表A - PDF 免费下载

CNAS-SC18 信息安全管理体系认证机构认可方案 Accreditation Scheme for ISMS Certification Bodies 中国合格评定国家认可委员会

第 2 页共 28 页目次前言...3 1 范围...4 2 规范性引用文件...4 3 术语和定义...4 4 ISMS 认证机构认可规范的构成... 5 R.1 认可申请...5 R.2 预访问...6 R.3 初次认可的见证评审... 6 R.4 认证业务范围的认可... 6 R.5 其他...7 C.1 认证协议...7 C.2 风险评估和责任安排... 7 C.3 ISMS 审核员在教育工作经历审核员培训和审核经历方面的必备条件...7 C.4 ISMS 认证证书...8 C.5 保密...8 C.6 ISMS 的变化...8 C.7 已认可的 ISMS 认证的转换...9 C.8 认证申请...9 C.9 认证审核相关要求... 9 C.10 认证机构的信息安全管理体系...9 G.1 ISMS 认证机构能力分析和评价系统指南...10 G.2 ISMS 审核范围和认证范围界定指南...17 G.3 ISMS 审核时间确定指南... 20 附录 A( 规范性附录 )ISMS 认证机构认证业务范围分类与分级... 22 附录 B( 资料性附录 ) 通用信息安全技术领域和通用信息技术领域参考分类知识点及应用... 24

第 3 页共 28 页前言本文件由中国合格评定国家认可委员会 (CNAS) 制定本文件是 CNAS 对信息安全管理体系 (ISMS) 认证机构提出的特定要求和指南, 并与相关认可规则和认可准则共同用于 CNAS 对 ISMS 认证机构的认可本文件中, 用术语应表示相应条款是强制性的, 用术语宜表示建议本次修订主要进行了以下编辑性调整 : 1)4.2 条款 a) 和 h), 分别更新了 CNAS-R01 和 CNAS-R07 的文件名称 ; 2)R.5.1 条款, 调整了该条款的阐述方式 ; 3)R.5.2 条款, 更新对 CNAS-RC03 相关条款的引用

第 4 页共 28 页信息安全管理体系认证机构认可方案 1 范围 1.1 为确保 CNAS 对实施 GB/T 22080 2008(ISO/IEC 27001:2005, IDT) 认证的信息安全管理体系 ( 以下称为 ISMS ) 认证机构实施评审和认可的一致性, 指导申请和获得认可的 ISMS 认证机构理解和实施认可规范要求, 特制定本文件 1.2 本文件包括对信息安全管理体系认证机构认可规范的补充说明和指南, 适用于 CNAS 对 ISMS 认证机构的认可本文件 R 部分和 C 部分分别是对相关认可规则和认可准则的补充和说明本文件 G 部分是对相关认可准则的应用指南 2 规范性引用文件下列文件中的条款通过本文件的引用而成为本文件的条款以下引用的文件, 注明日期的, 仅引用的版本适用 ; 未注明日期的, 引用文件的最新版本 ( 包括任何修订 ) 适用 CNAS-RC01 认证机构认可规则 CNAS-CC01 管理体系认证机构要求 CNAS-CC17 信息安全管理体系认证机构要求 CNAS-CC11 基于抽样的多场所认证 CNAS-CC12 已认可的管理体系认证的转换 ISO/IEC 27007 信息技术安全技术信息安全管理体系审核指南 ISO/IEC TR 27008 信息技术安全技术审核员的信息安全控制措施指南 ISO/IEC 27003 信息技术安全技术信息安全管理体系实施指南 3 术语和定义 GB/T 19000-2008 和 GB/T 27000-2006 中的术语和定义以及下列术语和定义适用于本文件 3.1 认证业务范围 : 认证机构的 ISMS 认证活动涉及的行业领域注 : 认证业务范围的分类与分级见附录 A, 包括政务公共商务产品的生产四个大类, 每个大类包含若干中类, 每个中类被赋予一二或三级别 ( 认可风险水平由高至低 ) 附录 A 介绍了认证业务范围分类与分级的相关考虑 3.2 能力 : 应用知识和技能实现预期结果的本领 3.3 技术领域 : 以 ISMS 相关过程的共性为特征的领域

第 5 页共 28 页注 : 对于 ISMS, 技术领域与信息安全控制措施所涉及的信息安全技术信息技术及业务活动的类别有关 3.3 专业能力 : 能够应用特定技术领域的知识实现预期结果的本领 4 ISMS 认证机构认可规范的构成 4.1 CNAS-RC01 认证机构认可规则是 ISMS 认证机构认可活动的基本程序规则 CNAS-CC01 管理体系认证机构要求是 ISMS 认证机构的基本认可准则 CNAS-CC17 信息安全管理体系认证机构要求是 ISMS 认证机构的专用认可准则 4.2 其他适用的认可规则包括 : a) CNAS-R01 认可标识使用和认可状态声明规则 ; b) CNAS-R02 公正性和保密规则 ; c) CNAS-R03 申诉投诉和争议处理规则 ; d) CNAS-RC02 认证机构认可资格处理规则 ; e) CNAS-RC03 认证机构信息通报规则 ; f) CNAS-RC04 认证机构认可收费管理规则 ; g) CNAS-RC05 多场所认证机构认可规则 ; h) CNAS-RC07 具有境外场所的认证机构认可规则 4.3 其他适用的认可准则包括 : a) CNAS-CC11 基于抽样的多场所认证 ; b) CNAS-CC12 已认可的管理体系认证的转换 ; c) CNAS-CC14 计算机辅助审核技术在获得认可的管理体系认证中的使用 R 部分 R.1 认可申请在中华人民共和国境内从事 ISMS 认证活动的认证机构申请认可的 ( 以下称为申请方 ), 应具备 CNAS-RC01 条款 5.1.1 规定的基本条件以及下列条件 : a) ISMS 认证活动已被国家认监委批准 ; b) 已按照 CNAS-CC01 和 CNAS-CC17 建立了管理体系, 且运行时间不少于 6 个月申请方应提供 CNAS-RC01 条款 5.1.2 规定的申请文件以及下列文件和信息 : 1) ISMS 认证活动国家认监委批准文件复印件 ; 2) 已审核过的组织 ( 对应到认证业务范围相应中类 ); 3) 自申请时间起 6 个月内计划实施的审核 ( 对应到认证业务范围相应中类 ); 4) 本机构确保客户组织符合工信部联协 [2010]394 号文关于加强信息安全管理体系认证安全管理的通知的要求以及有关主管部门 / 监管部门对信息安全管理体系认证的管理要求的措施 ;

