《信息技術(shù) 安全技術(shù) 信息安全管理體系審核認(rèn)證機(jī)構(gòu)的要求》

ICS35.040

L80

中華人民共和國國家標(biāo)準(zhǔn)

GB/T25067—XXXX

信息技術(shù)安全技術(shù)

信息安全管理體系審核認(rèn)證機(jī)構(gòu)的要求

Informationtechnology—Securitytechniques—Requirementsforbodiesproviding

auditandcertificationofinformationsecuritymanagementsystems

ISO/IEC27006:2011，IDT

（征求意見稿）

XXXX-XX-XX發(fā)布XXXX-XX-XX實(shí)施

GB/TXXXXX—XXXX

目??次

前言................................................................................III

引言.................................................................................IV

1范圍...............................................................................1

2規(guī)范性引用文件.....................................................................1

3術(shù)語和定義.........................................................................1

3.1.................................................................................1

3.2.................................................................................1

3.3.................................................................................1

3.4.................................................................................1

3.5.................................................................................1

4原則...............................................................................2

5通用要求...........................................................................2

5.1法律和合同事宜.................................................................2

5.2公正性的管理...................................................................2

5.2.1IS5.2利益沖突..........................................................2

5.3責(zé)任與財(cái)力.....................................................................2

6結(jié)構(gòu)要求...........................................................................2

6.1組織結(jié)構(gòu)和最高管理層...........................................................2

6.2維護(hù)公正性的委員會(huì).............................................................2

7資源要求...........................................................................3

7.1管理層和人員的能力.............................................................3

7.1.1IS7.1.1通用考慮........................................................3

7.2參與認(rèn)證活動(dòng)的人員.............................................................3

7.2.1IS7.2認(rèn)證機(jī)構(gòu)人員的能力..................................................3

7.3獨(dú)立的外部審核員和外部專家的使用...............................................5

7.3.1IS7.3使用外部審核員或外部技術(shù)專家作為審核組的一部分......................5

7.4人員記錄.......................................................................5

7.5外包...........................................................................5

8信息要求...........................................................................5

8.1可公開獲取的信息...............................................................5

8.1.1IS8.1授予、保持、擴(kuò)大、縮小、暫停和撤銷認(rèn)證的程序........................5

8.2認(rèn)證文件.......................................................................5

8.3獲證客戶名錄...................................................................6

8.4認(rèn)證的引用和標(biāo)志的使用.........................................................6

I

GB/TXXXXX—XXXX

8.4.1IS8.4認(rèn)證標(biāo)志的控制......................................................6

8.5保密性.........................................................................6

8.5.1IS8.5組織記錄的訪問......................................................6

8.6認(rèn)證機(jī)構(gòu)與其客戶間的信息交換...................................................6

9過程要求...........................................................................6

9.1通用要求.......................................................................6

9.1.1IS9.1.1通用ISMS審核要求.................................................6

9.1.2IS9.1.2認(rèn)證范圍..........................................................7

9.1.3IS9.1.3審核時(shí)間..........................................................7

9.1.4IS9.1.4多場(chǎng)所............................................................7

9.1.5IS9.1.5審核方法..........................................................8

9.1.6IS9.1.6認(rèn)證審核報(bào)告......................................................8

9.2初次審核和認(rèn)證.................................................................9

9.2.1IS9.2.1審核組的能力......................................................9

9.2.2IS9.2.2初次審核的一般準(zhǔn)備...............................................10

9.2.3IS9.2.3初次認(rèn)證審核.....................................................10

9.2.4IS9.2.4授予初次認(rèn)證的信息...............................................12

9.2.5IS9.2.5認(rèn)證決定.........................................................12

9.3監(jiān)督活動(dòng)......................................................................12

9.3.1IS9.3監(jiān)督審核.............................................................12

9.4再認(rèn)證........................................................................13

9.4.1IS再認(rèn)證審核..............................................................13

9.5特殊審核......................................................................13

9.5.1IS9.5特殊情況...........................................................13

9.6暫停、取消或縮小認(rèn)證范圍......................................................13

9.7申訴..........................................................................13

9.8投訴..........................................................................13

9.8.1IS9.8投訴.................................................................13

9.9申請(qǐng)者和客戶記錄..............................................................14

10認(rèn)證機(jī)構(gòu)的管理體系要求...........................................................14

10.1選項(xiàng).........................................................................14

10.2方式一：按照GB/T19001的管理體系要求........................................14

10.3方式二：通用的管理體系要求...................................................14

10.3.1IS10.3ISMS實(shí)施.........................................................14

附錄A（資料性附錄）客戶組織復(fù)雜性和行業(yè)特定方面的分析..............................15

附錄B（資料性附錄）審核員能力的示例................................................18

附錄C（資料性附錄）審核時(shí)間........................................................20

附錄D（資料性附錄）對(duì)已實(shí)施的GB/T22080-2008附錄A的控制措施的評(píng)審指南......25

II

GB/TXXXXX—XXXX

信息技術(shù)安全技術(shù)信息安全管理體系審核認(rèn)證機(jī)構(gòu)的要求

1范圍

本標(biāo)準(zhǔn)對(duì)信息安全管理體系（以下簡(jiǎn)稱“ISMS”）審核和認(rèn)證的機(jī)構(gòu)規(guī)定了要求并提供了指南，以

作為對(duì)ISO/IEC17021和GB/T22080中相關(guān)要求的補(bǔ)充。本標(biāo)準(zhǔn)的主要目的是為提供ISMS認(rèn)證的認(rèn)證機(jī)

構(gòu)的認(rèn)可提供支持。

任何提供ISMS認(rèn)證的機(jī)構(gòu)需要在能力和可靠性方面證實(shí)其滿足本標(biāo)準(zhǔn)的要求。本標(biāo)準(zhǔn)的指南為這些

要求提供了進(jìn)一步的解釋。

注：本標(biāo)準(zhǔn)可以作為認(rèn)可、同行評(píng)審或其他審核過程的準(zhǔn)則性文件。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

ISO/IEC17021:2011合格評(píng)定管理體系審核認(rèn)證機(jī)構(gòu)的要求

GB/T22080—2008信息技術(shù)安全技術(shù)信息安全管理體系要求（ISO/IEC27001:2005，IDT）

ISO19011管理體系審核指南

3術(shù)語和定義

ISO/IEC17021，GB/T22080中界定的以及下列術(shù)語和定義適用于本標(biāo)準(zhǔn)。

3.1

認(rèn)證證書certificate

由認(rèn)證機(jī)構(gòu)根據(jù)認(rèn)可條件頒發(fā)的，并帶有認(rèn)可標(biāo)識(shí)或聲明的一種證書。

3.2

認(rèn)證機(jī)構(gòu)certificatebody

按照正式發(fā)布的ISMS標(biāo)準(zhǔn)和該體系所要求的任何補(bǔ)充性文檔，對(duì)客戶組織的ISMS進(jìn)行評(píng)估和認(rèn)證的

第三方機(jī)構(gòu)。

3.3

認(rèn)證文件certificatedocument

表明客戶組織的ISMS符合指定的ISMS標(biāo)準(zhǔn)及ISMS所要求的任何補(bǔ)充性文檔的一類文件。

3.4

標(biāo)志mark

在認(rèn)可機(jī)構(gòu)或認(rèn)證機(jī)構(gòu)的規(guī)則下頒發(fā)的受到保護(hù)的標(biāo)識(shí)，或依法注冊(cè)的商標(biāo)，表明對(duì)機(jī)構(gòu)運(yùn)行的體

