CNAS-CC17-2012 信息安全管理體系認(rèn)證機(jī)構(gòu)要求

2012年01月10日發(fā)布2012年04月01日實(shí)施中國合格評(píng)定國家認(rèn)可委員會(huì) 2 3 4 4 4 4 5 5 5 5 5 5 5 5 5 6 7 7 7 7 7 7 8 8 8 8 8 8 CNAS-CC17:2012本文件等同采用國際標(biāo)準(zhǔn)ISO/IEC27006:2011《信息技術(shù)安全技術(shù)信息安全管理認(rèn)可準(zhǔn)則CNAS-CC01:2011《管理體系認(rèn)證機(jī)構(gòu)要求》共同構(gòu)成CNAS對(duì)信息安全管理體系認(rèn)證機(jī)構(gòu)的1)針對(duì)認(rèn)證機(jī)構(gòu)的管理時(shí)，用詞匯“程序”表示“procedur“規(guī)程”表示“procedure”；CNAS-CC17:2012CNAS-CC01:2011(等同采用ISO/IE則。如果管理體系認(rèn)證機(jī)構(gòu)按照GB/T22080-2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》CNAS-CC01:2011獲得認(rèn)可，對(duì)CNAS-CC01:2011補(bǔ)充一些要求和指南是必要的。本文件提供了這樣的貫穿本文件全文，使用“應(yīng)”（shall）這一術(shù)語，以表示本文件中與CNAS-CC01:2011和GB/T22080-2008的要求相對(duì)應(yīng)的條款是要求性的，認(rèn)證機(jī)構(gòu)必須遵循；使用“宜”（should）這一術(shù)語表示本文件的一個(gè)目的是確保以一致的方式按照相關(guān)準(zhǔn)則或標(biāo)準(zhǔn)對(duì)信息安全管理體系認(rèn)證機(jī)構(gòu)實(shí)施評(píng)CNAS-CC17:2012本文件對(duì)實(shí)施信息安全管理體系（以下簡稱“ISMS”）審核和認(rèn)證的機(jī)構(gòu)提出要求并提供指南，以作為對(duì)CNAS-CC01:2011和GB/T22080-CNAS-CC17:2012CNAS-CC17:2012認(rèn)證機(jī)構(gòu)應(yīng)有審核組的培訓(xùn)準(zhǔn)則，以確保審核組：7.2.1.1.1當(dāng)為特定認(rèn)證審核選擇指派審核組時(shí)，認(rèn)證機(jī)構(gòu)應(yīng)確保審a）針對(duì)擬認(rèn)證的ISMS范圍內(nèi)的特定活動(dòng)b）充分理解客戶組織，以便對(duì)（管理客戶組織活動(dòng)、產(chǎn)品和服CNAS-CC17:2012認(rèn)證機(jī)構(gòu)應(yīng)要求客戶組織具有一個(gè)文件化并且已實(shí)施的符合GB/T2CNAS-CC17:2012客戶組織的ISMS接受審核的準(zhǔn)則應(yīng)是ISMSCNAS-CC17:2012d）在ISMS各部分的實(shí)施過程中，所應(yīng)用的本文件的附錄C對(duì)審核時(shí)間提供指南。認(rèn)證機(jī)構(gòu)應(yīng)能9.1.4.1在ISMS認(rèn)證領(lǐng)域，有關(guān)多場(chǎng)所的抽樣決定比質(zhì)量管b）審核組向認(rèn)證機(jī)構(gòu)提供關(guān)于審核發(fā)現(xiàn)的審核）；c）已識(shí)別的任何不符合的詳細(xì)情況，包括支持它們的客觀證據(jù)和這些不符合所涉及的GB/Ta）在以下每個(gè)方面，至少應(yīng)有一名審核組成員滿足認(rèn)證機(jī)構(gòu)能力準(zhǔn)則并在審核組內(nèi)承擔(dān)相應(yīng)責(zé)認(rèn)證機(jī)構(gòu)應(yīng)讓客戶組織意識(shí)到在第二階段的審核中，可能需要進(jìn)一步提供9.2.3.2.1第二階段審核在客戶組織的場(chǎng)所進(jìn)行。