中文 / English
公开文件
  1. 当前位置  :  首页
  2. 公开文件

最新实施日期:2025年5月12日    版本:A/3  修订号:5

 

1. 目的

为确保HIC提供信息安全管理体系(英文缩写ISMS,下同)认证过程的有效性,本文件规定了开展信息安全管理体系认证的基本过程和特定要求。

2.适用范围

本文件适用于信息安全管理体系认证过程管理,仅包括ISO/IEC 27006-1:2024及 CNAS-SC170:2017IAF_MD26的特殊要求,对于ISO17021的通用要求已在HIC-QC/UD-01~20程序中说明,此处不再详述。

3职责

3. 1市场部门负责客户接洽、市场开发与合同接收、签订,负责认证证书发送和回收过程中的联络。

3. 2技委会负责组织合同评审;负责审核资料的跟踪、验收与归档管理和组织审核资料认证决定的评定;以及向CNAS/IAS报送与认证有关的信息;负责对认证实施过程的监控。 负责对审核和认证人员的能力评定。

3. 3审核部负责编制审核方案,进行审核准备,组成审核组实施现场审核,和对审核过 程的监督与控制;负责对审核人员的管理。

3. 4客服部、技委会负责获证客户的注册管理。

3. 5合同评审人员和审核方案管理人员在进行人员评定时统称为项目管理人员。

3. 6管理部负责认证证书的制作;

3. 7总经理负责认证证书的签发和认证注册资格(包括授予、保持、更新、扩大、缩小、 暂停和撤销认证)的批准。

4程序和要求

4. 1认证人员能力评价

4. 1. 1 基本要求:按照以下原则分别对各类人员的能力进行初始评价、初始测试、能力监控与评价,能力定期测试与评价,并保持评价记录。认证审核员、认证管理人员能力评价结果需经由领导批准后方可在系统上录入。

4. 1. 2认证通用知识和技能见附录B。

4. 1. 3认证人员能力初始评价

4. 1. 3. 1认证人员初始能力评价

a. 所有认证人员的知识和能力要求、特定技能要求等,须满足准ISO/IEC 17021-1:2015《合格评定管理体系审核与认证机构的要求 第1部分:要求》(CNAS-CC01:2015)CNAS-CC170:2024《信息安全管理体系认证机构要求》(ISO/IEC 27006-1:2024对认证人员的相关知识和能力要求。

b. 由管理部根据初始能力评价准则进行初始能力评价前的人事确认并记录,记录包括被评价人的教育、工作、培训、审核(咨询)的相关信息,填写《认证人员登记表》、《审核员/技术专家审核经历汇总表》(审核员专用)以获取其知识和技能的证据,使对其能力有基本了解;《认证人员登记表》内容尽可能详细、充分、以便于识别被评价人员所具有的知识和技能;

c. 管理部应在招聘人员入职时进行基本的面试考察,以了解其过去的工作经历知识

和技能的情况;将面试情况记录在《管理体系认证人员面试报告》中,必要时对记录中相关信息进行验证、澄清和确认;

d. 技术委员会获得管理部的上述有关材料记录后,组织评价人员根据本程序规定的评价准则、《信息安全管理体系专业技术领域分析》对审核员进行初始能力评价,将评价结果填写在《认证人员专业能力评价表》中。

e. 技委会对批准评价合格的认证人员分别建档编制最新评价结果和注册状态,之后准备进入认证人员初始能力测试程序。

4.1.3.2认证人员初始能力测试

4.1.3.2.1审核员/技术专家的初始能力测试

a. 技委会根据《认证人员专业能力评价表》所输出的认证业务范围(对应的技术领域),依据《信息安全管理体系专业技术领域分析》中有关的知识内容编制并提供一份《审核员认证管理人员专业能力测试表》做测试,并交回技委会。经技委会评价,管理者代表审批,审定符合要求报总经理批准即认定该审核员能力合格可安排其参加审核。如测试结果为不合格的,则需要对该工作岗位进行特定知识 和技能的专项培训并再考核合格后方可参加审核。

b. 级别审核员首次参加华凯审核,需由具有组长资格的人员进行见证,并填写《机构内部新入职审核员初始能力见证评价报告》。见证不合格者需重新安排见证或经专项培训考核合格后方可正式执行审核任务。CCAA见证可替代首次见证。特殊情况由体系事业部负责人批准。

4.1.3.2.2项目管理员(申请/合同评审人员、计划/方案管理人员)的初始能力测试

a. 纳入《认证人员一览表》备案的项目管理人员,由技委会依据《信息安全管理体系专业技术领域分析》中有关的知识内容编制并提供一份《审核员认证管理人员专业能力测试表》做测试,并交回技委会。经技委会评价,管理者代表审批,审定符合要求报总经理批准即认定该项目管理员具备相应专业能力。如评价、测试结果为不合格的,则需要对该工作岗位进行特定知识和技能的专项培训并再考核合格后方可上岗。

4.1.3.2.3报告检查/认证决定人员的初始能力测试

a. 纳入《认证人员一览表》备案的报告检查/认证决定人员,技委会根据的《认证人员专业能力评价表》所输出的认证业务范围(对应的技术领域),依据《信息安全管理体系专业技术领域分析》中有关的知识内容编制并提供一份《审核员认证管理人员专业能力测试表》做测试,并交回技委会。经技委会评价,管理者代表审批,审定符合要求报总经理批准即认定该报告检查/认证决定人员具备相应专业能力。如评价、测试结果为不合格的,则需要对该工作岗位进行特定知识和技能的专项培训并再考核合格后方可上岗。

4. 1. 3. 2. 4能力评价人员的初始能力测试

a. 纳入《认证人员一览表》备案的能力评价人员,由管理者代表依据《信息安全管理体系专业技术领域分析》中有关的知识内容编制并提供一份《审核员认证管理人员专业能力测试表》做测试,并交回技委会。经技委会评价,管理者代表审批,审定符合要求报总经理批准即认定该能力评价人员具备相应专业能力。如评价、测试结果为不合格的,则需要对该工作岗位进行特定知识和技能的专项培训并再考核合格后方可上岗。

4. 1. 4认证人员工作过程中的能力监控与评价

4. 1. 4. 1工作过程中能力监控评价是通过在认证人员日常实际工作、审核中的能力表现 予以多方式的证实其能力是否得到保持。

4. 1. 4. 2对审核项目中审核员(含实习审核员)、技术专家的审核工作的专业能力和合规性的过程监控评价。于每一个审核项目中,由审核组长现场按照规定的考察项目实施并记录在《机构内部审核员见证评审报告》中。如现场表现见证评价结果出现一项为“较差”或“差”的,则需要对该审核人员进行补充培训及考核。

4. 1. 4. 3委托客户对审核组成员的工作表现及能力的过程监控评价。所有的认证审核项目结束后,在客户获证后由客服人员与认证组织联系,提供一份《认证组织满意度调查表》(评价对象为公司的项目管理人员及本次审核的审核组各成员),请获证组织在对公司信息沟通、审核组成员在审核工作的专业性、工作能力和合规性、服务质量等进行评定。客服部收回调查评价表后进行统计分析,对评价不合格的当事人,应视为客户投诉处理,按照相关程序要求进行处理。

4. 1. 5认证人员的能力定期测试及评价

4.1. 5. 1审核员的年度见证考核

公司根据审核人员使用频率和活动的风险水平,策划审核人员的见证频率,具体见《审

核人员管理办法》。

4. 1. 5. 2对关键岗位人员(项目管理人员、认证决定人员、能力评价人员)的能力进行年度确认每年1-2月技委会、审核部组成评价组,按照《认证管理人员专业能力评价表》对关键岗位人员进行考评。对测试不合格的关键岗位人员,技委会将撤销其相应的技术领域中的业务代码范围。

4. 1. 6审核员初次担任组长的能力评价

4. 1. 6. 1级别审核员初次担任组长的,需要对其组长资格的能力进行一次见证评价。申请人需填写《审核员见证申请表》,经在审核任务批准后由审核部安排见习组长作为审核组的组长开展审核。现场见证人员为具有注册审核员资格及组长资格的审核人员。现场见证后见证员填写《机构内部审核组长见证评价报告》;