系具有足夠信心，或者表明相關(guān)的產(chǎn)品或人員符合指定的標(biāo)準(zhǔn)的要求。

3.5

1

GB/TXXXXX—XXXX

組織organization

公司、集團(tuán)、事務(wù)所、工廠、政府機(jī)構(gòu)、科研機(jī)構(gòu)、學(xué)校等，或者其部分或組合，無論其是否為法

人，還是公有或私有的，均具有其自身的職能和管理并能夠確保實(shí)施其信息安全。

4原則

ISO/IEC17021:2011的4條款中的原則適用。

5通用要求

5.1法律和合同事宜

ISO/IEC17021:2011的5.1條款中的要求適用。

5.2公正性的管理

ISO/IEC17021:2011的5.2條款中的要求適用。并且，以下ISMS特定要求和指南適用。

5.2.1IS5.2利益沖突

認(rèn)證機(jī)構(gòu)可以從事以下工作，而不被視為咨詢或具有潛在的利益沖突：

a)認(rèn)證，包括信息溝通會(huì)議、審核策劃會(huì)議、文件評(píng)審、審核（非ISMS內(nèi)部審核或內(nèi)部安全評(píng)

審）和不符合的跟蹤；

b)作為講師安排和參與培訓(xùn)課程，如果這些課程與信息安全管理、有關(guān)的管理體系或?qū)徍讼嚓P(guān)，

認(rèn)證機(jī)構(gòu)應(yīng)僅限于提供公眾可以公開自由獲取的、通用的信息和建議，例如：認(rèn)證機(jī)構(gòu)不應(yīng)提

供針對(duì)特定公司的、違反下述c)的要求的建議；

c)根據(jù)請(qǐng)求，提供或發(fā)布認(rèn)證機(jī)構(gòu)對(duì)認(rèn)證審核標(biāo)準(zhǔn)要求的解釋性信息（見9.1.1.1）；

d)審核前活動(dòng)，僅以確定認(rèn)證審核是否就緒為目的，但這類活動(dòng)不應(yīng)提供導(dǎo)致違反本條款的建議

或意見。認(rèn)證機(jī)構(gòu)應(yīng)能夠確認(rèn)這類活動(dòng)不違反這些要求，并且不使用這些活動(dòng)作為縮減最終認(rèn)

證審核時(shí)間的理由；

e)按照標(biāo)準(zhǔn)或法規(guī)，而不只是按照認(rèn)可范圍那一部分的要求，執(zhí)行第二方和第三方審核；

f)在認(rèn)證審核和監(jiān)督審核過程中的增值活動(dòng)，例如在審核過程中，當(dāng)改進(jìn)機(jī)會(huì)明顯時(shí)，識(shí)別改進(jìn)

的機(jī)會(huì)而不推薦具體的解決方案。

認(rèn)證機(jī)構(gòu)應(yīng)獨(dú)立于那些為接受ISMS認(rèn)證的客戶提供ISMS內(nèi)部審核的機(jī)構(gòu)（包括任何個(gè)人）。

5.3責(zé)任與財(cái)力

ISO/IEC17021:2011的5.3條款中的要求適用。

6結(jié)構(gòu)要求

6.1組織結(jié)構(gòu)和最高管理層

ISO/IEC17021:2011的6.1條款中的要求適用。

6.2維護(hù)公正性的委員會(huì)

ISO/IEC17021:2011的6.2條款中的要求適用。

2

GB/TXXXXX—XXXX

7資源要求

7.1管理層和人員的能力

ISO/IEC17021:2011的7.1條款中的要求適用。另外，以下ISMS特定要求和指南適用。

7.1.1IS7.1.1通用考慮

實(shí)施ISMS認(rèn)證所需的基本要素是選擇、提供以及管理那些具備與受審核活動(dòng)和相關(guān)信息安全事宜相

適應(yīng)的技能和綜合能力的人員。

7.1.1.1能力分析和合同評(píng)審

認(rèn)證機(jī)構(gòu)應(yīng)確保其具備與所評(píng)估的客戶組織的ISMS有關(guān)的技術(shù)和法律發(fā)展的知識(shí)。

認(rèn)證機(jī)構(gòu)應(yīng)具有一個(gè)有效的能力分析系統(tǒng)，以便在其運(yùn)作所涉及的全部技術(shù)領(lǐng)域就需要具備的信息

安全管理方面的能力進(jìn)行分析。

對(duì)于每個(gè)客戶，認(rèn)證機(jī)構(gòu)應(yīng)能夠證實(shí)，其在實(shí)施合同評(píng)審前，對(duì)每個(gè)相關(guān)行業(yè)的要求進(jìn)行了能力分

析（針對(duì)所評(píng)估出的需求進(jìn)行技能評(píng)定）。然后，認(rèn)證機(jī)構(gòu)應(yīng)在能力分析結(jié)果的基礎(chǔ)上，與客戶組織一

起進(jìn)行合同評(píng)審。特別地，認(rèn)證機(jī)構(gòu)應(yīng)能夠證實(shí)其具備完成以下活動(dòng)的能力：

a)理解客戶組織的活動(dòng)領(lǐng)域及相關(guān)業(yè)務(wù)風(fēng)險(xiǎn)；

b)根據(jù)所識(shí)別的活動(dòng)以及有關(guān)客戶組織的與信息安全有關(guān)的對(duì)資產(chǎn)的威脅、脆弱性和影響來確定

認(rèn)證機(jī)構(gòu)所需的能力；

c)確認(rèn)具備所需的能力。

7.1.1.2資源

認(rèn)證機(jī)構(gòu)的管理應(yīng)具有必要的過程和資源，以確定每個(gè)審核員是否能夠勝任在其操作的認(rèn)證范圍所

要求的工作。審核員的能力可以通過經(jīng)驗(yàn)證的背景經(jīng)歷和特定的培訓(xùn)或情況說明（見本標(biāo)準(zhǔn)附錄B）來

確定。認(rèn)證機(jī)構(gòu)應(yīng)能夠與其提供服務(wù)的所有客戶進(jìn)行有效地溝通。

IS7.1.2能力準(zhǔn)則的確定

附錄B提供了知識(shí)和技能的附加信息以支持ISO/IEC17021中的能力準(zhǔn)則。

7.2參與認(rèn)證活動(dòng)的人員

ISO/IEC17021:2011的7.2條款中的要求適用。另外，以下ISMS特定要求和指南適用。

7.2.1IS7.2認(rèn)證機(jī)構(gòu)人員的能力

認(rèn)證機(jī)構(gòu)應(yīng)有人員能夠：

a)選擇并驗(yàn)證ISMS審核員的能力，以使審核組適合審核；

b)向ISMS審核員進(jìn)行情況說明并安排必要的培訓(xùn)；

c)做出授予、保持、撤銷、暫停、擴(kuò)大或縮小認(rèn)證的決定；

d)建立和運(yùn)行申訴和投訴過程。

7.2.1.1審核組的培訓(xùn)

