)范圍能力需求分析編號(hào)：CNAS-SC18:2012G.1.3.2.3特定客戶組織的能力需求分析由申請(qǐng)?jiān)u審人員實(shí)施。由于申請(qǐng)?jiān)u審人員G.1.4.1能力評(píng)價(jià)是獲取被評(píng)價(jià)人能力的證據(jù)，并將能力的證據(jù)G.1.4.2能力的證據(jù)宜與能力要求的內(nèi)容相關(guān)，并且能夠?yàn)樵u(píng)價(jià)b)評(píng)價(jià)的目的，例如：初次聘用、持續(xù)監(jiān)視、擴(kuò)大能力范圍a)記錄審查：對(duì)被評(píng)價(jià)人的教育、工作、培訓(xùn)、獲取其知識(shí)和技能的證據(jù)，獲得對(duì)其能力的基本了4)不宜直接根據(jù)被評(píng)價(jià)人的學(xué)歷、工作年限、培訓(xùn)時(shí)b)意見反饋：通過被評(píng)價(jià)人的工作單位、同事或客戶組織等解被評(píng)價(jià)人員的知識(shí)、技能、表現(xiàn)等情況。意見反饋編號(hào)：CNAS-SC18:2012c)面談：面談?dòng)兄谠敿?xì)了解被評(píng)價(jià)人通、人際管理方面的技能。依據(jù)能力要求對(duì)被評(píng)價(jià)人-人員招聘時(shí)進(jìn)行面談，以從人員的簡(jiǎn)歷和過去的-在見證或?qū)徍藞?bào)告的復(fù)核中與審核組成員進(jìn)行面d)考試：包括筆試、口試和實(shí)際操作考文件化證據(jù)。對(duì)于人員的技能也可通過適宜的筆試方法獲人員的知識(shí)提供良好的證據(jù)，但在人員技能的評(píng)價(jià)上作用G.2ISMS審核范圍和認(rèn)證范圍界定指南b)ISO/IEC27003《信息技術(shù)-安全技術(shù)-信息安全管理體系a)客戶組織根據(jù)其業(yè)務(wù)、組織、技術(shù)、物理和資接口已得到說明，并已包括在客戶組織的信息安全風(fēng)編號(hào)：CNAS-SC18:2012G.2.1.2認(rèn)證機(jī)構(gòu)審核組宜針對(duì)所有適用的認(rèn)證要求，對(duì)包含在業(yè)務(wù)范圍和邊界主要包括關(guān)鍵業(yè)務(wù)及業(yè)務(wù)特性描述（業(yè)務(wù)、之外的業(yè)務(wù)流程共用的資產(chǎn)和技術(shù)，要識(shí)別其可能產(chǎn)生的風(fēng)險(xiǎn)及相應(yīng)的織申請(qǐng)認(rèn)證的業(yè)務(wù)范圍是軟件開發(fā)，則覆蓋的組織范層組織高層的發(fā)起人來作為信息安全利益的代表編號(hào)：CNAS-SC18:2012職能部門共用的資產(chǎn)與技術(shù)，要識(shí)別其可能產(chǎn)生的風(fēng)險(xiǎn)基于以上考慮，在界定組織的邊界時(shí)，宜識(shí)別ISMS所影a)結(jié)合職能部門或過程的物理位置以及組織對(duì)其認(rèn)證機(jī)構(gòu)在確定客戶組織審核范圍時(shí)宜考慮其臨時(shí)場(chǎng)所和臨時(shí)場(chǎng)所一般宜到現(xiàn)場(chǎng)進(jìn)行審核，但如能同時(shí)滿足以下b)客戶組織已對(duì)臨時(shí)現(xiàn)場(chǎng)風(fēng)險(xiǎn)進(jìn)行評(píng)估并且該殘余風(fēng)險(xiǎn)是可a)資產(chǎn)范圍宜包括軟件資產(chǎn)、硬件資產(chǎn)、數(shù)據(jù)資產(chǎn)編號(hào)：CNAS-SC18:2012圍和邊界，一般可以通過識(shí)別組織使用的信息系統(tǒng)的方法進(jìn)行確定組織信息系統(tǒng)可能跨越組織邊界甚至國界，在這G.3ISMS審核時(shí)間確定指南編號(hào)：CNAS-SC18:2012編號(hào)：CNAS-SC18:2012附錄A（規(guī)范性附錄）ISMS認(rèn)證機(jī)構(gòu)認(rèn)證業(yè)務(wù)范圍分類與分級(jí)一一一二一一二二二三三理、燃?xì)馍a(chǎn)和供應(yīng)、熱力生產(chǎn)和供應(yīng)、城市水陸交通設(shè)施的維護(hù)管理等）一一一三三三一一一一一一二二二二二三三編號(hào)：CNAS-SC18:2012編號(hào)：CNAS-SC18:2012附錄B（資料性附錄）通用信息安全技術(shù)領(lǐng)域和通用信息技術(shù)領(lǐng)域——參考分類、知識(shí)點(diǎn)及應(yīng)用風(fēng)險(xiǎn)評(píng)估報(bào)告的內(nèi)容（重要資產(chǎn)、主要脆弱性和威脅、主要風(fēng)險(xiǎn)的分析編號(hào)：CNAS-SC18:2012編號(hào)：CNAS-SC18:2012軟件開發(fā)設(shè)計(jì)中是否進(jìn)行了安全需求分析并針對(duì)安如果是信息技術(shù)產(chǎn)品開發(fā)者，是否制定和執(zhí)行了相應(yīng)編號(hào)：CNAS-SC18:2012BB