第 6 页共 28 页 R.2 预访问 5) 需要时,CNAS 要求的其他信息必要时,CNAS 可在受理申请过程中安排预访问, 以了解申请方是否已满足认可申请条件以及是否基本具备接受认可评审的条件 R.3 初次认可的见证评审 CNAS 结合申请方 ISMS 认证活动的范围规模和风险水平确定初次认可的见证评审安排, 通常情况下进行不少于两次见证评审 R.4 认证业务范围的认可 R.4.1 CNAS 通过对 ISMS 认证机构的认证业务范围进行认可来确定该机构的认可范围 CNAS 按认证业务范围的大类进行认可, 必要时可将认可范围限定到中类 CNAS 认可某一大类的基本要求是认证机构的能力分析和评价系统覆盖了该大类, 且系统运行基本有效为此, 认证机构应满足以下条件 : a) 对该大类和认证活动涉及到的中类进行了适宜有效的能力需求分析 ; b) 根据该大类和相关中类的能力需求分析, 以适宜有效的方式确定了能力分析和评价系统的相关组成部分 ( 例如技术领域能力准则等 ); c) 能力分析和评价系统在与相关中类有关的认证活动中有效地发挥了作用 CNAS 按申请认可的每个大类评价认证机构是否满足以上条件如果认证机构在一个大类中的多个中类实施了认证,CNAS 可采用抽样的方式选取其中一部分中类进行评价通常情况下, 一级风险的中类必选, 并需要实施见证评审 ; 二三级风险的中类可以视具体情况抽样, 必要时进行见证评审 R.4.2 CNAS 对 ISMS 认证机构认证业务范围的认可不包括中华人民共和国境内 ( 不含香港澳门特别行政区, 台湾地区 ) 的各级政府机关政府信息系统运行单位和涉密信息系统建设使用单位, 并在认可证书附件中做相应说明 R.4.3 CNAS 对某一大类的认可, 仅表明 CNAS 基于评审认为, 认证机构的能力分析和评价系统能够保证充分地识别和配备该大类认证活动所需的能力, 并不表明 CNAS 认为认证机构已经具备了在该大类实施认证活动所需的全部能力, 在该大类的每次认证活动都有效, 也不意味着 CNAS 批准认证机构可以对该大类的任何组织实施认证因此, 认证机构应确保运用能力分析和评价系统为该大类的每次认证活动配备所需的全部能力, 同时确保客户组织符合工信部联协 [2010]394 号文关于加强信息安全管理体系认证安全管理的通知的要求以及有关主管部门 / 监管部门对信息安全管理体系认证的管理要求, 并在满足这些条件后, 才实施认证活动和颁发带有 CNAS 认可标识的认证证书 ( 不包括 I 级风险的中类 ) 对于 I 级风险的中类, 通常情况下, 认证机构应在 CNAS 实施见证评审并确认符合认可规范要求后, 才可以在认证证书上施加 CNAS 认可标识 R.4.4 CNAS 在认可某一大类后, 将在后续监督中对认证机构在该大类下自我评价和

第 7 页共 28 页配备认证能力的情况进行评审 ( 包括对 II 级或 III 级风险的中类实施必要的见证评审 ), 并依据相关认可规范对发现的不符合进行处理 ( 包括依据 CNAS-RC02 暂停或撤销部分或全部认可范围 ) R.5 其他 R.5.1 CNAS 对 ISMS 认证机构认可标识的管理遵循 CNAS-R01 认可标识使用和认可状态声明规则的相关要求 R.5.2 CNAS-RC03 条款 5.2 中获证组织发生重大事故 / 事件是指获得 ISMS 认证的组织发生具有下列影响的信息安全破坏 : a) 已经或可能严重损害国家安全社会秩序公共利益或获证组织及其相关方的合法权益 ; 或者 b) 可能损害颁证机构或 CNAS 的公信力声誉, 或使颁证机构或 CNAS 承担连带责任发生上述情况时, 颁证机构应及时采取相应措施并向 CNAS 通报相关情况 R.5.3 如果 CNAS 可能需要在评审中接触认证机构的客户组织的相关信息资产, 认证机构应向相关组织询问是否同意 CNAS 接触这些信息资产如果组织同意, 认证机构应识别 CNAS 接触这些信息资产时须满足的所有要求, 并告知 CNAS 如果组织不同意或 CNAS 无法满足相关要求,CNAS 将根据评审所受的影响采取相应的措施 C 部分 C.1 认证协议 (CNAS-CC01 条款 5.1.2) 认证协议应就控制审核和认证活动引发的客户组织信息安全风险做出规定, 包括明确认证机构和客户组织及其有关人员的责任与义务 C.2 风险评估和责任安排 (CNAS-CC01 条款 5.3.1) 认证机构应对其审核和认证活动可能给客户组织的信息安全带来的风险以及认证机构可能承担的责任进行评估, 并做出充分的安排 ( 例如购买职业责任保险或设立储备金 ) C.3 ISMS 审核员在教育工作经历审核员培训和审核经历方面的必备条件 (CNAS-CC17 条款 7.2.1.3) ISMS 审核员在教育工作经历审核员培训和审核经历等方面应满足下列条件 : a) 教育 : 与信息安全技术相关的专业的本科学历 ; b) 工作经历 : 至少 4 年信息技术方面全职实际工作经历, 其中至少 2 年的工作经历来自与信息安全有关的职责或职能 ; c) 审核员培训 : 成功完成 5 天或 40 小时的 ISMS 审核员培训 ; d) 审核经历 : 参加至少 4 次 ISMS 审核, 审核总天数不少于 20 天, 其中包括文件评审风险分析的评审现场审核和审核报告

第 8 页共 28 页认证机构应注意 : 教育工作经历审核员培训和审核经历仅是认证人员获取认证所需能力的途径, 认证人员具有相关的经历并不等于一定具备认证所需的能力因此, 认证机构应按照其能力分析和评价系统 ( 参见 G.1) 的相关规定, 对满足上述条件的人员实际所具有的能力进行评价和证实, 而不应用资格条件的审查代替能力的评价和证实 C.4 ISMS 认证证书 (CNAS-CC01 条款 8.2.3 CNAS-CC17 条款 IS 8.2) C.4.1 认证机构宜在 ISMS 认证证书中从客户组织的业务组织结构位置场所资产和技术特点等方面清晰地界定认证所覆盖的 ISMS 范围如果由于组织的信息安全的原因不能在认证证书上明示上述全部与组织 ISMS 范围相关的信息时, 通过在认证证书上引用组织的适用性声明的方式是一种可以采取的间接方式 C.4.2 ISMS 认证证书中宜体现适用性声明的版本信息认证机构应对获证组织适用性声明的版本变化情况进行监视和控制, 这需要认证机构和组织间的信息沟通渠道通畅 C.5 保密 (CNAS-CC01 条款 8.5 CNAS-CC17 条款 IS 8.5) C.5.1 在认证审核前, 认证机构应要求客户组织识别并向认证机构告知其 ISMS 范围内的哪些信息资产不允许认证机构接触, 或者认证机构在接触相关信息资产时应满足哪些要求, 包括法律要求相关方的要求和组织自身的要求认证机构应满足所有这些要求, 否则不应在认证活动中接触组织的相关信息资产如果认证机构因为未获得组织的允许或无法满足适用的要求而不能接触相关信息资产, 那么认证机构应对审核和认证所受到的影响进行评估并采取相应的措施 ( 例如终止审核缩小审核和认证的范围等 ) 如果组织事先没有禁止认证机构接触某一信息资产, 或未告知认证机构应满足的要求, 但认证机构在认证过程中发现自己并不具备接触该信息资产的资格和条件, 应立即向组织提出 C.5.2 认证机构应与其 ISMS 认证相关人员签订在法律上具有强制实施力的协议, 以确保认证相关人员对审核和认证过程中接触到的组织的保密或敏感信息予以保密认证机构还宜要求直接接触组织信息的认证人员 ( 例如审核组成员 ) 按照组织的保密要求与组织签署保密协议, 或向组织做出保密承诺 C.5.3 认证机构宜对其 ISMS 认证人员进行保密意识教育, 并进行保密方面的法律法规标准规章制度知识技能的培训 C.5.4 审核组成员不宜在审核过程中以任何方式记录受审核组织的保密或敏感信息审核组在离开受审核组织前, 宜请受审核组织检查和确认审核组携带的文件资料和设备中未夹带受审核组织的任何保密或敏感信息 C.5.5 认证机构应为包含客户组织保密或敏感信息的文件资料和其他物品的制作收发传递使用复制摘抄保存和销毁建立保密程序