4. 1. 6. 2级别审核员的组长资格的能力见证原则为一次见证,对见证结论最终意见为不合格的,需提出申请再次见证直至见证结论最终意见为合格,审核部才能在后续安排审核项目时给与其组长角色。

4. 1. 7能力评价负面结果的处理

4. 1. 7. 1公司在认证业务范围认可后,对某一唯一性特定技术领域认证人员能力评价的结果为不满意的,且通过后续的培训依然不能满足要求的,或是如具备某一特定技术领域的专业能力审核员,被公司解雇的,将对公司的能力产生影响。技术委员会应及时报告管理者代表或总经理,并分析对公司整体能力的限制性因素和对目前认证产生的影响;

4. 1. 7. 2通过分析,批准后由管理部快速招聘具备特定技术领域认证人员予以补充,技 术委员会并按照本程序有关要求进行对其初始能力评价。

4. 1. 8认证人员能力评价准则的确定

4. 1. 8. 1申请/合同评审人员的能力准则:

a.具有大学专科以上学历,有两年以上工作经历

b.熟悉、理解“认证认可条例”、“认可机构认可准则、规则、指南”的要求及公司的相关认证审核程序、申请和合同评审作业认证制度的规定;

c.掌握负责评审的体系标准或其他规范性文件内容,了解相关法律法规的要求:认证过程中所用的相关ISMS标准和其他规范性文件

d.熟悉国民经济专业分类和机构各体系技术领域分类分组和管理要求的内容;

e.能熟练使用机构计算机管理系统

f.熟悉相关行业实践的通用术语和过程、技术和风险的理解(不具备时可由相应专业专家协同);

g.熟悉客户产品、过程和组织类型、规模、治理、结构、职能和关系,包括外包的职能(不具备时可由相应专业专家协同)。

h.如申请/合同评审人员同时为审核员时,对其审核员资格的评价可替代认证管理人员的能力评价。

4. 1. 8. 2审核方案管理人员(包括确定审核项目、指派审核任务人员)的能力准则:

a.具有大学专科以上学历,有两年以上工作经历;

b.具有一定的分析、判断能力及良好的口头和文字表达能力;

c.有良好的服务意识,有责任心、有耐心,能与客户进行良好的沟通

d.熟悉理解“认证认可条例”、“认可机构认可准则、规则、指南”的要求及公司认证审核程序及有关认证管理制度的相关规定;

e.了解各标准体系基本内容;

f.能熟练运用机构计算机管理系统

g.17021要求的其他知识和技能

h.熟悉相关行业实践的通用术语和过程、技术和风险的理解(不具备时可由相应专业专家协同);

i.熟悉客户产品、过程和组织类型、规模、治理、结构、职能和关系,包括外包的职能(不具备时可由相应专业专家协同)。

k.如审核方案管理人员同时为审核员时,对其审核员资格的评价可替代其认证管理人员的能力评价。

4. 1. 8. 3报告检查/认证决定人员评定准则:

a.具有大学专科以上学历,有两年以上工作经历;

b.熟悉理解“认证认可条例”、“认可机构认可准则、规则、指南”的要求及公司认证审核程序及有关认证管理制度的相关规定;

c.熟悉审核过程和程序;

d.熟悉信息安全管理术语、原则、实践和技巧(包括:ISMS特定文件结构、层次和相互关系;信息安全风险评估和风险管理;ISMS适用的过程);与信息安全相关的法律法规要求

e.具备与相关业务领域实践有关的通用术语和风险的知识;

f.具备相关产品、过程、组织类型、规模、治理、结构、职能和关系的知识;

g.特殊行业/高风险行业认证业务范围的认证决定人员宜具备不低于该业务范围专业审核员的要求;一般行业/中低风险行业认证业务范围的认证决定人员宜具备专业大类中的某一专业小类相关审核员的能力要求;

h.认证评定亦可由级别审核员与该专业的技术专家一同做出认证决定;

i.如报告检查/认证决定人员同时为审核员时,对其审核员资格的评价可替代其认证管理人员的能力评价。

4. 1. 8. 4负责实施专业能力评价的人员评价准则:

a.具有相应专业技术领域的基本理论知识;

b.熟悉机构专业能力评价准则、证实方法;

c.具有一定的分析、判断能力;

d.熟悉国民经济专业分类和机构各体系技术领域分类分组和管理要求的内容;

e.如专业能力评价人员同时为审核员时,对其审核员资格的评价可替代其认证管理 人员的能力评价。

4. 1. 8. 5审核人员、技术专家能力评价准则:

a. 教育:具备大学本科以上学历并取得相应的学位证书;

b. 工作经历:具备信息安全和信息技术方面实际工作经历;

c. 审核员培训:已接受有关ISMS审核的充分培训;

d. 审核经历:参加总天数至少10ISMS审核,至少一次ISMS初始认证审核(第1阶段和第2阶段)或重新认证和至少一次监督审核,且应在过去五年内完成,其中包括评审文件与风险评估,评估实施情况和报告审核情况

e. 能够广泛、透彻地认识复杂的运作,并理解在较大的客户组织中各单元的职能;

f. 通过持续的专业发展,保持最新的信息安全和审核的知识与技能。

g. 能力要求:

1、总体要求:a.具备信息安全的知识、b.与受审核的活动相关的技术知识、c.管理体系的知识、d.审核原则的知识、e.ISMS监视/测量/分析和评价的知识等;

除了b)可以在作为审核组成员的审核员之间共享外,以上a)-e)适用于作为审核 组成员的所有审核员。

审计团队成员应具备与上述要求相适应的技能,这些技能可通过其应用经验得到证明。

审核组应有能力将客户ISMS中信息安全事件的现象追溯到ISMS的相应要素;

审核组应有关于上述项目的适当工作经历且实际应用过这些项目(这不意味着一个 审核员需要具有信息安全所有领域的全面的经验,但审核组整体上应对被审核的领域具 备足够的认识和经验)。

2、信息安全管理术语、原则、实践和技术:审核组所有成员作为一个整体,应具备

①ISMS特定文件的结构、层级和相互关系;②信息安全管理相关的工具、方法、技术及其应用;③信息安全风险评估和风险管理;④ISMS适用的过程;⑤当前可能与信息安全相关的或可能面临信息安全问题的技术。每个审核员应满足①、③和④。审核团队成员共同满足②⑤。

3、掌握信息安全管理体系标准和规范性文件的要求:参与ISMS审核的审核员应掌握ISO/IEC 27001的所有要求;审核组所有成员作为一个整体,应具有ISO/IEC 27001:2022附录A中包含的所有控制及其实施的知识。

注:ISO/IEC 27001:2022附录A的控制类别有:组织控制、人员控制、物理控制、技术控制。

4、掌握业务管理实践的知识:参与ISMS审核的审核员,应具有行业的信息安全最佳实践和信息安全规程、信息安全的策略和业务要求、通用业务管理的概念、实践,以及方针、目标和结果之间的关系、管理过程和相关的术语等相关的知识。

5、掌握客户的业务领域的知识:参与ISMS审核的审核员,应具有特定的信息安全领域、地域和管辖范围的法律法规要求、与业务领域相关的信息安全风险、与客户业务领域相关的通用术语、过程和技术、相关业务领域的实践的相关知识。

6、掌握客户的产品、过程和组织相关的知识:审核组所有成员作为一个整体,应具有组织类型、规模、治理、结构、职能和关系,对开发和实施ISMS和认证活动的影响,包括外包;广义上的复杂运营;适用于产品或服务的法律法规要求等方面的知识。

技术专家的专业能力要求与审核员的专业能力要求一致。提供技术培训的,应有充分证据证明技术培训的有效性。

4.1.9 审核组长的能力评价准则:

4.1.8.5中的相关要求外,审核组长应满足以下要求:

a)具备管理认证审核过程和审核组的知识和技能;

b)具备有效的口头和书面沟通能力。

c)已经积极参与过3次ISMS审核的所有阶段(all stages)。参与审核时,应包括初次的范围识别与策划、评审文件与风险评估、评估实施情况和正式地报告审核情况。

4.2认证人员能力的保持与发展

4.2.1持续专业发展方式

审核员和其他认证人员可以通过华凯提供持续专业发展机会以及自学等方式获得专业持续发展:

