信息安全管理体系认证实施规则
信息安全管理体系认证规则
信息安全管理体系认证规则信息安全管理体系认证是指通过评估和认证确认组织、企业或个人能够保护其信息资产得以长期稳定可靠地存在和运行,并保证成员、客户和合作伙伴的信息得以安全保护的管理体系。
这是企业或组织在信息化管理中对信息安全的一种保障。
信息安全管理体系认证规则包括以下内容:一、规定了信息安全管理体系的具体实施要求。
ISO27001:2005标准中所涉及的信息安全管理体系要素、要求和控制措施,以及实施这些要素、要求和控制措施的方法、程序、技术等等,都被认为是信息安全管理体系规则的具体实施要求。
二、规定了如何进行认证和评估。
在信息安全管理体系认证规则中,详细规定了如何进行评估和认证。
在评估和认证时,应使用ISO27001标准中制定的评估标准,采用规定的程序,对组织或企业的信息安全管理体系进行评估和认证。
三、规定了认证体系的建立和实施。
信息安全管理体系认证规则告诉企业或组织如何建立和实施信息安全管理体系认证体系,具体包括建立认证委员会、认证程序、认证员培训等等。
四、规定了认证周期和维护。
信息安全管理体系认证规则中规定了认证的周期和维护,在认证后,组织或企业需要定期进行维护,以保证其信息安全管理体系的有效性和有效性的持续性。
五、规定了认证的相关要求和规则。
信息安全管理体系认证规则不仅详细规定了认证的程序和实施要求,进一步细化了一系列相关要求和规则,以保证其认证结果的公正性和有效性。
六、规定了认证的结果和后续处理。
在认证过程中,必须根据规定的要求提供相关材料和信息,进行合理的解释,并在认证结果公布后进行后续处理。
此外,认证规则还规定了如何处理认证的非符合性,并对认证结果进行了规范化处理。
信息安全对于现代企业或组织来说极为重要,因此,深入了解信息安全管理体系认证规则,建立并实施有效的信息安全管理体系是保障企业信息安全的重要途径。
27001信息安全管理体系认证标准
一、xxx信息安全管理体系认证标准介绍xxx信息安全管理体系认证标准是指针对组织的信息安全管理体系进行认证的国际标准。
它的出现,是为了帮助组织建立、实施、监控、审查、维护和改进信息安全管理系统,以确保组织在信息安全管理方面持续改进,保护组织的敏感信息和数据资产,保障信息系统的安全性,以及提升组织形象和信任度。
在当今数字化和信息化的社会环境中,信息安全已经成为组织必须重视的重要事项,而xxx信息安全管理体系认证标准的出现,无疑对组织信息安全的保障起到了至关重要的作用。
二、xxx信息安全管理体系认证标准的要求1. xxx信息安全管理体系认证标准在许多方面都有强调的要求。
首先是关于组织业务和信息资产的保护。
这包括了对组织内部的所有信息、硬件和软件资源的保护,以及对外部信息资产的保护。
其次是对信息安全风险的管理。
组织需要对信息安全相关风险进行评估、处理和监控,以及保障信息安全政策的实施。
再次是对信息安全的控制和持续改善的要求。
这包括了对信息系统的控制措施,对信息安全活动的监控和审查,以及对信息安全管理体系的持续改进。
2. xxx信息安全管理体系认证标准还强调了组织内外部信息安全管理的合规性。
这体现在组织需要遵循国际和行业相关的信息安全法规、标准和规范等。
组织还需要对信息安全事件和突发情况做好准备,以及建立和维护信息安全培训和意识计划。
三、xxx信息安全管理体系认证标准的价值和意义xxx信息安全管理体系认证标准的出现,无疑为组织信息安全管理带来了许多积极的影响。
它有助于组织提升信息安全管理水平,规范组织信息安全管理行为,确保信息安全政策的实施和信息安全风险的有效管理。
它提高了组织在信息安全领域的形象和信任度,有助于组织与客户和合作伙伴的信任建立和合作。
它有助于组织遵循国际和行业相关的信息安全法规和规范,减少了组织在信息安全方面的合规风险。
四、我的观点和理解在我看来,xxx信息安全管理体系认证标准是组织信息安全管理的重要工具和保障。
信息安全管理体系认证要求
信息安全管理体系认证要求信息安全管理体系认证是指组织根据国际标准ISO 27001,对信息安全管理体系进行评估和认证。
它是一种系统的方法,帮助组织确保其信息资产得到恰当的保护。
以下是相关认证要求的详细解析。