第 9 页共 28 页 C.6 ISMS 的变化 (CNAS-CC01 条款 8.6.3) 认证机构应要求客户组织即时报告其业务组织结构位置场所资产和技术特点等方面可能导致其 ISMS 范围和边界变化的情况, 以及与其 ISMS 相关的法律法规的变化情况 C.7 已认可的 ISMS 认证的转换 (CNAS-CC01 条款 9.1.1) 认证机构仅应根据 CNAS-CC12 对 CNAS 认可的其他认证机构颁发的 ISMS 认证实施转换除此以外的其他情况应按照初次认证对待此时, 认证机构若要考虑客户组织以往所获的 ISMS 认证, 应满足 CNAS-CC01 条款 9.1.1 的要求 C.8 认证申请 (CNAS-CC01 条款 9.2.1) C.8.1 认证机构应确保客户组织符合工信部联协 [2010]394 号文关于加强信息安全管理体系认证安全管理的通知的要求, 以及有关主管部门 / 监管部门对信息安全管理体系认证的管理要求 ( 如工信部 2011 年第 21 号公告工业和信息化部加强政府部门信息技术外包服务安全管理等 ) C.8.2 认证机构宜要求客户组织向其说明适用的关于认证机构的资质诚信守法记录或认证人员身份背景的要求, 以及适用的与保守国家秘密或维护国家安全有关的法律法规要求, 并即时更新该说明, 以便认证机构判断其是否具备对该组织实施认证活动的资格或条件 C.9 认证审核相关要求 (CNAS-CC01 条款 9.2 至条款 9.9) C.9.1 初次认证第一阶段审核 (CNAS-CC01 条款 9.2.3.1) ISMS 初次认证审核的第一阶段审核宜包括在客户组织现场实施的审核活动, 现场审核时间不宜少于 1 个审核人日当客户组织由于信息安全的原因在申请评审阶段不能提供给认证机构足够的信息时, 认证机构应通过第一阶段审核在客户组织的现场补充对上述信息的确认, 并完成申请评审任务这种情况下, 认证机构应增加第一阶段现场审核时间 C.9.2 对 ISMS 认证审核的指南 ISO/IEC 27007 信息技术安全技术信息安全管理体系审核指南的第 5 章和第 6 章为 ISMS 认证机构涉及的审核方案管理审核实施等内容提供了指南, 并于附录 A 中提供了 ISMS 审核实践的指导示例, 认证机构可参考采用 ISO/IEC TR 27008 信息技术安全技术审核员的信息安全控制措施指南为 ISMS 认证审核员在审核过程中评价可能涉及的信息安全控制措施的贯彻和运作提供了指南, 认证机构可参考采用 C.10 认证机构的信息安全管理体系 (CNAS-CC01 条款 10.3 CANS-CC17 条款 IS 10.3) 当认证机构采用方式二建立其管理体系时, 宜在其方针政策目标和承诺上体现认证机构自身的信息安全意识和追求, 并在管理体系建立和实施中予以体现

第 10 页共 28 页认可评审中需要关注认证机构自身的信息安全管理体系 ( 方针政策目标文件控制 ) 信息安全风险评估内审管理评审等认证机构宜将认证机构的信息安全绩效, 以及为其 ISMS 认证活动所采取的与客户组织信息安全相关的措施的绩效作为管理评审的关注点之一 G 部分 G.1 ISMS 认证机构能力分析和评价系统指南 G.1.1 概述 G.1.1.1 能力要求 G.1.1.1.1 能力是应用知识和技能实现预期结果的本领 ISMS 认证人员的能力要求应包括 : a) 所需的知识 / 技能表 G.1( 参照 CNAS-CC01 附录 A 的表 A.1) 列举了承担申请评审认证决定审核和领导审核组四种职能的人员应掌握的知识和技能的类型 ; b) 应用知识 / 技能所要实现的结果它与人员所承担的职能有关, 例如 :ISMS 审核员需要考虑受审核组织的整体信息安全风险, 分析和判断组织的控制措施的充分性适宜性和有效性, 然后追溯到组织 ISMS 的符合性和有效性认证机构宜参考表 G.1 定义其他人员宜掌握的知识和技能注 : 其他人员包括认证机构的管理人员行政支持性人员相关委员会的成员以及技术专家等表 G.1 承担四种 ISMS 认证职能的人员所需知识和技能列表实施申请评审承担认证职能以确定所需的复核审核领导审核组能力选择报告和做出审核审核组知识和技能审核组成员和认证决定确定审核时间经营管理实务的知识审核原则实务和技巧的知识 + + ISMS 标准和规范的知识 + + 认证机构过程的知识涉及 ISMS 活动的客户的业务领域的知识 + + 客户的产品过程和组织的知识与客户组织中的各个层级相适应的语言技能作记录和撰写报告的技能

第 11 页共 28 页实施申请评审承担认证职能以确定所需的复核审核领导审核组能力选择报告和做出审核审核组知识和技能审核组成员和认证决定确定审核时间表达技能 + 面谈技能审核管理技能 + 注 : 1. 表示应掌握 2. + 表示对知识或技能水平的要求应相对较高, 即 : 对审核员和审核组长的审核原则实务和技巧的知识 ISMS 标准和规范的知识以及对客户业务领域的知识的要求应高于认证决定人员和申请评审人员 ; 对审核组长的表达技能和审核管理技能水平的要求应高于审核员 3. 对涉及 ISMS 活动的客户的业务领域的知识, 可以已通过确定相关技术领域来定义各种必要的知识和技能 G.1.1.1.2 认证机构宜在能力要求中进一步定义表 G.1 中每类知识 / 技能的具体内容由于承担不同职能的人员需要具有的知识 / 技能水平可能不同 ( 如表 G.1 所示 ), 承担同种职能的人员在不同的认证活动风险和复杂性水平下需要具有的知识 / 技能水平也可能不同, 因此能力要求宜体现出各种职能在各种认证活动风险和复杂性水平下宜具有的知识 / 技能水平相应的, 认证机构宜定义 : a) 认证活动风险和复杂性的确定方法和水平分级 ; b) 知识 / 技能的水平分级知识 / 技能的水平宜从知识 / 技能的广度和深度知识 / 技能的熟练程度等方面来体现 G.1.1.2 专业能力和技术领域 G.1.1.2.1 ISMS 认证人员应用表 G.1 中的技术领域的知识, 实现预期结果的本领是认证人员的专业能力技术领域是以 ISMS 相关过程的共性为特征的领域 ISMS 相关过程包括分析和评价业务活动中信息资产面临的信息安全风险, 即风险评估 ; 然后选择和实施保护信息资产的安全控制措施, 以消除信息安全风险或把风险降至可接受的水平, 即风险处置 ; 以及风险评估和风险处置的持续改进这些过程是信息安全技术和信息技术在组织业务活动中的应用, 因此归纳过程的共性和划分技术领域宜基于信息安全技术信息技术和组织业务活动的种类 ( 参见 CNAS-CC01 条款 7.1.2 注 ), 并考虑信息安全技术和信息技术在组织业务活动中的应用特点技术领域的一种划分方法是 : a) 通用信息安全技术领域 ; b) 通用信息技术领域 ; c) 业务应用技术领域