認(rèn)證機(jī)構(gòu)應(yīng)具備培訓(xùn)審核組的準(zhǔn)則，以確保審核組：

a)具有ISMS標(biāo)準(zhǔn)和其他相關(guān)規(guī)范性文件的知識(shí)；

3

GB/TXXXXX—XXXX

b)理解信息安全；

c)從業(yè)務(wù)角度，理解風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理；

d)具有與受審核的活動(dòng)相關(guān)的技術(shù)知識(shí)；

e)具有與各類ISMS相關(guān)的法規(guī)要求的通用知識(shí)；

f)具有管理體系的知識(shí)；

g)理解基于GB/T19011的審核原則；

h)具有評(píng)審ISMS有效性和控制措施有效性測(cè)量的知識(shí)。

以上培訓(xùn)要求，除了上述d)可以在審核組成員之間共享外，其余均適用于審核組的所有成員。

7.2.1.1.1當(dāng)為特定認(rèn)證審核選擇指派審核組時(shí)，認(rèn)證機(jī)構(gòu)應(yīng)確保審核組實(shí)施各項(xiàng)工作的技能是適宜

的。審核組應(yīng)：

a)針對(duì)擬認(rèn)證的ISMS范圍內(nèi)的特定活動(dòng)，具備適當(dāng)?shù)募夹g(shù)知識(shí)，以及適宜時(shí)，與這些活動(dòng)相關(guān)

的規(guī)程及其潛在的信息安全風(fēng)險(xiǎn)方面的技術(shù)知識(shí)（非審核員的技術(shù)專家可以履行此項(xiàng)職責(zé)）；

b)充分理解客戶組織，以便對(duì)（管理客戶組織活動(dòng)、產(chǎn)品和服務(wù)的信息安全的）ISMS進(jìn)行可靠

的認(rèn)證審核；

c)適當(dāng)?shù)睦斫膺m用于客戶組織的ISMS的法規(guī)要求。

7.2.1.1.2需要時(shí)，審核組可以補(bǔ)充一些技術(shù)專家，這些專家可證實(shí)具備與審核相適宜的技術(shù)領(lǐng)域的特

定能力。宜注意的是，對(duì)技術(shù)專家的使用不能替代ISMS審核員，但技術(shù)專家可為審核員就受審核的管

理體系的技術(shù)充分性事宜提供建議。認(rèn)證機(jī)構(gòu)應(yīng)具備程序：

a)按照其能力、接受的培訓(xùn)、資格和經(jīng)歷選擇審核員和技術(shù)專家；

b)在認(rèn)證審核中對(duì)審核員和技術(shù)專家的行為進(jìn)行初始評(píng)價(jià)，而后對(duì)審核員和技術(shù)專家的表現(xiàn)進(jìn)行

監(jiān)視。

7.2.1.2決定過程的管理

管理職能應(yīng)包含具備適當(dāng)?shù)募夹g(shù)能力，以能夠根據(jù)GB/T22080的要求，對(duì)授予、保持、擴(kuò)大、縮小、

暫停和撤銷ISMS認(rèn)證的決定過程進(jìn)行管理。

7.2.1.3ISMS審核員必備的教育水平、工作經(jīng)歷、審核員培訓(xùn)和審核經(jīng)歷

7.2.1.3.1以下準(zhǔn)則適用于ISMS審核組中的每個(gè)審核員。審核員應(yīng)：

a)具備中等教育程度；

b)在信息技術(shù)方面具備至少4年的全職實(shí)際工作經(jīng)歷，其中具備至少2年與信息安全有關(guān)的職位

或職責(zé)的工作經(jīng)歷；

c)成功地完成5天的培訓(xùn)，培訓(xùn)范圍應(yīng)考慮合適地覆蓋ISMS審核和審核管理；

d)在被賦予審核員責(zé)任之前，已獲得評(píng)審信息安全整個(gè)過程的經(jīng)驗(yàn)。這種經(jīng)驗(yàn)宜通過參與最少4

次、總共天數(shù)為20天認(rèn)證審核獲得，包括文件評(píng)審和風(fēng)險(xiǎn)分析，實(shí)施評(píng)審和審核報(bào)告；

e)具備合乎時(shí)宜的經(jīng)驗(yàn)；

f)能夠宏觀地觀察復(fù)雜的運(yùn)作，并理解在較大的客戶組織中各單元的職能；

g)通過持續(xù)的專業(yè)發(fā)展，保持信息安全和審核的知識(shí)和技能的更新。

技術(shù)專家應(yīng)符合準(zhǔn)則a)，b)，e)和f)。

4

GB/TXXXXX—XXXX

7.2.1.3.2除了7.2.1.3.1中的要求，審核組組長應(yīng)滿足以下要求，并應(yīng)在指導(dǎo)和監(jiān)督下通過審核予以

證實(shí)：

a)具備管理認(rèn)證審核過程的知識(shí)和技能；

g)作為審核員至少實(shí)施過3次完整的ISMS審核；

h)具備口頭和書面的有效溝通的能力。

7.3獨(dú)立的外部審核員和外部技術(shù)專家的使用

ISO/IEC17021:2011的7.3條款中的要求適用。并且，以下ISMS特定要求和指南適用。

7.3.1IS7.3使用外部審核員或外部技術(shù)專家作為審核組的一部分

當(dāng)使用外部審核員或外部技術(shù)專家作為審核組成員時(shí)，認(rèn)證機(jī)構(gòu)應(yīng)確保其能夠勝任并遵守本標(biāo)準(zhǔn)中

適用的規(guī)定，同時(shí)應(yīng)確保其不直接或通過其雇主參與對(duì)ISMS或相關(guān)管理體系的設(shè)計(jì)、實(shí)施或維護(hù)，從而

避免使公正性受損。

7.3.1.1技術(shù)專家的使用

具有影響客戶組織的過程、信息安全事宜和法律有關(guān)的特定知識(shí)，但不滿足7.2的所有準(zhǔn)則的技術(shù)

專家，可以成為審核組成員。技術(shù)專家應(yīng)在審核員的監(jiān)督下進(jìn)行工作。

7.4人員記錄

ISO/IEC17021:2011的7.4條款中的要求適用。

7.5外包

ISO/IEC17021:2011的7.5條款中的要求適用。

8信息要求

8.1可公開獲取的信息

ISO/IEC17021:2011的8.1條款中的要求適用。并且，以下ISMS特定要求和指南適用。

8.1.1IS8.1授予、保持、擴(kuò)大、縮小、暫停和撤銷認(rèn)證的程序

認(rèn)證機(jī)構(gòu)應(yīng)要求客戶組織實(shí)施了文件化的ISMS，并符合GB/T22080的要求和認(rèn)證所需其他文件的要

求。

認(rèn)證機(jī)構(gòu)應(yīng)具備形成文件的程序，以:

a)依據(jù)ISO/IEC17021:2011和其他相關(guān)文件的規(guī)定，對(duì)客戶組織的ISMS進(jìn)行初次認(rèn)證審核；

b)依據(jù)ISO/IEC17021:2011，對(duì)客戶組織的ISMS定期進(jìn)行監(jiān)督和再認(rèn)證審核，以確認(rèn)其持續(xù)符

合相關(guān)要求,驗(yàn)證和記錄客戶組織是否對(duì)所有不符合及時(shí)采取糾正措施。

8.2認(rèn)證文件

ISO/IEC17021:2011的8.2條款中的要求適用。并且，以下ISMS特定要求和指南適用。

8.2.1IS8.2ISMS的認(rèn)證文件

5

GB/TXXXXX—XXXX

認(rèn)證機(jī)構(gòu)應(yīng)向每個(gè)ISMS獲證客戶組織提供認(rèn)證文件，例如由負(fù)責(zé)此項(xiàng)職責(zé)的人員簽署的證明或認(rèn)證

證書。對(duì)客戶組織及其認(rèn)證覆蓋的每個(gè)信息系統(tǒng)，這些文件應(yīng)明確所授予的認(rèn)證范圍和ISMS認(rèn)證所依據(jù)

