CNAS-CC170-2015 信息安全管理體系認證機構(gòu)要求

2015年12月30日發(fā)布2016年04月01日實施中國合格評定國家認可委員會 1 3 4 5 5 5 5 5 5 5 6 6 6 6 9 CNAS-CC170:2015 CNAS-CC170:2015本文件等同采用國際標準ISO/IEC27002)針對認證機構(gòu)的管理時，用詞匯“政策”表示“policy”；針對客戶的信息安全方面的管理時，用詞匯“策略”表示“policy”，針對客戶的管理體系方面CNAS-CC170:2015CNAS-CC01:2015(等同采用I構(gòu)的基本認可準則。如果管理體系認證機構(gòu)按照ISO/IEC27001:2013《信息技術(shù)安全和ISO/IEC27001:2013的要求相對應(yīng)的條款是要求性的，認證本文件的主要目的是使得認可機構(gòu)在應(yīng)用其評審認證機構(gòu)所依據(jù)的標準時更有效19000-2008（ISO9000:CNAS-CC170:2015信息安全管理體系認證機構(gòu)要求本文件對實施信息安全管理體系（以下簡稱“ISMS”）審核和認證的機構(gòu)規(guī)定了CNAS-CC01:2015管理體系認證機構(gòu)要求（等同采用ISO/IEC17021-表明客戶的ISMS符合指定的ISMS標準及ISMS所要求的任何補充性文件的一類文CNAS-CC170:2015慮CNAS-CC01以及本文件7.1.2和7.2.1中所規(guī)定的、與認證機構(gòu)確定ISMS技術(shù)領(lǐng)域相關(guān)CNAS-CC170:2015除了b)可以在作為審核組成員的審核員之間共享外，以上a）-e）適用于作為審核CNAS-CC170:2015a）組織類型、規(guī)模、治理、結(jié)構(gòu)、職能和關(guān)系，對開發(fā)和實施ISMS和認證活動的CNAS-CC170:2015a）客戶的產(chǎn)品、過程、組織類型、規(guī)模、治理、結(jié)構(gòu)、職能和關(guān)系，包括外包的息而導致不能提供給審核組核查的ISMS相關(guān)信息（例如ISMS記錄或關(guān)于控制的設(shè)計認證機構(gòu)應(yīng)要求客戶為調(diào)閱內(nèi)部審核報告和信息安全獨立審核組應(yīng)根據(jù)所有適用的認證要求，對包含在確定范圍內(nèi)的客戶ISMS進行審核。9.3.1.2.1基于第一階段審核報告中的審核發(fā)現(xiàn)，認證機構(gòu)制定實施第二階段的審核計）；a）所采用的主要審核路線和所使用的審核方法（b）對與相關(guān)信息安全法律法規(guī)的符合性進行定期評價與評審的規(guī)程9.6.2.1.3認證機構(gòu)應(yīng)能夠針對與信息安全問題相關(guān)的風險及特別是，監(jiān)督報告應(yīng)包括有關(guān)消除以往出現(xiàn)的不符合、SoA版本和從上次審核之后CNAS-CC170:2015（實施申請評審以確定所信息安全管理體系標客戶的產(chǎn)品、過程和CNAS-CC170:2015CNAS-CC170:2015定適當?shù)膶徍藭r間。此外，可以根據(jù)審核過程（尤其是第一階段）的發(fā)現(xiàn)（如：ISMSCNAS-CC170:2015不同階段，并體現(xiàn)組織的能力需求和服務(wù)差異的范圍。對于一般的抽樣，見本文件的/或電子驗證組織的過程）與客戶組織接觸，這些活動宜在審核計劃中加以識別（見563745667CNAS-CC170:201578899>10700CNAS-CC170:2015），）；d)對組織已經(jīng)有些了解（例如，如果組織獲得了同一個認證機構(gòu)的、另一個標e)客戶的認證準備情況較好（例如，已經(jīng)獲得了另一個第三方認證方案的認證策劃和編制報告一起所用的時間，通常不宜使總CNAS-CC170:2015定的、任何以往審核的結(jié)果。再認證審核所需的時間，宜與同一組織的初次認證審核CNAS-CC170:2015信息安全要求[保密性、完整性和可用性CIA）]只有少量的敏感信息或保密信息，可很少的關(guān)鍵資產(chǎn)只有一個關(guān)鍵業(yè)務(wù)過程，該過程的接口和涉及的業(yè)務(wù)單較高的可用性要求或若干敏感/保密信2-3個簡單的業(yè)務(wù)過程，這些過程的接口和涉及的業(yè)務(wù)比較多的保密信息健康、個人可識別程，這些過程的接口和涉及的業(yè)務(wù)單低風險的業(yè)務(wù)，沒高風險的業(yè)務(wù)，有（僅有）有限的法沒有獲得認證，但ISMS已充分實施了多個審核與改進周期，包括文件化的內(nèi)部審核，管理評審和有效的持續(xù)最近剛通過監(jiān)督審沒有獲得認證，但獲得并實施了一些管理體系工具，一些持續(xù)改進過程是適宜的但未全部文未獲得認證且最近ISMS是新的且沒缺少管理體系的特定控制機制，不成熟的持續(xù)改進過程，靈活的過程執(zhí)施過程中，所應(yīng)用的技術(shù)的水平和多樣性[例高標準化、低多樣性的環(huán)境（很少的標準化且多樣性的操作系統(tǒng)、數(shù)據(jù)庫高多樣性或復(fù)雜的多不同的網(wǎng)段、服務(wù)器或數(shù)據(jù)庫的類型、關(guān)鍵應(yīng)用