第 12 页共 28 页 G.1.1.2.2 通用信息安全技术领域和通用信息技术领域 G.1.1.2.2.1 通用信息安全技术领域和通用信息技术领域是考虑到信息安全技术和信息技术具有通用性, 不同种类业务活动中所应用的信息安全技术和信息技术很多是相同或相近的, 与之相关的知识构成了 ISMS 认证人员专业能力的基础因此, 认证机构可将通用的信息安全技术知识和信息技术知识分别作为两个技术领域, 即通用信息安全技术领域和通用信息技术领域 G.1.1.2.2.2 认证机构宜确定通用信息安全技术领域和通用信息技术领域的具体分类方式, 以确保专业能力分析和评价的系统性和充分性本文件附录 B 提供了通用信息安全技术领域和通用信息技术领域的参考分类, 认证机构可根据认证业务范围专业能力需求分析结果对其进行调整或补充, 以形成本机构的分类本文件附录 B 还对通用信息安全技术领域和通用信息技术领域的知识点及其应用提供了指南, 可供认证机构在分析通用信息安全技术领域和通用信息技术领域的知识以及相应的专业能力时参考 G.1.1.2.3 业务应用技术领域和认证业务范围 G.1.1.2.3.1 业务应用技术领域是考虑到 ISMS 是为了控制组织业务活动中的信息安全风险, 为组织的业务活动提供保障 ISMS 认证人员需要适当掌握与组织业务活动相关的知识, 例如流程资产风险安全要求控制措施以及信息安全技术和信息技术在业务活动中的特定应用等方面的知识, 以便能够分析和判断组织信息安全控制措施的充分性有效性和适宜性, 进而追溯到组织 ISMS 的符合性和有效性认证机构可将与特定种类业务活动相关的这些知识归为一个技术领域, 即业务应用技术领域 G.1.1.2.3.2 本文件附录 A 的认证业务范围分类为认证机构确定业务应用技术领域分类提供了框架 ( 参见附录 A 相关说明 ) 认证机构宜根据认证业务范围专业能力需求分析的结果, 通过认证业务范围中类的进一步细分和 ( 或 ) 合并来确定本机构业务应用技术领域的分类注 : 认证业务范围中类进一步细分后得到的类别, 可以与其他中类或其他中类里的细分类别合并 G.1.1.2.4 技术领域知识的水平在能力评价时, 认证机构宜确定认证人员技术领域知识的水平, 作为选择和使用认证人员的依据认证机构可以对认证人员的通用信息安全技术领域知识的整体水平和通用信息技术领域知识的整体水平进行评价, 但每个业务应用技术领域的知识水平宜分别进行评价表 G.2 给出了从事申请评审认证决定审核和领导审核组四种职能的人员在不同的认证活动风险和复杂性水平下, 在认证活动涉及的技术领域宜具有的知识水平由于风险和复杂性水平知识水平可以有不同的分级方式, 表 G.2 仅用 * 的数量表示了相对水平, * 数量越多, 相对水平越高

第 13 页共 28 页表 G.2 四种 ISMS 认证人员技术领域知识的水平技术领域知识水平风险和复杂性水平职能实施申请评审以确定所需的审核组能力选择审核组成员和确定审核时间复核审核报告和做出认证决定审核领导审核组 * * * ** ** ** * * ** ** *** ** ** *** *** G.1.2 能力分析和评价系统认证机构应按照认可规范的所有适用要求建立覆盖所有 ISMS 认证人员的能力分析和评价系统在专业能力方面, 该系统宜包括以下过程 ( 见图 G.1), 以确保为每个客户组织配备有效审核和认证所需的专业能力 : a) 认证业务范围专业能力需求分析 : 认证机构对本机构认证活动涉及的所有认证业务范围大类和中类进行专业能力需求分析 ( 参见 G.1.3.1) b) 技术领域的分类和专业能力要求的确定和调整 : 认证机构对从本机构涉及的所有认证业务范围大类和中类分析出的知识进行归纳, 形成本机构技术领域分类 ( 参见 G.1.1.2), 然后基于每个技术领域的知识确定该技术领域对每类认证人员的专业能力要求, 必要时编制特定技术领域的审核指导文件当认证业务范围类别增加时, 或者当特定客户组织的专业能力需求分析或者来自审核过程的相关反馈显示有必要时, 调整和完善技术领域的分类和专业能力要求 c) 特定客户组织专业能力需求分析 : 在申请评审中, 根据特定客户组织的具体情况和本机构技术领域的分类与专业能力要求, 分析和确定对该组织实施审核和认证所涉及的技术领域类别以及相应的专业能力, 以便为选择和使用认证人员以及改进技术领域分类和专业能力要求提供输入, 并在后续的审核方案管理中根据组织情况的变化予以必要调整 ( 参见 G.1.3.2) d) 能力评价 : 在认证活动管理和实施的相应阶段, 采用适宜的能力评价方法, 依据专业能力要求, 对拟使用的人员实施能力评价, 以确定其是否具备所需的专业能力 ( 参见 G.1.4) 下列情况时宜对人员能力进行补充评价 : 1) 技术领域分类和 ( 或 ) 专业能力要求得到了更新 ; 2) 通过能力的持续监视获得了相关反馈 ; 3) 对人员能力进行了提升 e) 能力提升和补充 : 当能力评价结果显示相关人员的能力不满足专业能力要求时, 通过适当方式 ( 例如培训 ) 提升其能力, 或通过其他途径 ( 例如技术专家 ) 补足所需的能力 f) 选择和使用对特定客户组织实施审核和认证的人员 : 根据特定客户组织涉及

第 14 页共 28 页的技术领域类别和专业能力, 从经评价可供使用的人员中选择具备相应能力的人员, 用于对该客户组织实施审核和认证 g) 能力的持续监视 : 对人员专业能力的运用保持和发展情况进行持续监视, 以便为人员能力补充评价提供输入图 G.1 ISMS 认证人员专业能力的分析和评价 G.1.3 能力需求分析 G.1.3.1 认证业务范围专业能力需求分析 G.1.3.1.1 作为 ISMS 认证人员专业能力分析和评价的起点, 认证机构宜对本机构认证活动涉及的认证业务范围大类和中类进行专业能力需求分析认证业务范围专业能力需求分析是为了初步识别实施涉及某个大类或中类的认证活动所需的专业知识, 以便为归纳技术领域分类和确定专业能力要求, 搭建能力分析和评价系统的框架, 以及后续的针对特定客户组织实施专业能力分析奠定基础因此, 认证业务范围大类和中类的专业能力需求分析可基于该类别的典型的有代表性的情况, 而不必穷尽该类别涉及的所有情况