的標(biāo)準(zhǔn)GB/T22080-2008。此外，證書應(yīng)包括引用的適用性聲明的特定版本。

注：適用性聲明的變更如不改變認(rèn)證范圍中控制措施的覆蓋范圍，不需要更新認(rèn)證證書。

8.3獲證客戶名錄

ISO/IEC17021:2011的8.3條款中的要求適用。

8.4認(rèn)證的引用和標(biāo)志的使用

ISO/IEC17021:2011的8.4條款中的要求適用。并且，以下ISMS特定要求和指南適用。

8.4.1IS8.4認(rèn)證標(biāo)志的控制

認(rèn)證機(jī)構(gòu)應(yīng)對(duì)ISMS認(rèn)證標(biāo)志的所有權(quán)、使用和顯示方式進(jìn)行適當(dāng)?shù)目刂?。如果認(rèn)證機(jī)構(gòu)授權(quán)使用標(biāo)

志來表明對(duì)ISMS的認(rèn)證，認(rèn)證機(jī)構(gòu)應(yīng)確?？蛻艚M織僅使用由認(rèn)證機(jī)構(gòu)書面授權(quán)所規(guī)定的標(biāo)志。認(rèn)證機(jī)構(gòu)

不應(yīng)授權(quán)在產(chǎn)品上使用這一標(biāo)志，或以表示產(chǎn)品合格的方式使用這一標(biāo)志。

8.5保密性

ISO/IEC17021:2011的8.5條款中的要求適用。并且，以下ISMS特定要求和指南適用。

8.5.1IS8.5組織記錄的訪問

在認(rèn)證審核之前，認(rèn)證機(jī)構(gòu)應(yīng)要求客戶組織報(bào)告是否存在因包含保密性或敏感性信息而不能提供給

審核組核查的ISMS記錄。認(rèn)證機(jī)構(gòu)應(yīng)確定ISMS是否能在缺少這些記錄的情況下得到充分地審核。如果認(rèn)

證機(jī)構(gòu)得出不對(duì)已識(shí)別的保密性或敏感性的記錄進(jìn)行核查就不能對(duì)ISMS進(jìn)行充分審核的結(jié)論，就應(yīng)告知

客戶組織認(rèn)證審核不能進(jìn)行，直至獲得適當(dāng)?shù)慕?jīng)許可的訪問安排。

8.6認(rèn)證機(jī)構(gòu)與其客戶間的信息交換

ISO/IEC17021:2011的8.6條款中的要求適用。

9過程要求

9.1通用要求

ISO/IEC17021:2011的9.1條款中的要求適用。并且，以下ISMS特定要求和指南適用。

9.1.1IS9.1.1通用ISMS審核要求

9.1.1.1認(rèn)證審核準(zhǔn)則

客戶組織的ISMS接受審核的準(zhǔn)則應(yīng)是ISMS標(biāo)準(zhǔn)GB/T22080-2008中提出的要求和與其所實(shí)施的業(yè)務(wù)

相關(guān)的認(rèn)證所需的其他文件中的要求。如果需要對(duì)上述文件在特定認(rèn)證方案中的應(yīng)用做出解釋，這種解

釋應(yīng)由相關(guān)的公正性委員會(huì)或具備必要技術(shù)能力的個(gè)人給出，并由認(rèn)證機(jī)構(gòu)正式發(fā)布。

9.1.1.2策略和程序

認(rèn)證機(jī)構(gòu)的文檔應(yīng)包括實(shí)施認(rèn)證過程的策略和程序，其中包括對(duì)用于ISMS認(rèn)證的文件的適用性和應(yīng)

用情況的檢查，也包括用于審核和認(rèn)證客戶組織ISMS程序的檢查。

6

GB/TXXXXX—XXXX

9.1.1.3審核組

認(rèn)證機(jī)構(gòu)應(yīng)正式任命審核組并為其提供相應(yīng)的工作文件。審核計(jì)劃和日期應(yīng)得到客戶組織的同意。

認(rèn)證機(jī)構(gòu)應(yīng)明確規(guī)定審核組的任務(wù)，并使客戶組織知悉。該任務(wù)應(yīng)要求審核組檢查客戶組織的結(jié)構(gòu)、策

略和程序，確認(rèn)其滿足與認(rèn)證范圍相關(guān)的要求以及所實(shí)施程序的要求，從而提供對(duì)客戶組織ISMS的信心。

9.1.2IS9.1.2認(rèn)證范圍

審核組應(yīng)依據(jù)所有適用的認(rèn)證要求，對(duì)包含在確定范圍內(nèi)的客戶組織的ISMS進(jìn)行審核。認(rèn)證機(jī)構(gòu)應(yīng)

確保根據(jù)客戶組織的業(yè)務(wù)特點(diǎn)、組織、所處地理位置、資產(chǎn)和技術(shù)的特點(diǎn)清晰地定義其ISMS的范圍和邊

界。認(rèn)證機(jī)構(gòu)應(yīng)確認(rèn)，客戶組織在其ISMS范圍內(nèi)滿足了GB/T22080-2008中1.2條款的要求。

認(rèn)證機(jī)構(gòu)應(yīng)確保，按照ISMS標(biāo)準(zhǔn)GB/T22080的要求，客戶組織的信息安全風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置與客

戶組織的活動(dòng)及活動(dòng)的邊界相一致，并應(yīng)確認(rèn)這些都在客戶組織的ISMS范圍和適用性聲明中得到體現(xiàn)。

認(rèn)證機(jī)構(gòu)應(yīng)確保，與不完全屬于ISMS范圍內(nèi)的服務(wù)或活動(dòng)的接口在接受認(rèn)證的ISMS中得到說明，并

包括在客戶組織的信息安全風(fēng)險(xiǎn)評(píng)估中。例如，其他組織共享設(shè)施的情況（例如：IT系統(tǒng)、數(shù)據(jù)庫和通

訊系統(tǒng)）。

9.1.3IS9.1.3審核時(shí)間

認(rèn)證機(jī)構(gòu)應(yīng)給予審核組足夠的時(shí)間開展與初次審核、監(jiān)督審核或再認(rèn)證審核相關(guān)的所有活動(dòng)。所安

排的時(shí)間應(yīng)考慮以下因素：

a)ISMS范圍的大?。ɡ?，所使用的信息系統(tǒng)的數(shù)量、雇員的數(shù)量）；

b)ISMS的復(fù)雜程度（例如，信息系統(tǒng)的關(guān)鍵程度、ISMS的風(fēng)險(xiǎn)狀況），見本標(biāo)準(zhǔn)附錄A；

c)在ISMS范圍內(nèi)開展的業(yè)務(wù)類型；

d)在ISMS各部分的實(shí)施過程中，所應(yīng)用技術(shù)的程度和多樣性（例如：已實(shí)施的控制、文件和（或）

過程控制、糾正和（或）預(yù)防改進(jìn)措施等）；

e)場(chǎng)所的數(shù)量；

f)經(jīng)證實(shí)的以往的ISMS績(jī)效；

g)在ISMS范圍內(nèi)，所使用的外包和第三方安排的程度；

h)適于認(rèn)證的標(biāo)準(zhǔn)和法規(guī)。

本標(biāo)準(zhǔn)附錄C對(duì)審核時(shí)間提供了指南。認(rèn)證機(jī)構(gòu)應(yīng)能證實(shí)或證明在初次審核、監(jiān)督審核和再認(rèn)證