認(rèn)證機(jī)構(gòu)以第一階段的審核報(bào)告中的形成文件的審核發(fā)為給認(rèn)證決定提供依據(jù)，認(rèn)證機(jī)構(gòu)應(yīng)要求審核組向其提供是否授予客戶組織ISMS認(rèn)證的決定是由認(rèn)證機(jī)構(gòu)以監(jiān)督的目的是驗(yàn)證已被認(rèn)證的ISMS的持續(xù)實(shí)施、考慮由于客戶組織運(yùn)作的變化所造成的管理體系認(rèn)證機(jī)構(gòu)應(yīng)具有規(guī)定了保持認(rèn)證的環(huán)境和條件的清楚程序。如果在監(jiān)督或再認(rèn)證審核中，發(fā)現(xiàn)不符合存在，該不符合在認(rèn)證機(jī)構(gòu)同意的時(shí)間內(nèi)應(yīng)得到有效的糾正。如果糾正沒有在同意的時(shí)間內(nèi)完成，認(rèn)證范圍應(yīng)被縮小，或者暫?；虺蜂N認(rèn)證證書。允許采取糾正措施的時(shí)間應(yīng)與如果已經(jīng)通過ISMS認(rèn)證的客戶組織對(duì)其管理體系做重大修改，或者發(fā)生影響其認(rèn)證基礎(chǔ)的其他變通過分別地使用復(fù)雜性準(zhǔn)則（見表A.1以及利用一些不同的因素，有關(guān)I高中低雇員+簽約管理信息系統(tǒng)與生產(chǎn)管理有關(guān)的系統(tǒng)銷售/物流/一般服務(wù)相關(guān)的信息技術(shù)/信息服務(wù)和有關(guān)與建筑/造船/設(shè)備工程有關(guān)財(cái)務(wù)系統(tǒng)政府、學(xué)校、醫(yī)學(xué)/醫(yī)院系統(tǒng)1物理與環(huán)境安全（GB/T物理與環(huán)境安全（GB/T通信與操作管理（GB/T高中低式計(jì)算機(jī)的字簽名和PKI通信與操作管理（GB/T訪問控制（GB/T22080法律和指南（GB/T險(xiǎn) 法律和指南（GB/T任何其他商業(yè)敏感/關(guān)鍵信息，例如，研發(fā)信息、設(shè)計(jì)信息、客戶組織詳細(xì)信息、財(cái)務(wù)結(jié)果政府的供應(yīng)商和生產(chǎn)商持有的信息，例如，信息通信技術(shù)（ICT人力資源部門所使用的過程與規(guī)程的通用知識(shí)和經(jīng)驗(yàn)CNAS-CC17:2012件和（或）過程控制、糾正和（或）預(yù)防措施、信息系統(tǒng)、IT系統(tǒng)、網(wǎng)絡(luò)等，而無論他們是）；CNAS-CC17:2012），ISMS范圍的因素的重要性對(duì)該基數(shù)進(jìn)行調(diào)整，對(duì)每一因素賦予增、減2353746567889>10700CNAS-CC17:2012如果使用了遠(yuǎn)程審核技術(shù)（例如，交互式基于網(wǎng)絡(luò)的協(xié)作、網(wǎng)絡(luò)會(huì)議、電話會(huì)議和/或組織過程的如果認(rèn)證機(jī)構(gòu)審核計(jì)劃中遠(yuǎn)程審核活動(dòng)占據(jù)大于30%的現(xiàn)場(chǎng)審核時(shí)間，認(rèn)證機(jī)構(gòu)宜有理由證明審果。再認(rèn)證審核所需的時(shí)間宜與同一組織的初次認(rèn)證審核所用的時(shí)間成比例，大約是初次認(rèn)證）；）；CNAS-CC17:2012）；CNAS-CC17:2012認(rèn)證審核和后續(xù)監(jiān)督審核中對(duì)它們的執(zhí)行情況收集審核證選擇的所有控制措施的實(shí)施需要在初次認(rèn)證審核的第二階段審核以及監(jiān)督審核或再認(rèn)證審核活動(dòng)中進(jìn)措施直接測(cè)試（或重新實(shí)施）的結(jié)果[例如，試圖執(zhí)行被控制措施所禁止的任務(wù)、機(jī)器上預(yù)防惡意代碼的軟件是否安裝并是最新的、授予的訪問權(quán)（在檢查完職權(quán)人員之后）等]?？赏ㄟ^與雇員和（或）簽D.2.1“組織類控制措施”列與“技術(shù)類CNAS-CC17:2012A.6.1.4信息處理設(shè)施的授權(quán)過程從文件的復(fù)印件中抽樣A.6.2.1與外部各方相關(guān)風(fēng)險(xiǎn)的A.6.2.2處理與顧客有關(guān)的安全A.6.2.3處理第三方協(xié)議中的安件CNAS-CC17:2012訓(xùn)A.9.1.4外部和環(huán)境威脅的安全A.9.2.6設(shè)備的安全處置或再利用審CNAS-CC17:2012