1.领导承诺和组织承诺:-领导层应对信息安全提出明确的承诺和目标,并将其与业务目标相结合。
-组织应确保领导层在信息安全方面拥有最终的责任和决策权。
2.风险管理:-组织应对所有信息资产进行全面的风险评估,并确定适当的控制措施以减轻这些风险。
-组织应确保制定和实施一套风险管理程序,以处理已识别的风险。
3.安全政策与程序:-组织应制定和实施适当的安全政策和程序,以指导员工在处理信息时采取正确的方式。
-安全政策和程序应明确规定信息安全的目标、责任和规范,并且应由所有员工遵守。
4.组织与资源:-组织应确保在信息安全管理方面分配足够的资源,以确保信息资产得到适当的保护。
-组织应指定一位信息安全管理代表,负责协调和管理信息安全事务。
5.人员安全:-组织应开展信息安全培训和意识教育,确保员工了解信息安全政策和程序,并能正确处理信息资产。
-组织应对员工进行背景调查,确保他们不会对信息安全构成威胁。
6.物理和环境安全:-组织应采取适当的措施,确保信息设施和环境得到保护,以防止未经授权的访问、损失或损坏。
7.通信和运营管理:-组织应对其网络和通信设施实施适当的安全措施,以防止未经授权的访问和数据泄露。
-组织应确保及时监测和管理其信息系统和网络,以发现和阻止潜在的安全威胁。
8.供应商和合作伙伴管理:-组织应确保与供应商和合作伙伴之间建立安全合作伙伴关系,并确保他们符合信息安全要求。
-组织应审查和监管与供应商和合作伙伴之间的合同,以确保信息安全得到维护。
9.信息安全事件管理:-组织应制定和实施适当的信息安全事件管理计划,以应对各种信息安全事件的发生。
-组织应记录和报告所有的信息安全事件,并采取适当的措施进行调查和应对。
信息技术服务管理体系认证实施规则
附件二信息技术服务管理体系认证实施规则目 录1 适用范围2 认证依据3 认证程序3.1 认证申请3.2 申请评审3.3 现场审核的准备3.4 初次认证审核3.5 认证决定3.6 监督审核3.7 再认证3.8 特殊审核3.9 暂停、撤消认证或缩小认证范围4 认证证书4.1证书内容4.2证书编号4.3 对获证组织正确宣传认证结果的控制5 对获证组织的信息通报要求及响应5.1 信息通报5.2信息分析与响应1 适用范围本规则用于规范认证机构在中国境内开展信息技术服务管理体系认证活动。
2 认证依据信息技术服务管理体系认证以国家标准 GB/T 24405.1《信息技术 服务管理 第1部分:规范》为认证依据,并按照国家认监委确定的《开展信息技术服务管理体系认证的业务类别表》划分认证类别。
3认证程序3.1 认证申请3.1.1认证机构应向申请认证的社会组织(以下称申请组织)至少公开以下信息:(1)认证范围;(2)认证工作程序;(3)认证依据;(4)证书有效期;(5)认证收费标准。
3.1.2认证机构应要求申请组织的授权代表至少提供以下必要的信息:(1)法人资格证明(工商营业执照、事业单位法人证书或社会团体法人登记证书);(2)取得相关法规规定的行政许可文件(适用时);(3)从事的业务活动符合中华人民共和国相关法律、法规、信息技术服务标准和有关规范的要求;(4)对信息技术服务管理体系认证范围涉及的业务活动的描述,包括利用信息技术为内部或外部顾客的业务过程提供支持的说明;(5)已按认证依据和相关要求建立和实施了文件化的信息技术服务管理体系;(6) 体系有效运行3个月以上,并且已完成内部审核和管理评审。
3.1.3上述必要信息应使认证机构能够确定:(1)申请组织的行业类别和服务要求;(2)申请认证的范围;(3)申请组织的一般特征,包括其名称、物理场所的地址、利用信息技术为内部或外部顾客的业务过程提供支持的说明、过程和运作的重要方面以及任何相关的法律义务;(4)申请组织与申请认证的领域相关的一般信息,包括其活动,人力与技术资源,以及适用时,其在一个较大实体中的职能和关系;(5)申请组织采用的所有影响符合性的外包过程的信息;(6)接受与信息技术服务管理体系有关的咨询的情况。
信息安全管理体系
ISO/IEC27001知识体系1.ISMS概述 (2)1。
1 什么是ISMS (2)1。
2 为什么需要ISMS (3)1。
3 如何建立ISMS (5)2。