4. 2. 1. 1获取工作经验;

4. 2. 1. 2辅导;

4. 2. 1. 3交流和研讨。

4. 2. 2持续专业培训包括但不仅限于以下内容:

4. 2. 2. 1技术领域能力准则的最新要求;

4. 2. 2. 2华凯关于ISMS审核和认证的最新要求;

4. 2. 2. 3通过能力评价发现,审核员或其他认证人员的实际能力不能完全满足能力准则 的要求,应对不满足的部分予以培训。

4. 2. 3在组织交流和研讨时,华凯将考虑以下因素,以确保交流和研讨活动的有效性:

4. 2. 3. 1 华凯审核和认证活动的范围、规模和绩效;

4. 2. 3. 2在必要时将交流和研讨的成果汇总,制定或修订相关文件,如: 技术领域能力分析报告、能力评价准则、审核和认证的程序、审核作业指导文件等。

4.2.4 ISO/ IEC 27001:2022 换版的能力要求

4.2.4.1 各类认证职能人员(合同评审人员、审核方案管理人员、认证决定/报告复核人员、认证规则和方案制定人员、能力评价人员)应熟悉和理解ISO/IEC 27001:2022标准及ISO/IEC 27002:2022标准的变化。

4.2.4.2 除4.2.4.1外,审核组整体应具有ISO/IEC 27002:2022所有控制及其实施方面的知识。

5认证前的活动

5. 1询问和申请

5. 1. 1 应向申请认证的组织提供公开文件,公开文件的内容应包括以下信息:认证范 围、认证工作程序、认证依据、证书有效期、认证收费标准等。同时应告知申请组织:只有当其已按相应标准建立了管理体系并正常运行三个月以上、至少完成一次内审、管理评审后,HIC方可安排现场审核。

5. 1. 2 申请组织的授权代表签署《认证申请书》,并至少提供以下必要的申请信息:

(1)申请认证的组织名称、注册地址、经营地址、通讯地址及邮编、联系人、职务、联系方式;

(2)认证类型;

(3)认证依据;

(4)体系覆盖的人数;

(5)根据业务、组织、位置、资产和技术等方面的特性所确定的ISMS的范围和边界,包括对任何范围、删减的详细说明和正当性理由;

(6)经营场所、分场所、临时场所以及各场所从事的活动等;

(7)服务器数量、终端数量、用户的数量;

(8)适用性声明、资产列表;

(9)保密协议、信息安全敏感区域的声明;

(10)提供咨询服务机构和人员信息;

(11) 申请组织对HIC的资质、诚信守法记录或认证人员身份背影的要求以及适用的、最新的与保守国家秘密或维护国家安全有的法律法规要求,以便HIC判断是否具备为申请组织实施认证活动的资格或条件;

(12)关于认证活动的限制条件(如出于安全和/或保密等原因,存在时)。

5. 1. 3申请组织还提供以下资料:

(1)法人资格证明(工商营业执照、事业单位法人证书或社会团体法人登记证书);

(2)取得相关法规规定的行政许可文件(适用时);

(3)满足工信部联(2010)394号文《关于加强信息安全管理体系安全管理的通知》以及有关主管部门/监管部门对信息安全管理体系认证的管理要求的证据;

(4)手册及相关体系文件;如涉及ISO/IEC 27001:2022标准的换版时,应提交按ISO/IEC 27001:2022标准要求运行三个月后的体系文件及更新后的适用性声明(SOA)。

(5)支持ISMS的规程和控制措施、风险评估方法的描述、风险评估报告、风险处置计划、组织为确保其信息安全过程的有效规范/运行和控制以及描述如何测量控制措施的有效性的文件。

5. 2申请评审

5. 2. 1 合同评审人员按照《认证审核管理程序》的规定进行评审以确保:

(1)识别申请组织的行业类别和与之相应的信息安全管理过程的特性和服务要求;

(2)掌握国家对相应行业的信息安全管理体系认证的管理要求;

(3)组织根据业务、组织、位置、资产和技术等方面的特性,确定ISMS的范围和边界, 包括对任何范围不适用的详细说明和正当性理由;

(4)确定申请组织的ISMS满足ISO/IEC 27001的要求以及申请组织的方针与目标;

Note:组织可以设计其必要的控制措施,也可以从任何来源选择控制措施,因此即使组织的必要控制措施不是ISO/IEC 27001:2022附录A中规定的控制措施,该组织也可以获得ISO/IEC 27001认证。

(5)申请组织ISMS范围不允许HIC接触的信息资产已明确告知了HIC;或者已将HIC接触这些信息资产应满足的法律要求、相关方要求及申请组织的要求等明确告知HIC

(6)申请组织因包含保密性或敏感性信息而导致不能提供给审核组核查的 ISMS 相关信息(例如ISMS记录或关于控制的设计与有效性的信息),并确保ISMS是否能在缺少这些信息的情况下得到充分审核。如果结论是若不核查已识别的保密性或敏感性信息就不能对 ISMS 进行充分的审核,则应告知客户只有在适当的访问安排获得许可后才能进行认证审核。

(7)认证要求已有明确说明并形成文件,且已提供给申请组织;

(8)解决了HIC与申请组织之间任何已知的理解差异;

(9)已根据特定的申请组织的具体情况分析对其实施审核和认证所需的能力,HIC有能力实施认证活动;

(10)保持了决定实施审核的理由的记录。

5.2.2认证证书转换

带认可标志的信息安全管理体系认证证书可进行转换,转换程序依据《认证证书转换

管理程序》中关于认证证书转换的相关规定执行。

5. 2. 3对申请不通过的合同,由市场代表与合同递交部门或申请方联系,洽谈澄清有关事实,取得一致意见后再次评审。如因其他原因构成不能受理的,则向申请方说明情况,发出《不予受理通知书》,按申请方要求退回有关资料。拒绝申请的原因应记录并使客户清楚。

5. 2. 4 合同的签订和管理程序参照《认证审核管理程序》中的相关规定。

5. 3审核方案的策划

5. 3. 1审核方案策划人员应根据申请评审的结果,按照《审核方案策划管理办法》的过程要求进行审核方案策划,并将审核方案策划结果传递到审核组,由审核组在现场确认,必要时根据审核组在现场确认的结果调整审核方案。

5. 3. 2根据申请评审时已识别的特定的申请组织的具体情况分析对其实施审核和认证所需的能力,委派具备相应能力的审核组实施审核。当了解到特定的获证组织的ISMS已发生变化时(特别是在监督审核、再认证审核方案策划时),审核方案管理人员应对原有的能力分析进行审查,必要时进行更新,并按更新后的能力需求委派具备相应能力的审核组实施审核,确保审核的有效性。

5. 3. 3 HIC应要求客户组织为调阅内部审核报告和信息安全独立评审报告做出所有必要的安排。在认证审核的一阶段,客户应至少提供以下信息:

a)ISMS 和其所覆盖活动的一般信息;

b)ISO/IEC 27001 所规定的、必要的 ISMS 文件的副本,及必要的相关文件。

如果组织ISMS没有至少实施过一次覆盖认证范围的管理评审和内部审核,HIC不应对该ISMS实施认证。

5.3.4 ISMS认证范围

审核组应根据所有适用的认证要求,对包含在确定范围内的客户 ISMS 进行审核,并确认其 ISMS 范围内满足了 ISO/IEC 27001 中 4.3 的要求。

HIC应确保:客户的信息安全风险评估和风险处置准确地体现了认证范围所界定的活动并扩展到活动的边界, 并在客户的 ISMS 范围和适用性声明中得到了体现。HIC应验证每个认证范围至少有一个适用性声明。

HIC应确保:与不完全包含在 ISMS 范围内的服务或活动的接口,已在寻求认证的 ISMS 中得到说明,并已包括在客户的信息安全风险评估中。与其他机构共享设施(如:IT 系统、数据库和通讯系统或外包一项业务职能),是这类情形的一个示例。