審核中所用時(shí)間的合理性。

9.1.4IS9.1.4多場(chǎng)所

9.1.4.1在ISMS認(rèn)證領(lǐng)域，有關(guān)多場(chǎng)所的抽樣決定應(yīng)比質(zhì)量管理體系認(rèn)證領(lǐng)域更加復(fù)雜。當(dāng)客戶組織

擁有的多個(gè)場(chǎng)所滿足以下a)至c)的準(zhǔn)則時(shí)，認(rèn)證機(jī)構(gòu)可以考慮使用基于抽樣的方法進(jìn)行多場(chǎng)所認(rèn)證審

核：

a)所有的場(chǎng)所在同一ISMS下運(yùn)行，并接受統(tǒng)一的管理、審核和管理評(píng)審；

b)所有的場(chǎng)所都包含在客戶組織的ISMS內(nèi)部審核方案中；

c)所有的場(chǎng)所都包含在客戶組織的ISMS管理評(píng)審方案中。

9.1.4.2認(rèn)證機(jī)構(gòu)使用基于抽樣的方法時(shí)，應(yīng)具備程序以確保：

a)初次合同評(píng)審時(shí)，最大程度地識(shí)別場(chǎng)所之間的差異，以便確定適宜的抽樣水平；

b)認(rèn)證機(jī)構(gòu)應(yīng)考慮以下因素，抽取具有代表性的場(chǎng)所：

7

GB/TXXXXX—XXXX

1)總部和其他場(chǎng)所的內(nèi)部審核的結(jié)果；

2)管理評(píng)審的結(jié)果；

3)場(chǎng)所規(guī)模的差異；

4)各場(chǎng)所業(yè)務(wù)目的的差異；

5)ISMS的復(fù)雜程度；

6)不同場(chǎng)所信息系統(tǒng)的復(fù)雜程度；

7)工作實(shí)踐的差異；

8)所進(jìn)行活動(dòng)的差異；

9)與關(guān)鍵的信息系統(tǒng)或處理敏感信息的信息系統(tǒng)的潛在的相互作用；

10)任何不同的法律要求。

c)從客戶組織的ISMS范圍內(nèi)所有場(chǎng)所中選擇具有代表性的樣本，選擇應(yīng)基于判斷以反映上述b)

中所列因素，同時(shí)也應(yīng)考慮隨機(jī)要素；

d)在授予認(rèn)證前，認(rèn)證機(jī)構(gòu)應(yīng)審核ISMS中每個(gè)有重大信息安全風(fēng)險(xiǎn)的場(chǎng)所；

e)根據(jù)以上要求，設(shè)計(jì)監(jiān)督審核方案，并在三年內(nèi)覆蓋ISMS認(rèn)證范圍內(nèi)的代表性樣本；

f)無論是在總部還是其他單一場(chǎng)所發(fā)現(xiàn)不符合，糾正措施程序的實(shí)施適用于包括在認(rèn)證范圍內(nèi)的

總部和所有場(chǎng)所。

本標(biāo)準(zhǔn)的IS9.1.5中所述的審核應(yīng)關(guān)注客戶組織總部為確保同一ISMS適用于所有場(chǎng)所，并在運(yùn)行層

面上實(shí)施統(tǒng)一管理所進(jìn)行的活動(dòng)。審核應(yīng)處理上述所有事項(xiàng)。

9.1.5IS9.1.5審核方法

認(rèn)證機(jī)構(gòu)應(yīng)具有程序來要求客戶組織能夠證實(shí)其已就ISMS內(nèi)部審核做出日程安排，其方案和程序具

有可操作性并能夠展示其可操作性。

認(rèn)證機(jī)構(gòu)的程序不應(yīng)以實(shí)施ISMS的特定方式為前提或以文件和記錄的特定格式為前提。認(rèn)證程序應(yīng)

將重點(diǎn)放在確定客戶組織的ISMS滿足GB/T22080-2008標(biāo)準(zhǔn)的要求以及滿足客戶組織的策略和目標(biāo)。

如適用，審核計(jì)劃應(yīng)識(shí)別在審核中將使用的網(wǎng)絡(luò)支持的審核技術(shù)。

注：網(wǎng)絡(luò)支持的審核技術(shù)可包括，例如電話會(huì)議、web會(huì)議、基于web的互動(dòng)式溝通和遠(yuǎn)程電子訪問ISMS文件和（或）

ISMS過程等方式。關(guān)注這種技術(shù)有助于提高審核的有效性和效率，并支持審核過程的完整性。

9.1.6IS9.1.6認(rèn)證審核報(bào)告

9.1.6.1認(rèn)證機(jī)構(gòu)的報(bào)告程序應(yīng)確保：

a)在離開客戶組織場(chǎng)所前，在審核組和客戶組織管理者之間召開一次會(huì)議，并提供：

1)有關(guān)客戶組織的ISMS是否符合特定認(rèn)證要求的書面或口頭說明；

2)客戶組織就審核發(fā)現(xiàn)及其根據(jù)（教材：審核證據(jù)以及審核依據(jù)等）提出問題的機(jī)會(huì)。

b)審核組向認(rèn)證機(jī)構(gòu)提供關(guān)于審核發(fā)現(xiàn)的審核報(bào)告，這些審核發(fā)現(xiàn)是針對(duì)客戶組織的ISMS與所

有認(rèn)證要求的符合性。

9.1.6.2審核報(bào)告應(yīng)提供以下信息或?qū)@些信息的引用：

8

GB/TXXXXX—XXXX

a)包括文件評(píng)審摘要在內(nèi)的審核說明；

b)對(duì)客戶組織信息安全風(fēng)險(xiǎn)分析進(jìn)行認(rèn)證審核的說明；

c)所使用的全部審核時(shí)間和分別用于文件評(píng)審、風(fēng)險(xiǎn)分析評(píng)審、現(xiàn)場(chǎng)評(píng)審和審核報(bào)告的時(shí)間的詳

細(xì)說明；

d)所進(jìn)行的審核詢問、選擇的理由和所采用的方法。

9.1.6.3審核報(bào)告應(yīng)足夠詳細(xì)，以幫助和支持認(rèn)證決定，審核報(bào)告應(yīng)包括：

a)審核覆蓋的區(qū)域（例如：認(rèn)證要求和接受審核的場(chǎng)所），包括所采用的主要審核路線和所使用

的審核方法（見IS9.1.5)；

b)獲得的審核發(fā)現(xiàn)，包括正面的（例如：值得注意的特點(diǎn)）和負(fù)面的（例如：潛在的不合格）；

c)已識(shí)別的任何不符合的詳細(xì)情況，包括支持不符合的客觀證據(jù)和這些不符合所涉及的GB/T

22080或認(rèn)證所需的其他文件的要求；

d)有關(guān)客戶組織的ISMS符合認(rèn)證要求的意見和對(duì)不符合的清楚說明，適用性聲明版本的引用，

以及適用時(shí)，與客戶組織先前的認(rèn)證審核結(jié)果的任何有用的對(duì)照。

完成的問卷、檢查表、觀察結(jié)果、日志或?qū)徍藛T筆記可能構(gòu)成完整的審核報(bào)告的一部分。如果使用

這些方法，這些文件應(yīng)提供給認(rèn)證機(jī)構(gòu)，作為支持認(rèn)證決定的證據(jù)。在審核過程中，有關(guān)被評(píng)價(jià)樣本的