ISMS标准 (10)2.1 ISMS标准体系-ISO/IEC27000族简介 (10)2.2 信息安全管理实用规则-ISO/IEC27002:2005介绍 (14)2.3 信息安全管理体系要求-ISO/IEC27001:2005介绍 (18)3.ISMS认证 (22)3。
1 什么是ISMS认证 (22)3。
2 为什么要进行ISMS认证 (22)3.3 ISMS认证适合何种类型的组织 (23)3.4 全球ISMS认证状况及发展趋势 (24)3.5 如何建设ISMS并取得认证 (29)1. ISMS概述1.1 什么是ISMS信息安全管理体系(Information Security Management System,简称为ISMS)是1998年前后从英国发展起来的信息安全领域中的一个新概念,是管理体系(Management System,MS)思想和方法在信息安全领域的应用。
近年来,伴随着ISMS国际标准的制修订,ISMS迅速被全球接受和认可,成为世界各国、各种类型、各种规模的组织解决信息安全问题的一个有效方法。
ISMS认证随之成为组织向社会及其相关方证明其信息安全水平和能力的一种有效途径。
在ISMS的要求标准ISO/IEC27001:2005(信息安全管理体系要求)的第3章术语和定义中,对ISMS的定义如下:ISMS(信息安全管理体系):是整个管理体系的一部分。
它是基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进信息安全的.注:管理体系包括组织结构、方针策略、规划活动、职责、实践、程序、过程和资源。
这个定义看上去同其他管理体系的定义描述不尽相同,但我们也可以用ISO GUIDE 72:2001(Guidelines for the justification and development of management system standards管理体系标准合理性和制定导则)中管理体系的定义,将ISMS 描述为:组织在信息安全方面建立方针和目标,并实现这些目标的一组相互关联、相互作用的要素.ISMS同其他MS(如QMS、EMS、OHSMS)一样,有许多共同的要素,其原理、方法、过程和体系的结构也基本一致。
信息安全管理体系认证流程
信息安全管理体系认证流程信息安全管理体系认证是企业在信息安全方面的重要认证之一,它可以帮助企业建立完善的信息安全管理体系,提高企业的信息安全水平,保护企业的核心信息资产。
下面将详细介绍信息安全管理体系认证流程。
一、准备阶段1.确定认证标准:企业需要根据自身实际情况选择适合自己的认证标准,如ISO/IEC 27001等。
2.确定认证机构:选择一家权威可信赖的认证机构进行认证。
3.组建项目组:由公司内部组建一个项目组负责整个认证流程的执行和跟进工作。
4.制定计划:项目组需要制定详细的计划表,包括时间节点、任务分配、人员安排等。
5.开展内部培训:为了让员工更好地理解和掌握信息安全管理体系,项目组需要对员工进行相关培训。
二、实施阶段1.编写文件:根据所选的认证标准和要求,项目组需要编写相关文件,如政策、程序、指南等。
2.开展内部审核:项目组需要对公司内部进行审核,发现问题并及时解决。
3.修正文件:根据审核结果和反馈意见,项目组需要对编写的文件进行修正和完善。
4.实施文件:项目组需要将编写好的文件在公司内部进行推广和实施。
5.开展模拟审核:为了检验公司的信息安全管理体系是否符合认证标准,项目组需要开展模拟审核,发现问题并及时解决。
6.整理材料:项目组需要整理相关材料,包括政策、程序、指南、审核记录等。
三、认证阶段1.申请认证:项目组需要向所选的认证机构提交申请,并提供相关材料。
2.初审:认证机构对企业提交的材料进行初审,并安排现场审核时间。
3.现场审核:认证机构派出专业人员对企业进行现场审核,包括对文件、流程、设备等方面的检查和验证。
4.发现问题:在现场审核中,如发现问题或不符合要求的地方,认证机构会提出相应的问题和建议。
5.整改措施:企业需要根据提出的问题和建议制定整改措施,并在规定时间内完成整改工作。
6.复审:经过整改后,认证机构再次对企业进行复审,并确认是否符合要求。
7.颁发证书:如果企业通过了复审,认证机构会颁发相应的认证证书。
信息安全产品强制性认证实施规则(安全隔离与信息交换)