5.3.5 远程审核的实施

HIC对客户使用远程审核的相关风险分析,应考虑以下因素:

a) HIC和客户现有的基础设施;

b) 客户从事的行业;

c) 认证周期内从初次审核到再认证审核期间的审核类型;

d) HIC和客户参与远程审核的人员的能力;

e)以往客户实施远程审核的结果;

f)认证范围

在进行任何远程审核之前,应进行分析。应在认证周期内记录分析和使用远程审核的理由。

审核计划及审核报告应明确说明是否进行了远程审核活动

如果风险评估确定对审核过程的有效性存在不可接受的风险,则不得使用远程审核。

应在认证周期内对风险评定进行评审,以确保其持续适用性。

注:如果客户使用虚拟站点(即组织在允许相关人员执行流程而不考虑物理位置的在线环境中进行工作或提供服务的地点),远程审核技术是审核计划的相关部分。

5. 4 确定审核时间

5.4.1 HIC应给予审核员足够的时间来开展与初次审核、监督审核或再认证审核相关的所有活动。总审核时间的计算包括报告审核情况所需的充足时间。确定审核时间参照附录C

5.4.2审核时间的策划按要求策划每个申请ISMS认证的组织的初次审核(含一、二阶段)、监督审核及再认证审核所需的审核时间。初次认证审核分为第一阶段和第二阶段。确定受审核组织的审核时间时,应考虑组织的 ISMS范围所涉及的服务活动种类、组织规模及业务的复杂程度等因素对核定审核活动所需的审核时间的影响。安排审核时间应考虑一下因素:

a)ISMS范围的规模(例如,所使用的信息系统的数量和雇员的数量);

b)ISMS的复杂程度(例如,信息系统的关键程度和ISMS的风险状况);

c)在 ISMS范围内开展的业务类型;

d)在 ISMS各部分的实施过程中,所应用的技术的水平和多样性[例如,已实施的控制措施、文件和(或)过程控制,以及纠正和(或)预防措施等];

e)场所的数量;

f)经证实的以往ISMS绩效;

g)在 ISMS范围内,所使用的外包和第三方安排的程度;

h)适用于认证的标准和法规。

5.4.3应考虑受审核组织是否有不允许HIC接触的包含保密性/敏感性的信息资产或 HIC接触该类信息资产时应满足的特殊要求。同时应对客户不允许或者限制解除的信息资产对审核的影响进行评估并采取相应的措施。

5.4.4基准审核时间C. 1为初次审核时间,包括第一、第二阶段审核时间的总和。每个组织所需的时间取决于组织规模、复杂程度、审核范围等诸多因素。

5.4.5初次审核在基准审核时间( C. 1)的基础上,对申请组织提供的申请材料,考虑增减因素后确定适宜的初次审核时间。ISMS第一阶段审核应安排在受审核组织的现场进行,审核时间不宜少于0. 5个审核人日,当客户组织由于信息安全的原因在申请评审阶段不能提供足够的信息时,应增加第一阶段现场审核时间。

5.4.6 监督审核及再认证审核时间

审核时间如果没有重大变化影响到审核时间调整,对获证组织的监督审核的时间安排宜与初次认证审核审核时间成比例,每年用于监督审核的时间总量应不低于初次认证审核审核总时间的三分之一,再认证审核的时间总量应不低于初次认证审核审核总时间的三分之二HIC将适时地核查其监督审核及再认证审核时间策划的合理性,确认监督审核方案策划及再认证审核策划是否考虑客户组织的变更及ISMS的成熟度等因素的影响,必要时对监督审核审核或再认证审核时间予以调整以确保审核的结果足以证实获证组织ISMS的适宜性、充分性和有效性。

5.4.7 ISO/IEC 27001:2022 标准转换审核时间

当再认证进行转换时,在规定的审核人日基础上转换可依据组织的规模/复杂程度/受法规管制的程度/过程风险等因素增加不低于0.5人日的审核时间,以确保ISO/IEC 27001:2022标准转换审核的有效性。对于结合监督或单独开展转换审核的,根据组织的自身具体情况为转换审核确定充分的审核时间,以确保组织满足ISO/IEC 27001:2022标准的全部要求,所确定的转换审核时间不应少于1人天。

5. 5 审核关注点的策划

(1)内审、管理评审和预防措施、纠正措施的实施情况;

(2)针对上次评审的不符合所采取的措施的有效性;

(3)根据ISMS标准及认证其他文件要求,与外部各方的沟通情况;

(4)文件化管理体系的变更及涉及变更的区域;

(5)针对获证组织与信息安全有关的资产威胁、脆弱性和影响的评估、控制措施的选择及对控制措施有效性的监视测量。

5. 6监督审核频次在满足认可要求的基础上,根据获证组织信息安全管理体系覆盖的业务活动的特点以及所承担的风险,合理设计和确定监督审核的时间间隔和频次。当获证组织信息安全管理体系发生重大变更,或发生重大问题、服务质量事故、客户投诉等情况时,应视情况可增加监督的频次。监督审核的最长时间间隔不超过12个月。由于获证组织业务运作的时间(季节)特点及其内部审核安排等原因,可以合理选取和安排监督周期及时机,监督审核必须覆盖信息安全管理体系认证范围内的所有业务活动。

5.7如果在监督或再认证审核中, 发现不符合存在,该不符合在认证机构同意的时间内应得到有效的纠正。如果纠正没有在同意的时间内完成,认证范围应被缩小,或者暂停或撤销认证证书。允许采取纠正措施的时间应与不符合的严重程度和风险相适宜,以确保客户组织的产品或服务满足规定要求。

5.8选择和指派审核组  

审核方案管理人员应根据实现审核目标所需的能力来选择和任命审核组(包括审核组长),应确保他们是经过HIC的审核能力和专业能力评定、有能力完成本次审核任务的人员。如果仅有一名审核员,该审核员应有能力履行适用于该审核的审核组长职责。决定审核组的规模和组成时,应考虑下列因素:审核组必须拥有审核范围内的所有技术领域(附录A)对应的能力。应有能审核受审核组织认证范围的专业审核员,否则应在技术专家支持下实施审核。审核组长和审核员所需的知识和技能可以通过技术专家和翻译人员补充,技术专家和翻译人员应在审核员的指导下工作。使用翻译人员时,要避免其对审核产生不正当影响。每次审核(包括一阶段和二阶段审核)的审核组均应具备专业能力。  

5.9 多场所抽样

5.9.1 抽样的条件

当客户组织拥有满足以下条件的多个场所时,适用CNAS-CC11,基于抽样的方法进行多场所抽样审核:

a) 所有的场所在同一ISMS下运行,并接受统一的管理、内部审核和管理评审;

b) 所有的场所都包含在客户组织的 ISMS内部审核方案中;

c) 所有的场所都包含在客户组织的 ISMS管理评审方案中。

5.9.2 抽样的考虑

a)申请评审管理人员在使用基于抽样的方法时,应确保抽样审核的结果应可以满足证明其ISMS的适宜性、充分性和有效性,如果抽样无法满足以下要求时应进行相应的调整;

b)在初次的合同评审中,最大程度地识别场所之间的差异,以便确定适宜的抽样水平并结合以下因素抽取具有代表性的场所,以体现抽样样本的代表性和随机性:

1)总部及其他场所的内部审核的结果;

2)管理评审的结果;

3)场所规模的异同;

4)场所业务目的的异同;

5)ISMS的复杂程度;

6)不同场所的信息系统的复杂程度;

7)工作惯例的异同;

8)所实施的活动的异同;

9)与关键的信息系统或处理敏感信息的信息系统之间的潜在相互作用;

10)任何不同的法律要求。

c)从客户组织的 ISMS范围内所有场所中选择具有代表性的样本,这种选择应基于判 断以反映上述 b)中所列因素,同时也考虑随机因素;

d)在授予认证之前,认证机构审核 ISMS中每个有重大信息安全风险的场所;

e)根据上述要求,设计审核方案,并在三年的时间内覆盖ISMS认证范围内的代表性 样本;

f)无论是在总部还是在某单一场所发现不符合,纠正措施规程的实施适用于包括在认证范围内的总部和所有场所。

5.9.3 抽样量在多场所抽样时,初次认证审核抽样样本量通常不低于同种类样本总量的平方根;监督审核抽样样本量通常不低于同种类样本总量平方根的0. 6倍,再认证审核抽样样本量通常不低于同种类样本总量平方根的0. 8倍。