第 15 页共 28 页 G.1.3.1.2 实施认证活动需要了解 ISMS 建立与实施中涉及的知识, 而信息安全风险评估和处置是建立与实施 ISMS 的基础因此, 认证业务范围大类或中类的能力需求分析可采用信息安全风险评估和处置的思路 ( 见图 G.2), 分析该类别 ISMS 建立与实施的典型情况及相应的知识, 包括 : a) 分析典型的业务流程和信息处理流程 ; b) 基于典型的业务流程和信息处理流程, 分析典型资产 ( 包括硬件软件网络业务系统人员和数据资料等 ) 和典型信息安全风险 ( 包括脆弱性和威胁 ); c) 基于典型信息处理流程和典型资产, 分析信息技术在该类别中的典型应用 ; d) 基于业务活动要求法规要求和合同 / 相关方要求分析典型信息安全要求 ; e) 基于典型资产和典型信息安全要求, 分析典型信息资产的典型信息安全特性, 例如保密性可用性完整性真实性不可抵赖性可追溯性等 ; f) 基于典型信息安全风险和典型信息资产的典型信息安全特性, 分析典型控制措施 ; g) 基于典型控制措施, 分析信息安全技术在该类别中的典型应用图 G.2 ISMS 认证业务范围能力需求分析思路 G.1.3.2 特定客户组织能力需求分析 G.1.3.2.1 认证机构在对特定客户组织实施申请评审时, 宜根据该组织的具体情况以及本机构技术领域的分类和专业能力要求, 分析和确定对该组织实施审核和认证所涉及的技术领域类别和相应的专业能力 ( 即能力需求 ), 并从经评价可用的人力资源中选择具备这些专业能力的人员, 对该组织实施审核和认证认证机构在授予客户组织初次认证后, 宜在审核方案管理中关注客户组织发生的任何可能影响其能力需求的变化, 并及时根据此类变化对客户组织的能力需求和配备的认证人员进行必要的调整 G.1.3.2.2 由于技术领域的分类和专业能力要求主要在认证业务范围能力需求分析的基础上确定, 而后者基于相关业务范围类别的典型情况, 不一定考虑到所有可能的

第 16 页共 28 页情况, 因此对特定客户组织进行能力需求分析时宜注意识别该组织是否存在认证业务范围能力需求分析时未考虑到的情况如果存在, 宜基于所识别的情况进行补充分析 ( 可采用图 G.2 的分析思路 ), 并根据补充分析的结果对现有的技术领域的分类和 ( 或 ) 专业能力要求进行调整和完善, 然后相应地对相关认证人员的能力进行补充评价, 并在必要时进行能力的提升或补充, 以确保具有充分的能力对特定客户组织实施审核和认证活动 G.1.3.2.3 特定客户组织的能力需求分析由申请评审人员实施由于申请评审人员的能力依据现有的专业能力要求评定, 所以当特定客户组织能力需求分析的过程中有迹象显示该组织涉及的专业能力可能超出现有的专业能力要求时, 认证机构宜及时确认申请评审人员的能力, 并在必要时通过适宜方式补足对特定客户组织实施能力需求分析所需的能力 G.1.4 能力评价 G.1.4.1 能力评价是获取被评价人能力的证据, 并将能力的证据与能力要求进行比较, 以确定被评价人是否满足能力要求的过程能力评价宜保留能力证据评价活动和评价结论的记录 ( 包括音像资料 ) G.1.4.2 能力的证据宜与能力要求的内容相关, 并且能够为评价结论提供支持因此, 认证机构宜通过适宜的评价方法获取充分的能力证据评价方法的选择宜考虑 : a) 评价所依据的能力要求的内容 ( 包括知识技能所要实现的结果 ); b) 评价的目的, 例如 : 初次聘用持续监视扩大能力范围能力要求更新后的补充评价等 ; c) 已建立的对被评价人能力的了解和信心以下介绍了一些常用的评价方法这些方法宜组合使用, 以获得关于被评价人员能力的充分证据和全面评价 ; 通常, 仅采用其中某一种方法不足以对被评价人的能力做出全面评价 a) 记录审查 : 对被评价人的教育工作培训审核的相关记录进行审查, 以获取其知识和技能的证据, 获得对其能力的基本了解记录审查的注意事项包括 : 1) 记录内容宜尽可能详细充分, 以便于识别被评价人所具有的知识和技能 ; 2) 宜通过调查面谈等方法对记录中的相关信息进行必要的验证澄清和确认 ; 3) 在通过记录审查获得对被评价人能力的基本了解后, 宜进一步通过考试见证等方法对其能力进行确认 ; 4) 不宜直接根据被评价人的学历工作年限培训时间审核次数 / 天数等经历认定其满足相关能力要求 b) 意见反馈 : 通过被评价人的工作单位同事或客户组织等方面反映的意见了解被评价人员的知识技能表现等情况意见反馈宜作为其他评价方法的

第 17 页共 28 页补充, 不宜仅根据某方面的意见对被评价人的能力做出判断 c) 面谈 : 面谈有助于详细了解被评价人的知识或技能, 并可用于评估语言沟通人际管理方面的技能依据能力要求对被评价人进行结构化面谈, 并予以适当记录, 可以获得其能力的直接证据面试的示例 : - 人员招聘时进行面谈, 以从人员的简历和过去的工作经历详细了解其知识和技能 ; - 在绩效考评中进行面谈, 了解人员知识和技能的具体情况 ; - 在见证或审核报告的复核中与审核组成员进行面谈, 以了解审核员的知识和技能做出某项结论的理由或选择审核方法审核路径的理由 d) 考试 : 包括笔试口试和实际操作考试笔试可以为人员的知识提供良好的文件化证据对于人员的技能也可通过适宜的笔试方法获取证据口试可为人员的知识提供良好的证据, 但在人员技能的评价上作用有限实际操作考试的示例包括情景演练案例分析压力模拟岗位实操考核等 e) 见证 : 对人员实施工作任务的情况进行观察, 可以用于认证机构的所有人员见证可以为人员的能力提供直接证据 ISO/IEC 27007 信息技术安全技术信息安全管理体系审核指南第 7 章为 ISMS 认证机构确定用以满足审核方案需求的审核员能力提供了指南, 认证机构建立和实施能力分析评价系统时可参考采用 G.2 ISMS 审核范围和认证范围界定指南 G.2.1 概述 G.2.1.1 鉴于 : a) GB/T22080-2008/ISO/IEC27001:2005 条款 4.2.1 a) 明确提出组织应根据业务组织位置资产和技术等方面的特性, 确定 ISMS 的范围和边界, 包括对范围任何删减的详细说明和正当性理由 ; b) ISO/IEC 27003 信息技术 - 安全技术 - 信息安全管理体系实施指南就组织 ISMS 范围的确定提供了指南 ; c) CNAS-CC17 中, 条款 9.1.2 IS 9.1.2 认证范围对认证机构确定组织 ISMS 的范围和边界提出了要求 ; 条款 8.2.1 IS 8.2 ISMS 的认证文件对认证文件中认证范围的描述提出了要求 ; 认证机构宜在审核中确认 : a) 客户组织根据其业务组织技术物理和资产的特性充分清晰地界定了其 ISMS 的范围和边界 ; b) 客户组织的信息安全风险评估和风险处置与其 ISMS 的范围和边界一致, 并其适用性声明中得到体现 ; 与不完全属于客户组织 ISMS 范围内的服务或活动的接口已得到说明, 并已包括在客户组织的信息安全风险评估中, 例如 : 与其他机构共享设施的情况 ( 信息技术系统数据库和通讯系统等 )