编号:CNCA-11C-077:2009信息安全产品强制性认证实施规则 安全隔离与信息交换产品2009-04-27发布 2009-05-01实施 中国国家认证认可监督管理委员会发布目 录1.适用范围 (1)2.认证模式 (1)3.认证的基本环节 (1)3.1认证申请及受理 (1)3.2型式试验委托及实施 (1)3.4初始工厂检查 (1)3.5认证结果评价与批准 (1)3.6获证后监督 (1)4.认证实施 (1)4.1认证程序 (1)4.2认证申请及受理 (2)4.3型式试验委托及实施 (3)4.4初始工厂检查 (4)4.5认证结果评价与批准 (5)4.6获证后监督 (5)5.认证证书 (7)5.1认证证书的保持 (7)5.2认证证书覆盖产品的扩展 (7)5.3认证证书的暂停、注销和撤消 (8)6.强制性产品认证标志的使用 (8)6.1准许使用的标志样式 (8)6.2变形认证标志的使用 (8)6.3加施方式 (8)6.4标志位置 (8)7.收费 (9)附件1: (10)附件2: (11)附件3: (12)附件4: (13)附件5: (14)1.适用范围本规则所指的安全隔离与信息交换产品是指能够保证不同网络之间在网络协议终止的基础上,通过安全通道在实现网络隔离的同时进行安全数据交换的软硬件组合。
本规则适用的产品范围为:安全隔离与信息交换产品。
拟用于涉密信息系统的上述产品,按照国家有关保密规定和标准执行,不适用本规则。
2.认证模式型式试验 + 初始工厂检查 + 获证后监督3.认证的基本环节3.1认证申请及受理3.2型式试验委托及实施3.4初始工厂检查3.5认证结果评价与批准3.6获证后监督4.认证实施4.1认证程序申请方可选择集中受理或分段受理两种方式中任意一种进行认证证书申请,两种方式下获得的证书是等效的。
4.1.1集中受理流程申请方向指定的认证机构申请认证,认证机构对申请产品进行单元划分,并审查申请资料,确认合格后向实验室(由申请方自主从指定实验室名单中选取)安排检测任务。
信息安全管理体系认证简介
信息安全管理体系认证简介一.信息安全管理随着以计算机和网络通信为代表的信息技术(IT)的迅猛发展,政府部门、金融机构、企事业单位和商业组织对IT 系统的依赖也日益加重,信息技术几乎渗透到了世界各地和社会生活的方方面面。
如今,遍布全球的互联网使得组织机构不仅内在依赖IT 系统,还不可避免地与外部的IT 系统建立了错综复杂的联系,但系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等事情时有发生,这些给组织的经营管理、生存甚至国家安全都带来严重的影响。
所以,对信息加以保护,防范信息的损坏和泄露,已成为当前组织迫切需要解决的问题。
俗话说“三分技术七分管理”。
目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。
但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足,缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位,如系统的运行、维护、开发等岗位不清,职责不分,存在一人身兼数职的现象。
这些都是造成信息安全事件的重要原因。
缺乏系统的管理思想也是一个重要的问题。
所以,我们需要一个系统的、整体规划的信息安全管理体系,从预防控制的角度出发,保障组织的信息系统与业务之安全与正常运作。
二.信息安全管理体系标准发展历史及主要内容目前,在信息安全管理体系方面,ISO/IEC27001:2005――信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。
ISO/IEC27001是由英国标准BS7799转换而成的。
BS7799标准于1993年由英国贸易工业部立项,于1995年英国首次出版BS 7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准,适用于大、中、小组织。
1998年英国公布标准的第二部分BS 7799-2《信息安全管理体系规范》,它规定信息安全管理体系要求与信息安全控制要求,是一个组织的全面或部分信息安全管理体系评估的基础,它可以作为一个正式认证方案的根据。