5.10 多管理体系标准

5.10.1 ISMS文件与其他管理体系文件的整合

只要能够清楚地识别ISMS以及ISMS与其他管理体系的适当接口,HIC可以接受多个管理体系文件相结合的文件(例如,对信息安全、质量、环境和健康与安全)。

5.10.2 管理体系结合审核

只要能够证实审核满足了ISMS认证的所有要求,ISMS审核可以和其他管理体系审核相结合。在审核报告中,所有对ISMS重要的要素应清晰地体现并易于识别。审核的质量不应因结合审核而受到负面影响。

6 策划审核

6.1 审核目的

审核目的应包括确定管理体系的有效性,以确保客户已根据风险评估实施了适用的控制并实现了所设立的信息安全目标。

6.2 审核计划

应符合ISO/IEC 17021-1:2015中9.2.3的要求,同时应符合6.2.1和6.2.2的要求和指南。

6.2.1 ISMS 审核计划应考虑所确定的信息安全控制措施。

6.2.2网络支持审核技术

如适宜,审核计划应识别在审核中使用的网络支持的审核技术。

注:网络支持的审核技术可包括:例如,电话会议、网络会议、基于网络的交互式通信和远程电子访问ISMS文件和(或)ISMS过程。对这些技术的关注,将提高审核的有效性和效率,并支持审核过程的完整性。

7 初次认证审核

通用要求执行《认证审核管理程序》的要求。

7.1一阶段审核

7.1.1在该审核阶段,审核员应获取有关ISMS设计的文件,其中包括ISO/IEC 27001所要求的文件

至少在一阶段审核过程中,组织应提供以下信息:

a)有关ISMS及其所涵盖活动的一般信息;

b)ISO/IEC 27001中规定的所需ISMS文件的副本,以及在需要时的其他相关文件。

7.1.2审核员应充分了解在组织环境下所进行的ISMS设计、风险评估和处置(包括所确定的控制)、信息安全方针和目标,以及特别是客户的审核准备情况。在此基础上,才能进行第二阶段的策划。

7.1.3 第一阶段的结果应形成书面报告。在决定进行第二阶段之前,技委会应审查第一阶段的审核报告,以便为第二阶段选择具有所需能力的审核组成员;如果认为胜任和合适,可由领导第一阶段审核的审核员完成

7.1.4 审核组应让客户知晓第二阶段可以要求对更进一步的信息和记录做详细检查。

7.2二阶段审核

基于第一阶段审核报告中的审核发现,审核组长制定实施第二阶段的审核计划。除了评价ISMS的有效实施之外,第二阶段的目的是:确认客户遵守自身的方针、策略和规程

7.2.1二阶段审核应重点关注申请组织的下列方面:

(1)最高管理者的领导力和对信息安全方针与信息安全目标的承诺;

(2)评估与信息安全有关的风险,以及评估可产生一致的、有效的、在重复评估时可比较的结果

(3)基于风险评估和风险处置过程,确定控制目标和控制

(4)信息安全绩效和ISMS有效性,以及根据信息安全目标对其进行评审;

(5) 所确定的控制、适用性声明、风险评估与风险处置过程的结果、信息安全方针与目标,它们相互之间的一致性;

(6) 控制的实施,考虑了外部环境、内部环境与相关的风险,以及组织对信息安全过程和控制的监视、测量与分析,以确定控制是否得以实施、有效并达到其所规定的目标;

(7) 方案、过程、规程、记录、内部审核和对 ISMS有效性的评审,以确保其可被追溯至管理决定和ISMS方针与目标;

8 实施审核

通用要求执行《认证审核管理程序》的要求。

8.1 ISMS 审核的特定要素

审核组应要求客户证实对信息安全相关风险的评估与ISMS范围内的ISMS运行是相关的和充分的。并确定客户识别、检查和评价信息安全相关风险的规程及其实施结果是否与方针、目标和指标一致。

审核组还应确定用于风险评估的规程是否健全并得到正确实施。

8.2 ISMS 审核报告

8.2.1 审核报告应提供以下信息或对这些信息的引用:

a)对客户信息安全风险分析进行认证审核的说明;

b)组织为符合ISO/IEC 27001:2022,6.1.3 c)的要求而使用的任何信息安全控制措施

8.2.2 审核报告应足够详细,以帮助和支持认证决定。审核报告应包括:

a)所采用的主要审核路线和所使用的审核方法;

b)所引用的适用性声明的版本,以及适用时,与客户以往认证审核结果的任何有用的对照。

8.2.3完成的问卷、检查清单、观察结果、日志或审核员笔记可以构成完整的审核报告的一部分。如果使用这些方法,这些文件应作为支持认证决定的证据提供给认证机构。在审核过程中,有关被评价的样本的信息应包含在审核报告或其他认证资料中。

8.2.4如果使用了远程审核方法,报告应说明这些方法在实施审核过程中的使用程度及其在实现审核目标方面的有效性。如果组织的活动不是在指定的物理位置进行的,组织的所有活动都是远程进行的,审核报告应说明组织的所有行动都是远程执行的。

8.2.5 报告应考虑客户所采用的内部组织和程序的充分性,以便对其ISMS建立信心

8.2.6 报告应包括关于 ISMS 要求和信息安全控制的实施与有效性的、最重要的观察(正面的和负面的)的摘要。

9 认证决定

9.1 认证决定工作执行《认证决定管理程序》的要求,应基于审核报告中审核组对客户ISMS是否通过认证的建议。

9.2 当了解到特定的获证组织的ISMS已发生变化时(特别是在监督审核、再认证审核方案策划时),并已对原有的能力分析评价后进行更新,应按更新后的能力需求委派具备相应能力的认证决定人员完成认证评定,确保认证决定的有效性。

9.3 关注信息安全有关的资产、威胁、脆弱性的识别情况、信息安全风险评估、风险 处置及其相应的控制措施的有效性。

9.4 通常情况下,对授予认证做出决定的人员或委员会不宜推翻审核组的负面建议。如 果发生这种情况,技委会应记录其作出推翻建议的决定的依据,并说明其合理性。

9.5 只有具备充分的证据证实管理评审和 ISMS 内部审核的安排已经实施,且是有效的并将得到保持,才可向客户授予认证。

9.6 认证决定应基于审核组在其审核报告中提供的认证建议。

10 保持认证

10.1 监督活动

监督审核通用要求执行《认证审核管理程序》的要求。

   10.1.1 监督审核程序,应与本文件中有关客户ISMS的认证审核的要求和指南保持一致。

   监督的目的是验证已被认证的ISMS得到持续实施、考虑客户运作变化所引起的管理 体系变化的影响并确认与认证要求的持续符合。监督审核方案应至少包括:

a)管理体系的保持要素,如信息安全风险评估与控制的维护、ISMS内部审核、管

理评审和纠正措施;

b)根据ISMS标准ISO/IEC 27001和认证所需的其他文件的要求,与来自外部各方

沟通;

10.1. 2 每次监督审核应至少审查以下方面:

(1)ISMS 在实现客户信息安全方针的目标方面的有效性;

(2)对与相关信息安全法律法规的符合性进行定期评价与评审的规程的运行情况;

(3)所确定的控制的变更,及其引起的SoA的变更;

(4)控制的实施和有效性(根据审核方案来审查)

10.1.3 应能够针对与信息安全问题相关的风险及其对客户的影响来调整监督方案,并说明监督方案的合理性。

10.1.4 监督审核可以与其他管理体系的审核相结合。报告应清晰地指出与每个管理体系相关的方面。

10.1.5 在监督审核过程中,审核组应检查客户提交给HIC的申诉和投诉记录,并且在发现任何不符合或不满足认证要求时,还应检查客户是否对其自身的ISMS和规程进行了调查并采取了适当的纠正措施。

10.1.6监督报告应包括有关消除以往出现的不符合、SoA版本和从上次审核之后发生的重大变更的信息。监督审核报告应至少完全覆盖本文件的10.1.1和10.1.2 的要求。