第 18 页共 28 页认证机构宜在申请评审和第一阶段审核中确认客户组织 ISMS 范围和边界的界定是否清晰和充分适宜时, 审核组宜在第二阶段审核报告中予以适当描述 G.2.1.2 认证机构审核组宜针对所有适用的认证要求, 对包含在确定范围内的客户组织的 ISMS 进行审核认证机构提供给客户组织的认证证书或文件所描述的认证范围应与认证机构审核确认的客户组织的 ISMS 的范围和边界相一致认证范围宜至少包括以下内容 : a) 认证客户组织的业务范围和边界 ; b) 认证客户组织的组织范围和边界 ; c) 认证客户组织的物理范围和边界 ; d) 对组织 ISMS 相关和适用的控制目标和控制措施的情况, 及其任何删减的细节和正当性理由, 即适用性声明 ; 在证书范围上列明适用性声明文件的适用版本 G.2.2 组织 ISMS 范围和边界的界定组织 ISMS 的范围和边界宜从业务组织技术物理和资产五个方面来定义 G.2.2.1 业务范围和边界的界定业务范围和边界主要包括关键业务及业务特性描述 ( 业务服务资产和每一个资产的责任范围和边界等的说明 ) 一般从其从事的业务流程进行描述, 如软件开发系统集成等如果客户组织只是选择其部分业务流程进入到 ISMS 范围, 则必须确保被选择的业务流程所涉及的所有资产均已在风险评估中予以考虑, 对于 ISMS 范围内的业务流程与范围之外的业务流程共用的资产和技术, 要识别其可能产生的风险及相应的控制措施需求 G.2.2.2 组织范围和边界的界定组织范围和边界一般可以通过 ISMS 范围内的职能部门过程组织结构来界定对于没有纳入到组织 ISMS 范围内的职能和部门, 客户组织应提供将其排除在外的适当理由在界定组织范围和边界时, 客户组织宜考虑以下因素 : a) 在确定组织范围和边界时需考虑组织 ISMS 的 PDCA 管理的完整性, 确保组织 ISMSPDCA 管理所涉及的所有职能和部门均已纳入管理体系范围如某客户组织申请认证的业务范围是软件开发, 则覆盖的组织范围和边界除了软件开发业务职能部门外, 其它如涉及该业务的 ISMS 策划部门监控和持续改进职能部门也宜纳入到其 ISMS 范围 ; b) 信息安全管理委员会 / 管理机构宜包括与 ISMS 直接相关的管理人员 ; c) 对 ISMS 负责的管理层人员宜是对所覆盖的所有职责领域负有最终责任的人员 ( 即他们的角色通常是由其在组织中的控制力和职责的范围所决定的 ); d) 如果负责管理 ISMS 的角色不是高层管理人员, 则有必要让一名来自最高管理层组织高层的发起人来作为信息安全利益的代表, 并在组织的最高层作为

第 19 页共 28 页 ISMS 的代言人 ; e) 组织范围和边界的界定方式需要使所有相关资产均被纳入风险评估的考虑之中以识别其风险控制需求对于组织 ISMS 范围内的职能部门与体系范围外的职能部门共用的资产与技术, 要识别其可能产生的风险及相应的控制措施需求基于以上考虑, 在界定组织的边界时, 宜识别 ISMS 所影响的所有人员, 并将其包括在组织的范围内人员的识别可以与过程和 ( 或 ) 职能部门联系起来如果组织范围内的某些过程被外包给第三方, 这些依赖关系宜清晰地形成文件 G.2.2.3 确定物理范围和边界物理范围和边界一般根据组织业务运营实际使用并控制的地理位置, 包括建筑物场所或设施进行界定对于跨越物理边界的信息系统, 客户组织在确定物理范围和边界时宜考虑以下因素 : a) 远程设备 ; b) 通过顾客的信息系统以及第三方所提供的服务的接口 ; c) 适用时, 适当的接口和服务级别在考虑以上因素的基础上, 物理范围和边界的描述一般宜包括以下适用的方面 : a) 结合职能部门或过程的物理位置以及组织对其的控制程度, 对职能部门或流程进行描述 ; b) 在组织信息通信技术边界内的储存或包含信息通信技术硬件或 ISMS 范围内的数据 ( 如在备份磁带上 ) 的专用设施如果这些内容不是由组织自己控制, 则应将与第三方之间的依从关系形成文件认证机构在确定客户组织审核范围时宜考虑其临时场所和异地备份地点的情况对临时场所一般宜到现场进行审核, 但如能同时满足以下条件则可考虑采用其它非现场方式取证 : a) 客户组织的客户有充分合适的理由 ( 例如 : 客户组织提供的系统集成或服务项目涉及客户机密信息或项目实施地址距离客户组织较远 ); b) 客户组织已对临时现场风险进行评估并且该残余风险是可接受的, 不是重大风险 ; c) 客户组织已经采取措施对临时现场信息安全风险进行监控或定期检查 ; d) 审核员确认通过上述方法客户组织的信息安全风险可以得到控制如果组织内有建筑物场所或设施没有纳入到 ISMS 范围内的, 客户组织宜说明其排除在外的适当理由 G.2.2.4 确定资产范围和边界资产范围和边界的确定一般可根据确定的客户组织的业务组织和物理边界进行确定在确定客户组织的资产范围和边界时, 宜考虑以下因素 :

第 20 页共 28 页 a) 资产范围宜包括软件资产硬件资产数据资产文件资产人员资产及服务资产等方面 ; b) 客户组织 ISMS 范围内的业务流程组织与职能物理范围内的所有资产均宜纳入组织信息安全风险评估范围 G.2.2.5 确定技术范围和边界技术范围和边界主要是指客户组织所使用的信息与通信技术 (ICT) 和其它技术的范围和边界, 一般可以通过识别组织使用的信息系统的方法进行确定组织为支持其业务运作而进行的存储处理或传输关键信息的各类信息系统一般宜纳入组织 ISMS 范围组织信息系统可能跨越组织边界甚至国界, 在这种情况下, 确定组织组织信息系统的范围应考虑以下因素 : a) 社会文化环境 ; b) 适用的法律法规及合同要求 ; c) 对关键职责的责任 ; d) 技术约束 ( 如 : 可用的带宽服务的可用性等 ) 在考虑到以上因素后, 适用时组织技术范围和边界的确定应包括以下描述 : a) 组织负有管理职责的包含不同技术 ( 例如无线有线或数据 / 语音网络 ) 的通信设施 ; b) 组织边界内的被组织控制和使用的软件 ; c) 网络应用或生产系统所要求的信息通信技术硬件 ; d) 与信息通信技术硬件网络和软件有关的角色和职责当上述内容不是由客户组织自行控制时, 宜将对第三方的依从关系用文件清晰定义对于任何由组织所管理的但被排除在 ISMS 范围之外的信息通信技术, 宜提供排除的理由 G.2.2.6 组织 ISMS 范围和边界的综合描述以上五个方面的范围和边界是相互渗透紧密联系的综合以上五个方面的范围和边界后, 组织 ISMS 的范围和边界可从以下方面进行描述 : a) 组织的关键特征 ( 组织的职能部门组织结构服务资产以及各资产的责任范围和边界等 ); b) 范围内的组织的过程 ; c) 范围内的设备和网络的配置 ; d) 范围内的信息资产列表 ; e) 范围内的信息通信技术资产 ( 例如服务器 ) 列表 ; f) 范围内的场所位置图, 并指出组织 ISMS 的物理边界 ; g) ISMS 范围内的角色和职责描述, 以及其与组织结构的关系 ; h) 对于 ISMS 范围的任何删减的细节和正当性理由 G.3 ISMS 审核时间确定指南