信息應(yīng)包含在審核報(bào)告或其他認(rèn)證文件中。

報(bào)告應(yīng)考慮客戶組織所采用的內(nèi)部組織和程序的充分性，以便對(duì)其ISMS建立信心。

除了在17021;2011中條款9.1.10中對(duì)審核報(bào)告的要求，報(bào)告還應(yīng)包括：

——對(duì)ISMS內(nèi)部審核和管理評(píng)審的信任度；

——有關(guān)ISMS的實(shí)施和有效性的最重要的正面與負(fù)面觀察的摘要；

——審核組關(guān)于是否授予客戶組織ISMS認(rèn)證的推薦，以及證實(shí)該推薦的信息．

9.2初次審核和認(rèn)證

ISO/IEC17021:2011的9.2條款中的要求適用。并且，以下ISMS特定要求和指南適用。

9.2.1IS9.2.1審核組的能力

除了7.2條款所列的要求之外，以下要求適用于認(rèn)證評(píng)定。對(duì)于監(jiān)督活動(dòng)，只有與已安排的監(jiān)督活

動(dòng)有關(guān)的要求適用。

以下要求適用于整個(gè)審核組。

a)在以下每個(gè)方面，至少應(yīng)有一名審核組成員滿足認(rèn)證機(jī)構(gòu)準(zhǔn)則，以在審核組內(nèi)部承擔(dān)相應(yīng)責(zé)任：

1)管理審核組；

2)管理體系和適用于ISMS的過程的知識(shí)；

3)在特定的信息安全領(lǐng)域，具備法律和法規(guī)要求方面的知識(shí)；

4)識(shí)別與威脅相關(guān)的信息安全和事件趨勢(shì)；

5)識(shí)別客戶組織的脆弱性并理解其被利用的可能性和所造成的影響，以及對(duì)其的減緩和控

制；

6)ISMS的控制措施及其實(shí)施的知識(shí)；

7)ISMS的有效性評(píng)審和控制措施測(cè)量的知識(shí)；

8)有關(guān)和/或相關(guān)的ISMS的標(biāo)準(zhǔn)，行業(yè)最佳實(shí)踐，安全方針和程序；

9)事件處理方法和業(yè)務(wù)連續(xù)性的知識(shí)；

9

GB/TXXXXX—XXXX

10)有關(guān)有形和無形信息資產(chǎn)和影響分析的知識(shí)；

11)有關(guān)可能涉及安全或可能構(gòu)成安全問題的當(dāng)前技術(shù)的知識(shí)；

12)風(fēng)險(xiǎn)管理過程和方法的知識(shí)。

b)審核組應(yīng)有能力將客戶組織ISMS中的安全事件跡象追溯到ISMS的相應(yīng)要素；

c)審核組應(yīng)具有適當(dāng)?shù)墓ぷ鹘?jīng)驗(yàn)和上述條款的實(shí)際應(yīng)用（這不意味著審核員需要信息安全所有領(lǐng)

域的全面的經(jīng)驗(yàn)，但整個(gè)審核組應(yīng)對(duì)被審核ISMS的范圍具備足夠的認(rèn)識(shí)和經(jīng)驗(yàn)）。

審核組可以由一名審核員組成，如果其滿足上述a)的所有準(zhǔn)則。

9.2.1.1IS9.2.1.1審核員能力的證實(shí)

審核員應(yīng)能夠證實(shí)其具備上述知識(shí)和經(jīng)驗(yàn)，如通過：

a)獲得認(rèn)可的ISMS特定的資格；

b)注冊(cè)為審核員；

c)經(jīng)批準(zhǔn)的ISMS課程培訓(xùn)；

d)持續(xù)更新的專業(yè)發(fā)展記錄；

e)對(duì)審核員在實(shí)際客戶ISMS的審核過程的見證予以證實(shí)。

9.2.2IS9.2.2初次審核的一般準(zhǔn)備

認(rèn)證機(jī)構(gòu)應(yīng)要求客戶組織為認(rèn)證審核的實(shí)施做好所有必要的安排，包括為檢查文件、進(jìn)入所有區(qū)域、

獲取記錄（包括內(nèi)部審核報(bào)告和信息安全獨(dú)立評(píng)審報(bào)告）和訪問員工的準(zhǔn)備，從而達(dá)到實(shí)施認(rèn)證審核、

再認(rèn)證審核和解決投訴的目的。

在現(xiàn)場(chǎng)認(rèn)證審核之前，客戶應(yīng)至少提供以下信息：

a)ISMS和其所涵蓋活動(dòng)的一般信息；

b)GB/T22080-2008條款4.3.1所要求的ISMS文件的副本，及必要的相關(guān)文件。

9.2.3IS9.2.3初次認(rèn)證審核

9.2.3.1IS9.2.3.1第一階段審核

在該審核階段，認(rèn)證機(jī)構(gòu)應(yīng)獲取設(shè)計(jì)ISMS的文件，并包括GB/T22080-2008條款4.3.1所要求的文件。

第一階段審核的目的是，結(jié)合客戶組織ISMS方針和目標(biāo)，了解其ISMS，特別是客戶組織的審核準(zhǔn)備

狀態(tài)，為策劃第二階段審核提供重點(diǎn)。

第一階段審核應(yīng)包括，但不宜僅限于文件評(píng)審。認(rèn)證機(jī)構(gòu)應(yīng)與客戶組織就文件評(píng)審的時(shí)間和地點(diǎn)達(dá)

成一致。在任何情況下，文件評(píng)審應(yīng)在第二階段審核開始前完成。

第一階段審核結(jié)果應(yīng)形成書面報(bào)告。認(rèn)證機(jī)構(gòu)應(yīng)在決定進(jìn)行第二階段審核前，對(duì)第一階段的審核報(bào)

告進(jìn)行評(píng)審，以便為第二階段審核選擇具有必要能力的審核組成員。

認(rèn)證機(jī)構(gòu)應(yīng)讓客戶組織意識(shí)到在第二階段的審核中，可能需要進(jìn)一步提供信息和記錄以供詳細(xì)檢

查。

9.2.3.2IS9.2.3.2第二階段審核

9.2.3.2.1第二階段審核通常在客戶組織的場(chǎng)所進(jìn)行。認(rèn)證機(jī)構(gòu)以第一階段審核報(bào)告中形成文件的審核

發(fā)現(xiàn)為基礎(chǔ)，為實(shí)施第二階段審核制定審核計(jì)劃。第二階段審核的目標(biāo)是：

10

GB/TXXXXX—XXXX

a)確認(rèn)客戶組織遵守自身的方針、目標(biāo)和規(guī)程；

b)確認(rèn)ISMS符合規(guī)范性ISMS標(biāo)準(zhǔn)GB/T22080-2008的所有要求并正在實(shí)現(xiàn)客戶組織的方針目標(biāo)。

9.2.3.2.2為此，審核應(yīng)重點(diǎn)關(guān)注客戶組織的：

a)與信息安全有關(guān)風(fēng)險(xiǎn)的評(píng)估，及評(píng)估產(chǎn)生可比較和可再現(xiàn)的結(jié)果；

b)GB/T22080-2008條款4.3.1所列的文件要求；

c)基于風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置過程，對(duì)控制目標(biāo)和控制措施的選擇；

d)ISMS有效性的評(píng)審和信息安全控制有效性的測(cè)量，以及對(duì)照ISMS目標(biāo)進(jìn)行的報(bào)告和評(píng)審；

e)ISMS內(nèi)部審核和管理評(píng)審；

f)針對(duì)信息安全方針的管理職責(zé)；

g)所選擇和實(shí)施的控制措施、適用性聲明與風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置過程的結(jié)果及ISMS方針和目標(biāo)