10.2 再认证

10.2.1 再认证审核通用要求执行《认证审核管理程序》的要求,其审核程序与本文件有关ISMS的初次认证审核的要求和指南保持一致

10.2.2允许采取纠正措施的时间,应与不符合的严重程度和相关的信息安全风险相一致。

10.3 特殊审核

特殊审核,包括扩大认证范围的审核、提前较短时间通知的审核(含投诉调查、认证范围变更、暂停恢复等)执行《授予、保持、更新、扩大、缩小、暂停和撤销认证的管理程序》的规定。

10.4 暂停、撤销或缩小认证范围

对获证组织注册资格保持、暂停、撤销或缩小认证范围的管理执行《授予、保持、更新、扩大、缩小、暂停和撤销认证的管理程序》的要求。另外,如果发现受审核组织不允许接触信息资产或无法满足受审核组织关于基础信息资产的相关要求时,HIC在评估其对审核和认证的影响后可缩小认证范围或暂停或撤销注册资格。

10.5 ISO/IEC 27001:2022 标准换版审核

审核内容应包括,但不限于:

1)ISO/IEC 27001:2022的差距分析,以及客户ISMS的变更需求;

2)符合性声明(SOA)的更新;

3)适用时,风险处置计划的更新;

4)客户所选的、新的或变化的信息安全控制的实施情况及其有效性。

11 ISMS认证文件

11.1 认证文件应由负责此项职责的人员签署。认证文件应包括适用性声明的版本。

注:如果适用性声明的变更没有改变认证范围中控制措施的覆盖范围,则不要求更新认证证书。

11.2 当组织不是在明确的物理位置实施其认证范围内的任何活动时,认证文件应说明组织的所有活动是远程实施的。

11.3 ISMS认证文件中引用的其他标准

满足以下条件时,认证文件中可引用国家标准和国际标准:

a)组织按照 ISO/IEC 27001:2022 6.1.3 c)的要求,将其所有的必要控制和参考控制源中的控制进行比较,以确定没有发生无意中遗漏必要控制的情况;

b)组织按照 IS0/TEC 27001:2022 6.1.3 d)的要求,在适用性声明(SoA)中给出删减参考控制的合理性说明。

参考控制标准是基于ISO/IEC 27001:2022的附录A,或包含信息安全控制的标准。

认证文件应说明适用性声明控制集仅用于提及在ISMS中选择和减控制的相关性,用于合格评定

 

6引用文件References

1)CNAS-CC01:2015《管理体系认证机构要求》idt ISO/IEC 17021-1:2015)

2)CNAS-CC170:2024《信息安全管理体系认证机构要求》idt ISO/IEC 27006-1:2024

3)CNAS-SC170:2024《信息安全管理体系认证机构认可方案》

4)HIC-QC/UD-08 《能力分析评价系统管理程序》

5)HIC-QC/UD-09 《通用认证审核管理程序》

6)HIC-QC/WI-01《审核方案策划管理办法》

7)HIC-QC/UD-17《认证证书转换管理程序》

8)HIC-QC/UD-11《授予、保持、更新、扩大、缩小、暂停和撤销认证的管理程序》

9)HIC-QC/UD-14《认证决定管理程序》

10)HIC-QC/OD-06《认证证书、认证标志、审核报告使用及证书状态声明规则》

 

7记录表单

1)HIC-114《认证人员登记表》

2)HIC-133《审核经历汇总表》

3)HIC-122《管理体系认证人员面试报告》

4)HIC-127《认证人员专业能力评价表》

5)HIC-115《审核员认证管理人员专业能力测试表》

6)HIC-136《CCAA注册管理体系审核员见证评审报告》

 

附录A   ISMS认证业务范围分类与分

大类

中类

级别

描述

备注

01

政务

01. 01

国家机构

包括人大、政府、法院、检察院等,不含税务机关和海关

01. 02

税务机关

 

01. 03

海关

 

01. 04

其他

例如政党,政协,社会团体等

02

公共

02. 01

通信、广播电视

 

02. 02

新闻出版

包括互联网内容的提供

02. 03

科研

涉及特别重大项目的应提升为一级

02. 04

社会保障

例如社会保险基金管理、慈善团体等。包括医疗保险

02. 05

医疗服务

 

02. 06

教育

 

02. 07

其他

例如市政公用事业(水的生产和供应、污水处理、燃气生产和供应、热力生产和供应、城市水陆交通设施的维护管理等)

03

商务

03. 01

金融

例如银行、证券、期货、保险、资产管理等

03. 02

电子商务

以在线交易为主要特点,含网络游戏

03. 03

物流

包括邮政

03. 04

咨询中介

例如法律、会计、审计、公证等

03. 05

旅游、宾馆、饭店

 

03. 06

其他

 

04

产品的生产

04. 01

电力

包括发电和输、变、配电等

04. 02

铁路

 

04. 03

民航

 

04. 04

化工

 

04. 05

航空航天

 

04. 06

水利

 

04. 07

交通运输

包括公路、水路、城市公共客运交通等,不含航空和铁路

04. 08

信息与通信技术

例如软、硬件生产及其服务,系统集成及其服务,数字版权保护等

04. 09

冶金

 

04. 10

采矿

含石油、天然气开采

04. 11

食品、药品、烟草

 

04. 12

农、林、牧、副

、渔业

 

04. 13

其他

 

 

 

 

附录B

B.1 概 述

下表明确了与信息安全管理体系认证活动有关的人员的知识和技能的摘要

知识和技能

认证职能

实施申请评审(实施申请评审以确定所需的审核组能力、选择审核组成员并确定审核时间)

复核审核报告并作出认证决定

审核及领导审核组

信息安全管理术语、原则、实践和技术

 

X

X

信息安全管理体系标准/规范性文件

 

 

X

业务管理实践

 

 

X

客户的业务领域

X

X

X

客户的产品、过程和组织

X

X

X

审核原则、实务和技巧的知识

 

X

X

认证机构过程的知识

X

X

X

与客户组织中的各个层级相适应的语言技能

 

 

X

作记录和撰写报告的技能

 

 

X

表达技能

 

 

X

面谈技能

 

 

X

审核管理技能

 

 

X

 

B.2 对能力的其他考虑

B.2.1 通用能力考虑

有很多途径可以证实审核员的知识和经验,例如,通过使用获得承认的资格来评价知识和经验。人员认证方案中的注册记录也可以用来评价所需的知识和经验。宜确定审核组所需的能力水平,并使其与组织的行业/技术领域和 ISMS 的复杂性相符。

B.2.2 对特定能力的考虑

B.2.2.1 与ISMS相关的典型知识

审核员宜具备并理解下列审核和 ISMS方面的知识:

审核方案和策划;审核类型和方法;审核风险;信息安全过程分析;持续改进;信息安全内部审核。

审核员宜具备并理解下列法规要求方面的知识:

知识产权;组织记录的内容、保护和保存;数据保护与隐私;密码控制;电子商务;电子签名与数字签名;工作场所监督;通讯侦听与数据监视(例如,电子邮件);计算机滥用;电子证据收集;渗透测试;国际的和国家的行业特定要求(例如,银行业)。

 

   

 

 

附录 C审核时间

 

本附录为确定ISMS审核时间的程序提供了最低要求和指南。

策划人员应针对每一个客户及其被认证的 ISMS,识别初次认证、监督审核和再认证审核所需花费的审核时间。在审核策划阶段,使用本附录可以确保使用一致的方法来确定适当的审核时间。此外,可以根据审核过程(尤其是第一阶段)的发现(如:ISMS 范围的复杂度的不同评价结果,或范围中增加的场所)来调整审核时间。

本附录阐述了:

用于审核时间计算的概念C.2)  

确定不同审核阶段所需时间的程序的要求C.3-5);

与多场所审核相关的要求(C.6);

扩大范围的审核时间的要求(C.7)。

附录 D 给出了审核时间计算的示例,对附录的应用做出了说明

本附录的方法的基本假设是,确定审核时间的计算方案宜:

a)仅考虑那些能够被确定和证实的属性;

b)足够简便,以得到认证机构的应用并获得有效的、可比较的和可重复的结果;

c)足够复杂,以确保数值变化导致的审核时间变化具有可比性

审核的确定,是基于下面表 C.1(“审核时间表”)所提供的数值,并应考虑调整的促成因素。

HIC应定期审查审核时间确定方法,以验证其是否足以应对ISMS的复杂性。

C2概念

C2. 1在组织控制下工作的人员数量

在组织控制下工作的、所有班次的人员的总数,是确定审核时间的起点。

注:在组织控制下工作的人员包括认证范围内要求按照ISMS要求工作的所有人员(无论其是否为组织成员)