第 21 页共 28 页 ISMS 认证机构在基于 CNAS-CC17 附录 C 审核时间表 C.1 审核时间表确定审核时间时, 除了考虑 CNAS-CC17 附录 C 中的指南外, 还宜考虑以下因素 : a) 同一业务同一工作岗位 ( 如在软件开发企业中都从事软件测试工作 ) 人数大于 100 的, 且其占总人数 50% 以上的, 可减少 CNAS-CC17 附录 C 表 C.1 所列审核时间 ( 以下简称表列时间 ) 的 20%; b) 用户数量达到 20-100 万的, 宜增加表列时间的 5%; 用户数量达到 100 万以上的, 宜增加表列时间的 10%; c) 单一场所多建筑物时, 每 3-5 个建筑物宜增加 1 人日, 另外宜增加在建筑物之间移动所需的路程时间 ; d) 被抽样的临时场所, 每 3-5 个临时场所宜增加 1 人日, 另外宜增加临时场所往返所需的路程时间 ; e) 在计算多场所审核所需时间时,CNAS-CC11 适用 ; f) 相应的认证业务范围中类级别为一级的宜增加表列时间的 10%; 认证业务范围中类级别为三级的可减少表列时间的 5%; g) 服务器 100 台以上的, 宜增加表列时间的 5%; h) 工作语言非中文的增加表列时间的 10%-20%; i) 客户组织保持了同一认证机构其他管理体系认证的, 可减少表列时间的 5%-10%; j) 客户组织管理体系成熟的或通过其他认证机构 ISMS 认证的, 可减少表列时间的 5%-10% k) 通常情况下, 根据 CNAS-CC17 附录 C 以及本文件指南对表列时间所做的全部增加和减少累加后不宜使表列时间被减少 30%; l) 现场审核时间不宜少于根据 CNAS-CC17 附录 C 以及本文件指南所确定的审核时间的 80%

第 22 页共 28 页附录 A( 规范性附录 ) ISMS 认证机构认证业务范围分类与分级大类中类级别描述备注政务包括人大政府法院检察院等, 不含税务 01.01 一国家机构机关和海关 01 01.02 一税务机关 01.03 一海关 01.04 二其他例如政党, 政协, 社会团体等公共 02.01 一通信广播电视 02.02 一新闻出版包括互联网内容的提供 02.03 二科研涉及特别重大项目的应提升为一级 02 02.04 二社会保障例如社会保险基金管理慈善团体等包括医疗保险 02.05 二医疗服务 02.06 三教育 02.07 三其他例如市政公用事业 ( 水的生产和供应污水处理燃气生产和供应热力生产和供应城市水陆交通设施的维护管理等 ) 商务 03.01 一金融例如银行证券期货保险资产管理等 03.02 一电子商务以在线交易为主要特点, 含网络游戏 03 03.03 一物流包括邮政 03.04 三咨询中介例如法律会计审计公证等 03.05 三旅游宾馆饭店 03.06 三其他产品的生产产品包括软件硬件流程性材料和服务 04.01 一电力包括发电和输变配电等 04.02 一铁路 04.03 一民航 04.04 一化工 04.05 一航空航天 04.06 一水利 04 包括公路水路城市公共客运交通等, 不含 04.07 二交通运输航空和铁路 04.08 二信息与通信技术例如软硬件生产及其服务, 系统集成及其服务, 数字版权保护等 04.09 二冶金 04.10 二采矿含石油天然气开采 04.11 二食品药品烟草 04.12 三农林牧副渔业 04.13 三其他注 1:CNAS 提出 ISMS 认证机构认证业务范围分类是为了在规范的框架下对认证机构的能力实施评审, 并相应地限定其认可范围, 以促使 ISMS 认证活动规范有序地发展, 控制认可风险 ; 同时给各认证机构开展能力分析和评价提供一致的框架该分类并不意味着 CNAS 批准认证机构可以对每个类别中的任何组织实施认证活动注 2:CNAS 考虑到 ISMS 相关技术和知识与组织的业务活动具有相关性, 组织相关方和业内专家,

第 23 页共 28 页通过讨论和划分 ISMS 认证组织业务活动的类型, 提出了认证业务范围分类该分类基于我国 ISMS 认证和认可活动当前的实践和经验, 注意涵盖了我国信息安全等级保护的重点领域, 例如 : 广播电视网通信网金融银行电力铁路民航石油化工等, 同时兼顾了其他行业领域注 3: 由于 ISMS 认证在世界范围内仍处于发展阶段, 我国 ISMS 认证的数量以及涉及的业务活动类型都还有限, 所以认证业务范围中组织业务活动类型的划分方式仍需随着我国 ISMS 认证的发展和经验的增加不断改进因此认证机构不宜直接将认证业务范围分类作为业务应用技术领域分类, 而需要以其为框架进一步分析和确定业务应用技术领域注 4: 认证业务范围分级是为了使 CNAS 在确定认证业务范围的评审方式时考虑相关的风险, 从而对认证机构业务活动的扩展进行控制, 降低认可风险这里的风险是指 CNAS 认可的风险, 即 CNAS 认可的 ISMS 认证机构所认证的组织的信息安全发生问题时, 连带使 CNAS 声誉受损或承担责任的风险每个中类的级别主要考虑了在该中类信息安全对于国家安全社会秩序公共利益组织及其相关方合法权益的重要性的典型情况

第 24 页共 28 页附录 B( 资料性附录 ) 通用信息安全技术领域和通用信息技术领域参考分类知识点及应用注 : 以下的参考分类不是为了对信息安全技术和信息技术的学科门类进行精确的划分, 而是给出一种相对合理且具有实用性的分类, 以供 ISMS 认证机构在能力分析和评价中参考 A 通用信息安全技术领域分类要素描述知识点能够应用知识点对下列方面进行分析和判断 A1.1 常见的风险评估方法风险评估方法是否符合标准要求信息安全典型资产的信息安全重要度风险评估的实施是否符合风险评估方法要求 A1 信息安全风险管理风险评估 A1.2 信息安全风险处置 A1.3 脆弱性管理典型资产常见的脆弱性威胁和风险风险处置的基本要素和典型风险处置方法典型资产常见脆弱性的控制措施典型资产常见威胁的防范措施典型信息安全风险的防范措施典型的操作系统漏洞及获取方式典型的应用系统漏洞系统漏洞的管理方法与工具风险评估报告的内容 ( 重要资产主要脆弱性和威胁主要风险的分析与评价等 ) 是否充分风险处置计划是否充分和符合风险处置准则控制措施是否适宜残余风险的实际状况脆弱性是否得到管理脆弱性的报告机制是否完善是否具有及时应对脆弱点的途径业务连续性管理的信息安全方面要求关键业务的分析是否充分 A2.1 业务连续性管理程序的要求业务连续性计划是否充分 A2 信息安全事件管理业务连续性管理 A2.2 备份与恢复业务连续性计划业务连续性演练方案制定方法业务连续性演练分析评价方法典型的应急响应流程主流的灾备技术典型的灾备设备典型的灾备管理规范典型的灾备方案和环境业务连续性演练方案是否充分, 执行是否有效业务连续性演练分析是否充分评价是否有效灾备要求分析是否充分灾备方案是否充分日常灾备管理是否符合管理规范灾备演练是否有效灾备演练分析是否充分评价是否有效