之間的一致性；

h)控制措施的實(shí)施（見附錄D），考慮客戶組織對(duì)控制措施的有效性的測(cè)量[見上述d)]，以確定

控制措施是否得以實(shí)施并在達(dá)到所聲明的目標(biāo)方面是有效的；

i)方案、過程、程序、記錄、內(nèi)部審核和對(duì)ISMS有效性的評(píng)審，以確保其可被追溯至管理決定

和ISMS的方針與目標(biāo)。

9.2.3.3IS9.2.3.3ISMS審核的特定要素

認(rèn)證機(jī)構(gòu)的職責(zé)是確定客戶組織持續(xù)建立和保持了用以識(shí)別、檢查和評(píng)價(jià)信息安全相關(guān)的資產(chǎn)威

脅、脆弱性及對(duì)客戶組織的影響的規(guī)程。認(rèn)證機(jī)構(gòu)應(yīng)：

注：要求客戶組織證實(shí)對(duì)安全相關(guān)威脅的分析對(duì)于客戶組織的運(yùn)作是相關(guān)的和充分的；

注：客戶組織負(fù)責(zé)確定其重大信息安全相關(guān)風(fēng)險(xiǎn)的識(shí)別準(zhǔn)則，并制定實(shí)施的規(guī)程。

a)確定客戶組織識(shí)別、檢查和評(píng)價(jià)信息安全相關(guān)的資產(chǎn)威脅、脆弱性和影響的規(guī)程及應(yīng)用的結(jié)果是否

與客戶組織的方針、目標(biāo)和指標(biāo)保持一致。

認(rèn)證機(jī)構(gòu)也應(yīng)確定用于重大風(fēng)險(xiǎn)分析的規(guī)程是否健全并得到正確實(shí)施。如果信息安全相關(guān)的資

產(chǎn)威脅、脆弱性或?qū)蛻艚M織的影響被識(shí)別為重大，應(yīng)被納入ISMS管理之中。

9.2.3.3.1法律和法規(guī)的符合性

法律法規(guī)符合性的保持和評(píng)價(jià)是客戶組織的責(zé)任。認(rèn)證機(jī)構(gòu)應(yīng)通過檢查和抽樣的方式對(duì)客戶組織

ISMS在合規(guī)性方面的作用建立信心。認(rèn)證機(jī)構(gòu)應(yīng)驗(yàn)證客戶組織所具有的管理體系使其遵守適用于信息安

全風(fēng)險(xiǎn)和影響的法律法規(guī)。

9.2.3.3.2ISMS文件與其他管理體系文件的整合

只要ISMS以及和其它體系的適當(dāng)接口能夠清楚地得到識(shí)別，客戶組織就可以將ISMS文件與其他管理

體系文件（例如：質(zhì)量、健康與安全、環(huán)境）相結(jié)合。

9.2.3.3.3管理體系結(jié)合審核

認(rèn)證機(jī)構(gòu)可以提供與ISMS認(rèn)證相關(guān)聯(lián)的其他管理體系認(rèn)證，或僅提供ISMS認(rèn)證。

11

GB/TXXXXX—XXXX

ISMS審核可以和其他管理體系的審核相結(jié)合。這種結(jié)合只有在證實(shí)審核滿足ISMS認(rèn)證所有要求時(shí)才

有可能。在審核報(bào)告中，所有對(duì)ISMS重要的要素應(yīng)清晰地體現(xiàn)并易于識(shí)別。審核的質(zhì)量不應(yīng)由于結(jié)合審

核受到負(fù)面影響。

9.2.4IS9.2.4授予初次認(rèn)證的信息

為給認(rèn)證決定提供依據(jù)，認(rèn)證機(jī)構(gòu)應(yīng)需要提供支持認(rèn)證決定的充足信息的清晰報(bào)告，要求審核組在

認(rèn)證審核的各個(gè)階段向認(rèn)證機(jī)構(gòu)提供報(bào)告。結(jié)合存檔信息，這些報(bào)告至少應(yīng)包括本標(biāo)準(zhǔn)的IS9.1.6中所

要求的信息。

9.2.5IS9.2.5認(rèn)證決定

在認(rèn)證機(jī)構(gòu)中，做出授予/撤銷認(rèn)證決定的實(shí)體（或個(gè)人）應(yīng)在各個(gè)方面具備一定程度的知識(shí)和經(jīng)

驗(yàn)，從而可以對(duì)審核過程和審核組提出的相關(guān)建議進(jìn)行評(píng)價(jià)。

是否授予客戶組織ISMS認(rèn)證的決定，應(yīng)由認(rèn)證機(jī)構(gòu)基于認(rèn)證過程中收集的信息和其他相關(guān)信息做出

的。做出認(rèn)證決定的人員不應(yīng)參與審核。認(rèn)證決定應(yīng)基于審核組認(rèn)證審核報(bào)告（見IS9.1.6）中提供的

審核發(fā)現(xiàn)和推薦認(rèn)證的建議，及認(rèn)證機(jī)構(gòu)可獲取的任何其他相關(guān)信息。

通常情況下，負(fù)責(zé)做出授予認(rèn)證決定的實(shí)體，不宜推翻審核組的負(fù)面建議。如果確實(shí)出現(xiàn)這種情

況，認(rèn)證機(jī)構(gòu)應(yīng)記錄和說明做出推翻該建議的決議的依據(jù)。

對(duì)于認(rèn)證決定而言，ISO/IEC17021:2011未對(duì)客戶組織ISMS應(yīng)至少進(jìn)行一次完整的內(nèi)部審核和一次

管理評(píng)審的周期做出具體規(guī)定。認(rèn)證機(jī)構(gòu)可以規(guī)定該周期。無論認(rèn)證機(jī)構(gòu)是否選擇規(guī)定最低的頻次，都

應(yīng)制定措施，以確?？蛻艚M織的管理評(píng)審和ISMS內(nèi)部審核過程的有效性。

只有具備充分的證據(jù)證實(shí)管理評(píng)審和ISMS內(nèi)部審核的安排得以實(shí)施，且是有效的并將得到保持，

才可對(duì)客戶組織授予認(rèn)證。

9.3監(jiān)督活動(dòng)

ISO/IEC17021:2011中的9.3條款適用。并且，以下是ISMS具體的要求和指導(dǎo)建議。

9.3.1IS9.3監(jiān)督審核

9.3.1.1監(jiān)督審核程序應(yīng)與本標(biāo)準(zhǔn)中有關(guān)客戶組織的信息安全管理體系的認(rèn)證審核的要求相一致。

監(jiān)督的目的是為了驗(yàn)證已被認(rèn)證的ISMS得到持續(xù)實(shí)施,考慮由于客戶組織運(yùn)作的變化所引起的管理

體系變化，確認(rèn)管理體系與認(rèn)證要求的持續(xù)符合.監(jiān)督審核方案應(yīng)覆蓋:

a）管理體系保持要素，包括ISMS內(nèi)部審核、管理評(píng)審和預(yù)防與糾正措施；

b）依據(jù)ISMS標(biāo)準(zhǔn)GB/T22080-2008和認(rèn)證所需的其他文件的要求，與外部各方的溝通；

c）形成文件的管理體系的變更；

d）變更涉及的區(qū)域；

e）所選擇的GB/T22080要素；

f）適宜時(shí)，其他被選擇的區(qū)域。

9.3.1.2認(rèn)證機(jī)構(gòu)的監(jiān)督應(yīng)至少評(píng)審以下方面：

a)在達(dá)到客戶組織的信息安全方針的目的方面，ISMS的有效性；

b)定期評(píng)價(jià)和評(píng)審相關(guān)信息安全法律法規(guī)符合性的規(guī)程的運(yùn)行；

12

GB/TXXXXX—XXXX

c)針對(duì)上次審核中發(fā)現(xiàn)的不符合采取的措施。

9.3.1.3認(rèn)證機(jī)構(gòu)的監(jiān)督應(yīng)覆蓋ISO/IEC17021中監(jiān)督審核的要求，并且，應(yīng)覆蓋以下事項(xiàng):

a)認(rèn)證機(jī)構(gòu)應(yīng)能針對(duì)客戶組織與信息安全有關(guān)的資產(chǎn)威脅，脆弱性和影響來調(diào)整監(jiān)督方案，并判