在组织控制下工作的兼职人员,按照其工作小时数与在组织控制下工作的全职雇员的工作小时数的比例,计入在组织控制下工作的人员的数量。具体比例的确定,取决与兼职人员工作小时数与一名全职雇员工作小时数的比较。

组织控制下工作的人员中有很大比例从事某些相同的活动时,允许在使用表 C.1 计算审核时间之前减少人员数量的情形;HIC应根据C3.3给出的因素,并考虑活动对信息安全风险的影响,确定在认证范围内如何减少人数的方法。

C2. 2审核人天

C.1 中所引用的“审核时间”,是根据神审核人员花费在审核工作上的天数来阐述的。本附件的计算基础是 8 小时的工作日。

C2.3 临时场所

临时场所是认证文件所注明的场所之外的位置,其活动在认证范围内并在规定的时间周期内实施。此类场所范围可从大项目管理场所到较小的服务或安装场所。在确定对这些场所的访问需求及其抽样范围时,宜基于在临时场所发生的不符合而导致没能满足信息安全目标的风险的评价。所选择的场所样本宜考虑活动的规模与类型和项目进展的不同阶段,并体现组织的能力需求和服务差异的范围。对于一般的抽样,见本文件的5.5

C3确定初次认证审核时间

C3. 1远程审核方法

如果使用了远程审核技术(例如:基于网络的交互式协作、网络会议、电话会议和/或电子验证组织的过程)与客户组织接触,这些活动宜在审核计划中加以识别,可以考虑将其作为现场审核时间的一部分。

注:现场审核时间是指分配给单个场所的现场审核时间。对远程场所的电子审核被视为远程审核,即使电子审核是在组织的物理场所进行。

C3. 2 审核时间的计算

C. 1 给出了初次审核天数平均值的起点(在此处及后面的内容中,这个数值包括一次初次审核(第一阶段和第二阶段)的天数)。经验表明,对于一个覆盖了给定数量的、在组织控制下工作的人员的 ISMS 范围来说,这一数值是适当的。经验还表明,对于相似规模的 ISMS 范围,有些需要多的审核时间,有些需要少的审核时间。

C. 1 提供了审核策划应使用的框架。该表基于在组织控制下工作的、所有班次的人员的总数来识别审核时间的起点,然后根据适用于所审核的 ISMS 范围的重要因素来调整它,并对每一个因素赋予增、减权重以修正基数。使用表 C. 1 时应考虑促成因素和最大偏移的限制。

C3.3 初始人数确定

HIC应向客户索取与执行某些相同活动的人员数量多有关的信息,包括:

a.从事该活动的人数;

b.活动或过程的类型。

可以用作计算从事某些相同活动基础人数的减少因素的示例,包括:

1)以只读方式访问信息以履行职责的人员;

2)无法访问ISMS范围内组织信息处理设施的人员;

3)在ISMS范围内对公司信息处理设施有特定可证明的受限访问权限的人员;

4)执行严格限制信息披露的活动的人员,例如禁止个人物品和设备进入工作区域的措施。

应根据与任务相关的活动风险减少执行相同活动的人数。执行每项相同活动的人数的平方根四舍五入到下一个完整人数),可用于确定用于审核持续时间计算的有效人数。该数字应为允许的最大减少人数。

任务的性质、立法要求以及人们可以获取的信息的重要性可能会限制减少的人数

此程序确定后的人数是表C.1中的起点

 

C. 1审核时间表

在组织控制下工作的人员数量

QMS初次审核审核时间(审核人日)

EMS初次审核审核时间(审核人日)

ISMS初次审核审核时间(审核人日)

增加或减少的因素

总审核时间

1~10

1.5-2

2.5-3

5

C3.4

 

11-15

2.5

3.5

6

C3.4

 

16~25

3

4.5

7

C3.4

 

26~45

4

5.5

8.5

C3.4

 

46~65

5

6

10

C3.4

 

66~85

6

7

11

C3.4

 

86~125

7

8

12

C3.4

 

126~175

8

9

13

C3.4

 

176~275

9

10

14

C3.4

 

276~425

10

11

15

C3.4

 

426~625

11

12

16.5

C3.4

 

626~875

12

13

17.5

C3.4

 

876~1175

13

14

18.5

C3.4

 

1176~1550

14

16

19.5

C3.4

 

1551~2025

15

17

21

C3.4

 

2026~2675

16

18

22

C3.4

 

2676~3450

17

19

23

C3.4

 

3451~4350

18

20

24

C3.4

 

4351~5450

19

21

25

C3.4

 

5451~6800

20

23

26

C3.4

 

6801~8500

21

25

27

C3.4

 

8501~10700

22

27

28

C3.4

 

10700

沿用以上规律

沿用以上规律

沿用以上规律

C3.4

 

 

C3.4调整审核时间的因素

C3.4.1 所策划的审核时间不能孤立地使用表 C.1确定,还应考虑与 ISMS 复杂程度相关,并因此与 ISMS 审核工作量相关的以下因素:

a)ISMS 的复杂程度(例如,信息的关键程度、ISMS 的风险状况)

b)ISMS 范围内所开展的业务的类型

c)以往已证实的 ISMS 绩效;

d)在 ISMS 各部分的实施过程中,所应用的技术的水平和多样性[例如,不同IT平台的数量、隔离网络的数量];

e) ISMS范围内使用的外包和第三方安排的程度

f)信息系统开发的程度;

g)场所的数量和灾难恢复DR)场所的数量;

i)对于监督或再认证审核:符合 CNAS-CC01 8.5.3条款的、与ISMS相关的变更的数量和程度。

附录 D 提供了在计算审核时间时如何考虑这些不同因素的示例。

C3.4.2 允许增加审核时间的因素,例如:

a) 复杂的后勤,在 ISMS 范围中涉及不止一处建筑物或地点

b) 员工所说的语言超过一种(需要翻译或审核员个人无法独立工作),提供的文件使用了一种以上的语言

c) 为了确认管理体系认证范围内永久场所的活动,需要访问临时场所的活动;

d) 适用于 ISMS 的标准和法规数量很多;

C3.4.3 允许减少审核时间的因素,例如:

a) 没有风险或者低风险的产品/过程;

b) 产品提供或服务提供过程仅包含单一的一般性活动(如服务类型);

c) 我机构对客户管理体系已有的了解(例如已获得我机构其他体系认证);

d) 客户为认证所作的准备(例如已经获得过其他认证机构认证);

e) 高度成熟的管理体系。

C3.4.4 在认证客户或被获证组织在临时场所提供其产品或服务时,将对这类场所的评价纳入到认证审核和监督方案中是十分重要的。

C3.4.5 宜考虑上述因素,并根据这些因素对审核时间做出调整。这些因素可证实一次有效审核所需要更多或更少的审核时间的合理性。增加时间的因素可被减少时间的因素冲抵。在任何情况下,对审核时间表中的时间的调整,应保持足够的证据和记录来证实其变化的合理性。

C3.5 对审核时间偏离的限制

为了确保能够实施有效的审核并确保可靠和可比较的结果,对表C. 1中初次认证审核时间的减少,不应超过30%。应确定偏离审核时间表的适当理由,并形成文件。

C3.6 现场审核时间

策划和编制报告一起所用的“审核时间”通常不宜使总的现场“审核时间”减少到表C. 1中“总审核时间”的70%以下。当策划和编制报告需要增加时间时,不能以此为由而减少现场审核时间。审核员旅途时间未计在内,这应在表中所给出的审核时间的基础上另外增加。

注:70%是基于ISMS审核经验所考虑的因素。

C4 监督审核的审核时间

在初次认证审核周期,对一个组织的监督时间宜与初次审核时间成比例,每年用于监督审核的时间总量大约是初次审核时间的1/3。宜时常评审所策划的监督审核时间,以考虑影响审核时间的变更。为审核 ISMS 的变更(例如,审核新的或发生变更的控制),应增加监督审核的时间。