第 25 页共 28 页分类要素描述知识点能够应用知识点对下列方面进行分析和判断 A3 物理和环境安全 A3.1 区域安全 A3.2 支持性设施与设备安全安全区域的划分原则安全区域的典型控制措施典型的支持性设施与设备的作用与性能典型的支持性设施与设备的维护与管理要求安全区域划分是否合理安全区域标识是否清晰安全区域的控制是否有效支持性设施与设备的维护是否符合规范支持性设施与设备的应急措施是否有效支持性设施与设备的维护记录是否完整网络环境与边界划分网络管理是否规范典型的网络环境网络区域划分是否满足风险控制要求 A4.1 典型的网络设备所采取的边界防护措施是否满足风险控制的要求边界防护典型的网络攻击手段网络与边界防护设备维护是否符合规范典型的边界防护技术网络与边界防护应急措施是否有效网络与边界防护设备的维护记录是否完整 A4 网络安全 A4.2 主机安全主流的计算环境典型的操作系统典型的系统安全问题典型的系统安全加固技术是否制定和执行了主机日志管理规范主机安全加固是否满足风险控制要求主机设备维护是否符合规范主机设备应急措施是否有效主机设备的维护记录是否完整恶意和移动代码的基本原理是否制定和执行了恶意和移动代码管理规范 A4.3 流行的恶意代码移动代码使用是否适宜防范恶意和恶意代码的防护技术恶意代码防护措施是否满足信息风险控制的要求移动代码移动代码的使用规范主流的恶意代码检测防护产品 A5 访问控制 A5.1 用户访问控制 A5.2 移动计算和远程工作用户鉴别技术及主流产品典型的网络访问控制方式典型的操作系统访问控制方式典型的应用和信息 ( 含数据库 ) 访问控制安全通讯协议移动计算模式远程工作模式远程工作的典型问题是否制定和执行了用户访问控制规范访问控制的日志是否完整访问控制日常检查是否有效采取的安全通讯协议是否满足风险控制要求是否制定和执行了移动计算与远程工作管理规范

第 26 页共 28 页分类要素描述知识点能够应用知识点对下列方面进行分析和判断 A6.1 软件安全开发软件安全设计与开发的过程管理典型的应用软件安全问题典型的应用软件安全控制措施是否制定和执行了软件开发安全控制规范软件开发设计中是否进行了安全需求分析并针对安全需求进行了专门设计软件开发环境是否独立开发文档管理是否规范 A6.2 典型的应用软件测试方法测试记录管理是否规范 A6 软件安全主要的应用软件安全测试点和安全测试工具必要安全测试点是否完成测试软件测试测试环境是否独立安全 A6.3 软件分发管理技术是否制定和执行了软件获取与分发规范软件获取与典型的软件获取方式软件开发测试验收的文档管理是否规范分发管理典型的软件分发方式及工具软件分发控制是否有效 A6.4 软件安全审计技术是否制定和执行了软件安全审计规范软件安全应用软件的关键安全审计点软件安全设计工具的使用是否得到控制审计典型的应用软件安全审计工具软件安全审计的记录是否完整 A7 密码 A7.1 密码原理密钥管理密码基本原理典型的密码算法密钥管理技术密码应用与密钥管理的相关要求密码的应用是否符合法律法规要求如果采用密码算法, 是否达到风险控制要求如果使用密钥, 密钥管理是否符合相关要求技术 A7.2 PKI 基本原理和典型应用如果建立 CA 中心, 是否符合法律法规要求公钥体系 RSA 和 ECC( 两个典型算法 ) 如果采用密码算法, 密钥长度是否达到风险控制要求 (PKI) CA 证书及其管理 CA 中心的管理要求 A8 信息安全建设 A8.1 信息技术产品安全性 A8.2 信息安全工程 A8.3 信息安全产品信息技术产品安全性评价信息技术产品安全性保障配置管理与安全配置信息安全工程概念信息安全工程管理手段主流的信息安全产品信息安全产品的管理要求如果是信息技术产品开发者, 是否制定和执行了相应的产品安全性保障规范采用的信息技术产品是否经过了适宜的安全性评价对信息技术产品是否采取了必要的配置管理措施信息技术产品的安全配置是否满足信息安全风险控制的要求适用时, 是否制定和执行了信息安全工程规范采用的信息安全产品是否满足信息安全风险控制的要求采用的信息安全产品是否符合相关法律法规的要求是否制定和执行了信息安全产品的配置管理规范是否制定和执行了信息安全产品的日志管理规范

第 27 页共 28 页 B 通用信息技术领域分类要素描述知识点能够应用知识点对下列方面进行分析和判断 B1 信息技术基础 B1.1 通讯技术基础 ( 包括网络通讯和传统通讯技术 ) B1.2 计算机技术基础 B1.3 系统集成 B1.4 软件工程网络通讯原理传统通讯原理 TCP/IP 协议族典型的通讯环境典型通讯问题计算机原理操作系统数据库原理系统集成的基本方法与项目管理方法系统集成方案设计典型的系统集成工程软件工程基本思想软件项目实施 CMMi 软件开发管理相关国家标准网络结构是否符合组织风险控制要求路由策略管理是否规范通讯外包服务管理是否规范通讯设备的授权控制是否规范通讯设备的日志分析是否有效传统通讯环境下的新设备管理是否规范系统的容量管理是否有效系统的脆弱性管理是否有效系统的授权控制是否规范系统的日志分析是否有效系统的版本管理是否规范数据库的配置管理是否适宜数据库的用户管理与访问控制是否规范数据库的备份策略与测试是否有效数据库的备份信息管理是否规范数据库脆弱性管理是否有效数据库的日志分析是否有效项目的安全需求分析是否充分项目的文档管理是否规范项目实施的监理是否规范项目验收是否规范项目的后续服务保障是否落实软件开发安全需求分析是否充分软件开发文档管理是否规范软件开发文档是否完整软件测试管理是否规范软件验收是否规范软件开发环境管理是否规范软件脆弱性管理是否有效软件版本控制是否规范

第 28 页共 28 页分类要素描述知识点能够应用知识点对下列方面进行分析和判断常用的操作系统参照 B1.2, 并考虑以下方面 : B2.1 典型操作系统的适用环境配备的网络环境系统环境和应用环境是否适宜通用支撑平台应用支撑平台分层应用服务的版本管理是否规范 ( 操作系统数据库中间件 ) 主流的应用支撑平台主流数据库应用服务器的脆弱性管理是否有效应用服务器的授权管理是否规范操作系统应用支撑平台和数据的主要安全问题应用服务器的日志分析是否充分 B2.2 主流软件开发平台参照 B1.4 B2 主流软件开发平台主要软件测试工具信息技术应用 B2.3 IT 服务管理 IT 服务管理基本思想 IT 服务管理流程典型 IT 服务管理工具外包管理是否规范服务级别协议是否适宜服务管理流程设置是否满足客户服务级别协议要求对事件问题知识的管理是否规范典型的大众化应用系统应用系统的容量管理是否有效 ( 如 OA 网站邮件系统即时通讯系统 ERP 等 ) 应用系统的脆弱性管理是否有效 B2.4 应用系统的授权控制是否规范典型大众化应用应用系统的日志分析是否充分应用系统的版本管理是否规范应用系统的基本安全防护是否有效