的數(shù)CNAS-CC170:2015外包和第三方安排的程沒有外包且對供應(yīng)對外包協(xié)議進行了明確的規(guī)定、良好可獲得相關(guān)的獨立多個管理不充分的高度依賴外包或供應(yīng)商，它們對重要業(yè)務(wù)活動有很大影對外部的數(shù)量或程多個未得到管理的f）信息系統(tǒng)開發(fā)的程沒有內(nèi)部的系統(tǒng)開發(fā)使用標準化的軟件使用標準化的、具有復(fù)雜配置/參數(shù)化若干開發(fā)活動（內(nèi)大量的內(nèi)部軟件開發(fā)活動，有若干針對重大業(yè)務(wù)目的的、持續(xù)進行的項g）場所的數(shù)量和災(zāi)難較低的可用性要求，且沒有或有一個可選的災(zāi)難恢復(fù)中等或高的可用性要求，且沒有或有一個可選的災(zāi)難恢高可用性要求，例若干個可選的災(zāi)難h）對于監(jiān)督或再認證審核：符合CNAS-CC01相關(guān)的變更的數(shù)量和程自上次再認證審核有微小的變化，例如，一些策略、文以上因素有微小變新的過程，新的業(yè)務(wù)單元，風險評估管理方法、策略，以上因素有重大變第四步：最終計算。將由審核時間表（表B.1）所CNAS-CC170:20151.一般的過程，涉及一般的且重復(fù)性的任務(wù)；大量在組織控制下工作的3.復(fù)雜的過程，大量的產(chǎn)品和服務(wù)，許多業(yè)務(wù)單元包含在認證范圍內(nèi)2.其他管理體系的要素，有些已經(jīng)實3.根本沒有實施其他管理體系，IIT基礎(chǔ)設(shè)施的復(fù)雜程度3.很多不同的IT平臺、服務(wù)器、操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)。2.有一些服務(wù)于某些重要業(yè)務(wù)目的的、內(nèi)部的或外包的系3.有大量服務(wù)于重要業(yè)務(wù)目的的、內(nèi)部的或CNAS-CC170:2015大量地使用外包。該組織沒有內(nèi)部的或外包的開發(fā)活動。根據(jù)表C.3，可以得出與ITCNAS-CC170:2015資產(chǎn)登記且資產(chǎn)登記包含所看到的資產(chǎn)、系統(tǒng)設(shè)置是適當?shù)牡瓤梢允占阶詈玫膶徱瓤梢允占阶C據(jù)。證據(jù)可以是審核員對控制進行直接測試（或重新實施）的結(jié)果[例如，嘗試執(zhí)行被控制所禁止的任務(wù)、確定機器上是否安裝了反惡意代碼的軟件且是否是最新的、授予的訪問權(quán)（在檢查完授權(quán)之后）等]。通過與在組織控制下工作的D.2如何使用表D.1收集。技術(shù)類控制的績效證據(jù)，可以通過系統(tǒng)測試（見下面或者通過使用專門的審CNAS-CC170:2015A.5信息安全策略A.5.1信息安全管理指導A.6.1.1信息安全的角色和責任A.6.2移動設(shè)備和遠程工作A.6.2.2遠程工作A.7人力資源安全A.7.2任用中詢問員工是否知道他宜知道A.7.3任用的終止和變更CNAS-CC170:2015A.8.2.1信息的分級A.8.2.2信息的標記命名：目錄、文件、印好的報告、記錄介質(zhì)（例如，磁A.8.3介質(zhì)處理A.8.3.1移動介質(zhì)的管理A.8.3.2介質(zhì)的處置A.8.3.3物理介質(zhì)的轉(zhuǎn)移A.9訪問控制A.9.1.2網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問A.9.2.1用戶注冊和注銷A.9.2.2用戶訪問供給抽取有系統(tǒng)訪問授權(quán)的、在組織控制下工作的人員/合A.9.2.6訪問權(quán)的移除或調(diào)整A.9.3用戶責任性A.9.4系統(tǒng)和應(yīng)用訪問控制A.11物理和環(huán)境安全CNAS-CC170:2015A.11.1.4外部和環(huán)境威脅的安全A.11.1.5在安全區(qū)域工作A.11.1.6交接區(qū)A.11.2設(shè)備A.11.2.5資產(chǎn)的移動A.12.1運行規(guī)程和責任A.12.1.1文件化的操作規(guī)程A.12.2惡意軟件防范A.12.3備份態(tài)A.12.5運行軟件控制A.12.5.1運行系統(tǒng)的軟件安裝A.12.6技術(shù)脆弱性管理CNAS-CC170:2015A.12.6.1技術(shù)脆弱性的管理基于風險的、對運行系統(tǒng)/數(shù)據(jù)庫和應(yīng)用的補丁管理與A.12.6.2軟件安裝限制A.13通信安全與連接的控制，網(wǎng)絡(luò)設(shè)備的A.13.2信息的傳輸確認所抽取的消息符合策略A.14.1.2公共網(wǎng)絡(luò)上應(yīng)用服務(wù)的性A.14.2.1安全的開發(fā)策略A.14.2.5系統(tǒng)安全工程原則A.14.2.6安全的開發(fā)環(huán)境A.14.2.7外包開發(fā)A.14.2.8系統(tǒng)安全測試A.14.2.9系統(tǒng)驗收測試A.14.3測試數(shù)據(jù)A.15供應(yīng)商關(guān)系A(chǔ).15.1供應(yīng)商關(guān)系中的信息安全CNAS-CC170:2015