C5 再认证的审核时间

用于再认证审核的全部时间,应取决于本文件8.2 CNAS-CC01:2015的9. 6.3中所规定的、任何以往审核的结果。再认证审核所需的时间宜与同一组织的初次认证审核所用的时间成比例,宜至少是初次认证审核时间的2/3。

C6 多场所审核时间

通常,的现场审核时间应考虑组织控制下工作的人员总数,而不考虑人员所在的位置。

或者,出于形成文件的合理理由,允许对每个场所单独计算的审核时间进行汇总,只要总的审核时间应大于按照本条第一段计算结果。适用时,若某些审核内容与总部办公室或本地场所无关,则可以减少审核时间。HIC应记录这类减少的合理理由。

根据C.3.2C.3.3以及本条款规定的程序,为认证范围计算出总的现场审核人日。应根据场所与管理体系的相关性、场所所开展的活动和所识别的风险,将总的现场审核人日分配到不同的场所。认证机构应记录分配的理由。

任何审核时间的减少,应在现场审核时间与总审核时间的比较之前进行。

C7 扩大范围的审核时间

扩大ISMS范围所需的审核时间应考虑以下因素:

a)扩大的类型;

b)当前认证的活动;

c)活动地点的数量;

d)与活动相关的信息安全风险;

e)与扩大相关的控制措施数量;

f)在新范围内组织控制的从事工作的人数;

g)审查将扩大的范围纳入ISMS所需的时间。

HIC应制定相关程序,为计算扩大范围审核时间提供一致的方法。

对于新范围的初始审核,应根据 C3.2, C3.3和C3.4条款规定通过现有范围内增加的人员和地点数量计算时间。

扩大范围审核时间应加到总的审核时间中,以审查客户的ISMS。该额外时间应至少为:

1)如果扩大范围审核与监督审核或再认证审核同时进行,则为0.5天(审核人天);

2)当扩大范围审核作为单独审核进行时,为1.0天(审核人天)。

 


附录D 审核时间计算方法

D. 1 总则

本附录为获得一个审核时间计算公式提供了进一步的指南。D. 2 给出了一个对因数进行分类的示例,它可用作审核时间计算的基础。D. 3 提供了一个审核时间计算的示例。

注:如C.3.3所述,本附件中的概念是从对从事某些相同活动的人员进行减之后开始

D. 2 审核时间计算因数的分类

表中给出了对主要的审核时间计算因数进行分类的示例。认证机构可以使用该分类来获得一个符合要求的审核时间计算方案。

审核时间计算因数的分类

 

 

 

 

 

D. 3 审核时间计算的示例

以下示例阐述了认证机构如何使用D. 2 中的因数来计算审核时间。该示例中的审核时间计算,是按照以下方法进行的:

第一步:确定与业务和组织相关的(非 IT)因数。识别表D.2中每个类别的适宜分值,并对结果求和;

第二步:确定与 IT 环境相关的因数。识别表D.3中每个类别的适宜分值,并对结果求和;

第三步:基于以上第一步和第二步的结果,通过选择表D.4中的适宜条目,识别这些因数对审核时间的影响;

第四步:最终计算。将由审核时间表(表 C. 1)所确定审核人天数乘以第三步中得出的系数。当利用多场所抽样时,要根据执行多场所抽样计划所需的工作量增加所计算出的审核人天。

这个结果是最终需要调整的审核人天数。

 

D.2 与业务和组织(非 IT)相关的因数

类别

分值

业务类型和法规要求

1. 组织所处的是一个非关键业务领域,且不受管制的领域。a

2. 组织的客户处于关键业务领域;a

3. 组织处于关键业务领域;a

过程与任务

1. 一般的过程,涉及一般的且重复性的任务;很少的产品或服务;

2. 一般的但不重复的过程,涉及大量的产品或服务。

3. 复杂的过程,大量的产品和服务,许多业务单元包含在认证范围内(ISMS涉及复杂性高的过程,或数量相对较大的活动,或独特的活动)。

管理体系的建立水平

1. 已经很好地建立了 ISMS,和(或)存在其他管理体系;

2. 其他管理体系的要素,有些已经实施,有些没有实施;

3. 根本没有实施其他管理体系,ISMS 是新且没有建立。

a:关键业务领域是可以影响关键公共服务的领域,这些公共服务将引起健康、安全、经济、形象和 政府运行能力的风险,从而可能对国家造成非常重大的负面影响。

 

 

D.3 IT 环境相关的因数

类别

分值

IT基础设施的

复杂程

1. 很少的或高度标准化的 IT 平台、服务器、操作系统、数据库、网络等;

2. 多个不同的 IT 平台,服务器、操作系统、数据库、网络;

3. 很多不同的 IT 平台、服务器、操作系统、数据库、网络。

对外包和供应商(包括 云服务)的依赖程度

1. 很少或不依赖外包或供应商;

2. 有些依赖外包或供应商,这些外包或供应商与某些重要业务活动相关, 但不是与所有的重要业务活动相关;

3. 高度依赖外包或供应商,外包或供应商对重要业务活动有着很大影响。

信息系统开发

1. 没有或非常有限的内部系统/应用开发;

2. 有一些服务于某些重要业务目的的、内部的或外包的系统/应用开发;

3. 有大量服务于重要业务目的的、内部的或外包的系统/应用开发。

 

D.4 因数对审核时间的影响

IT 复杂性/ 

业务复杂性

低(3-4)

中(5-6)

高(7-9)

高(7-9)

+5 % ~ +20 %

+10 % ~ +50 %

+20 % ~ +100 %

中(5-6)

-5 % ~ −10 %

0 %

+10 % ~ +50 %

低(3-4)

-10 % ~ −30 %

-5 % ~ −10 %

+5 % ~ +20 %

 

示例 1:

受审核的组织有 700 人,因此根据表 C.1,其初次认证审核需要 17.5 人天。该组织不属于关键业务领域,从事高度标准化和重复性的任务且刚建立 ISMS。根据表 D.2,可以得出与业务和组织相关的因子为 1+1+3=5。该组织具有非常少的 IT 平台和数据库,但大量地使用外包。该组织没有内部的或外包的开发活动。根据表 D.3,可以得出与 IT环境相关的因子为 1+3+1=5。利用表 D.4,可以得出该审核时间无需调整。

示例 2:

还是示例1中的这个组织,但其已有多个管理体系且已较好地建立了ISMS。根据表D.2,与业务和组织相关的因子将变为:1+1+1=3。根据表 D.4,将得出需要减少 5%~10%的审核时间,即:审核时间将减少1到1.5人天,变为16到16.5人天。


附录E  ISO/IEC 27001:2022实施情况评审指南,附录A控制措施

E.1 目的

根据8.2 f)的要求,在初始审核的第二阶段以及监督或再认证活动中,应审查客户确定为ISMS(根据适用性声明)所必需的控制措施的实施情况。这些审查旨在确定控制措施是否已实施且有效,以及是否达到了其声明的信息安全目标。

通常只有在审计师访问组织之后,认证机构才能了解该组织所需控制措施是什么,甚至是否使用了与ISO/IEC 27001:2022附录A相同的控制文本。认证机构也不清楚信息安全控制措施之间的关系,以及这些控制措施与组织流程之间的关系。因此,初始审计可以限制为审计单个控制,而后续审计可以采用更有效的方法,在组织的流程和风险处理计划中审计控制。

然而,认证机构确实知道组织需要将其必要的控制措施与ISO/IEC 27001:2022附录A中的控制措施进行比较,因此组织的必要控制措施与ISO/IEC 27001:2022附录A中的控制措施之间存在关联。表E.1中提供的指导旨在支持认证机构制定审计计划,以适应客户确定 的必要控制措施,这些控制措施与其在ISO/IEC 27001:2022附录A中的控制措施之间的关系。

E.2 控制评价

 

 

 

 

 

 

 

 

 

 

 

 

 

咨询留言 联系我们

推荐服务

  • 中国 • 深圳市罗湖区笋岗东路3019号百汇大厦北座25B
  • +86-755-2265 6161
  • +86-755-2265 8686
  • info@hicgroup.com.cn

    关注我们

Copyright ©Shenzhen Hua Kai    粤ICP备17164032号

粤公网安备44030002007190号