斷方案的合理性；

b)認(rèn)證機(jī)構(gòu)的監(jiān)督方案應(yīng)由認(rèn)證機(jī)構(gòu)確定。訪問的具體日期可與被認(rèn)證的客戶組織達(dá)成一致；

c)監(jiān)督審核可以和其他管理體系的審核相結(jié)合，報(bào)告應(yīng)清晰地表明每個(gè)管理體系有關(guān)的方面；

d)認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)監(jiān)督認(rèn)證證書的正確使用。

在監(jiān)督審核中,認(rèn)證機(jī)構(gòu)應(yīng)檢查之前得到的申/投訴記錄。一旦發(fā)現(xiàn)任何不符合或不滿足認(rèn)證要求的

情況，認(rèn)證機(jī)構(gòu)應(yīng)檢查客戶組織是否對(duì)自己的ISMS和規(guī)程進(jìn)行調(diào)查并采取了適當(dāng)?shù)募m正措施。

特別是,監(jiān)督報(bào)告應(yīng)包括，有關(guān)消除以往發(fā)現(xiàn)的不符合的信息.監(jiān)督審核報(bào)告至少應(yīng)覆蓋以上a）的

全部要求。

9.4再認(rèn)證

ISO/IEC17021:2011的9.4條款的要求適用。并且，以下ISMS特定要求和指南適用。

9.4.1IS再認(rèn)證審核

再認(rèn)證審核程序應(yīng)與本標(biāo)準(zhǔn)提出的有關(guān)客戶組織的ISMS的認(rèn)證審核的要求和指南相一致。

認(rèn)證機(jī)構(gòu)應(yīng)具有清晰的程序，對(duì)保持認(rèn)證的環(huán)境和條件做出規(guī)定。如果在監(jiān)督或再認(rèn)證審核中，發(fā)

現(xiàn)不符合的存在，該不符合應(yīng)在認(rèn)證機(jī)構(gòu)同意的時(shí)間內(nèi)得到有效的糾正。如果糾正沒有在同意的時(shí)間內(nèi)

完成，認(rèn)證范圍應(yīng)被縮小，或者暫?；虺蜂N認(rèn)證證書。允許采取糾正措施的時(shí)間應(yīng)與不符合的嚴(yán)重程度

和風(fēng)險(xiǎn)相適宜,以確?？蛻艚M織的產(chǎn)品或服務(wù)滿足規(guī)定要求。

9.5特殊審核

ISO/IEC17021:2011，條款9.5的要求適用。并且,以下ISMS特定要求和指南適用。

9.5.1IS9.5特殊情況

如果已經(jīng)通過ISMS認(rèn)證的客戶組織對(duì)其體系做重大修改或者發(fā)生可能影響其認(rèn)證基礎(chǔ)的其他變更，

認(rèn)證機(jī)構(gòu)應(yīng)按照特殊規(guī)定實(shí)施特殊審核所必要的活動(dòng)。

9.6暫停、撤銷或縮小認(rèn)證范圍

ISO/IEC17021:2011，條款9.6的要求適用。

9.7申訴

ISO/IEC17021:2011，條款9.7的要求適用。

9.8投訴

ISO/IEC17021:2011條款9.8的要求適用。并且，以下ISMS特定要求和指南適用。

9.8.1IS9.8投訴

13

GB/TXXXXX—XXXX

投訴是可能的不符合的信息來源。認(rèn)證機(jī)構(gòu)應(yīng)要求獲證客戶組織在收到投訴后，確定投訴的原因，

其中包括任何由于客戶組織的ISMS所導(dǎo)致（或誘發(fā)）投訴的因素，并在適宜時(shí)報(bào)告投訴原因。

認(rèn)證機(jī)構(gòu)應(yīng)確?？蛻艚M織利用上述調(diào)查活動(dòng)，制定補(bǔ)救/糾正措施，其中應(yīng)包括以下措施：

a）法規(guī)要求時(shí)，通知相應(yīng)的權(quán)利機(jī)構(gòu)；

b）恢復(fù)符合性；

c）防止再發(fā)生；

d）評(píng)估和減小任何負(fù)面安全事件及其相關(guān)的影響；

e）確保與ISMS其他要素產(chǎn)生良好的相互作用；

f）評(píng)價(jià)所采用的補(bǔ)救和（或）糾正預(yù)防措施的有效性。

認(rèn)證機(jī)構(gòu)應(yīng)要求ISMS已在認(rèn)證機(jī)構(gòu)獲得認(rèn)證的每一個(gè)組織，記錄所有的投訴并且依據(jù)GB/T

22080-2008采取糾正措施。

9.9申請(qǐng)者和客戶記錄

ISO/IEC17021:2011條款9.9的要求適用

10認(rèn)證機(jī)構(gòu)的管理體系要求

10.1選項(xiàng)

ISO/IEC17021:2011的10.1中的要求適用。

10.2方式一：按照GB/T19001的管理體系要求

ISO/IEC17021:2011的10.2中的要求適用。

10.3方式二：通用的管理體系要求

ISO/IEC17021:2011的10.3中的要求適用。并且，以下ISMS特定的要求和指南適用。

10.3.1IS10.3ISMS實(shí)施

建議認(rèn)證機(jī)構(gòu)依據(jù)GB/T22080-2008要求實(shí)施ISMS。

14

GB/TXXXXX—XXXX

AA

附錄A

（資料性附錄）

客戶組織復(fù)雜性和行業(yè)特定方面的分析

A.1組織的潛在風(fēng)險(xiǎn)

當(dāng)決定審核的時(shí)間和審核員的能力要求時(shí)，需要考慮客戶組織ISMS范圍的復(fù)雜性。為此，本附錄

提供了分析客戶組織復(fù)雜性的實(shí)例。給出一個(gè)ISMS范圍的復(fù)雜性類別有助于確定：

a)ISMS審核的審核員能力要求（見本文件的附錄B的示例）；

b)ISMS審核的審核時(shí)間要求（見本文件的附錄C的示例）。

針對(duì)確定ISMS范圍的復(fù)雜性時(shí)所考慮的可能因素，表A.1給出了通用指標(biāo)。對(duì)于特定的環(huán)境，

表A.1可能需要調(diào)整，或者適當(dāng)?shù)卦黾右恍┨厥庖蛩亍?/p>

通過單獨(dú)地使用復(fù)雜性準(zhǔn)則（見表A.1），以及利用一些不同的因素，ISMS每個(gè)復(fù)雜性因素都可以

分為“高”、“中”、“低”三個(gè)類別。ISMS范圍復(fù)雜性的整體類別，可以是全部復(fù)雜性因素中最大的，

即：“高”、“中”、“低”。

A.1ISMS范圍的復(fù)雜性準(zhǔn)則

類別

復(fù)雜性因素

高