信息安全服务资质认证实施规则
信息安全服务资质认证实施规则信息安全服务资质认证是指对安全服务供应商及其服务能力的评估和认证活动,旨在提供给用户一个可信赖的安全服务选择。
信息安全服务资质认证实施规则是指在进行信息安全服务资质认证活动中,相关方需遵循的一系列规定和要求。
本文将就信息安全服务资质认证实施规则进行阐述,内容主要包括认证机构要求、认证流程、评价标准等。
首先,认证机构要求是指参与信息安全服务资质认证的机构需具备一定的资质和能力。
认证机构应是依法成立并具备独立法人资格的机构,具备从事信息安全服务资质认证工作的相关人员,且人员应具备一定的信息安全领域的理论知识和实践经验。
认证机构需建立健全的组织架构和管理体系,确保认证工作的独立性、客观性和公正性。
其次,认证流程是指进行信息安全服务资质认证的一系列操作步骤。
认证流程一般包括申请、审查、现场检查、评定和公告等环节。
申请环节是安全服务供应商向认证机构提出认证申请,申请资料应包括组织机构信息、服务能力介绍等内容。
审查环节是认证机构对申请资料进行初步审查,如发现问题或不符合要求的情况,可以要求补充材料或拒绝申请。
现场检查环节是认证机构对供应商进行实地检查,主要包括现场设施、服务过程等方面的评估。
评定环节是认证机构根据收集到的材料和检查结果,对供应商的服务能力进行评估并给出评定结果。
公告环节是认证机构发布认证结果并向相关方进行公示。
最后,评价标准是信息安全服务资质认证的核心内容,也是评估供应商服务能力的依据。
评价标准可以根据不同的服务类型和领域进行分类。
一般情况下,评价标准包括组织能力、技术能力、服务能力等方面的指标。
组织能力方面可以包括安全管理体系建设、人员配备、安全培训等内容。
技术能力方面可以包括技术设备、技术手段、技术保障等方面的指标。
服务能力方面可以包括服务流程、服务质量、服务创新等方面的指标。
评价标准应具体明确,具备可操作性和可衡量性,并由专业人员进行评估。
综上所述,信息安全服务资质认证实施规则是认证活动中的一系列规定和要求,涉及认证机构要求、认证流程和评价标准等方面。
信息安全管理实用规则
11、访问控制
38
章节号 11.5
章节名称 操作系统访问控制
控制目标 防止对操作系统的未授权访 问。
控制措施 安全登录程序 用户标识和鉴 口令管理系统 系统实用工具的使用
会话超时
联机时间的限定 11.6 11.7 应用和信息访问控制 移动计算和远程工作 防止对应用系统中信息的未 授权访问。 确保使用移动计算和远程工 作设施时的信息安全。 信息访问限制 敏感系统隔离 移动计算和通信
7.2 信息分类 目标:确保信息受到适当级别 的保护。 2个控制措施: 7.2.1分类指南 7.2.2信息的标记和处理
2011年11月3日
8、人力资源安全
25
2011年11月3日
9、物理和环境安全
26
9.1 安全区域 目标:防止对组织场所和信息 的未授权物理访问、损坏和干 扰。 6个控制措施: 物理安全边界 物理入口控制 办公室、房间和设施的安全保 护 外部和环境威胁的安全防护 在安全区域工作 公共访问、交接区安全
4、风险评估和处理
21
2011年11月3日
5、安全方针
22
2011年11月3日
6、信息安全组织
23
6.1 内部组织 目标:在组织内管理信息安全。 8个控制措施: 信息安全的管理承诺 信息安全协调 信息安全职责的分配 信息处理设施的授权过程 保密性协议 与政府部门的联系 与特定利益集团的联系 信息安全的独立评审
远程工作
2011年11月3日
12、信息系统获取、开发和维护
39
章节号 12.1
章节名称 信息系统的安全要求
控制目标 确保安全是信息系统的一个 有机组成部分。
控制措施 安全要求分析和说明
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全管理体系认证实施规则ISCCC-ISMS-001:2016中国信息安全认证中心目录1.适用范围 (2)2.认证依据 (2)3.术语和定义 (2)3.1.信息收集 (2)3.2.现场审核 (2)4.认证类别 (2)5.审核人员及审核组要求 (2)6.认证信息公开 (2)7.认证程序 (2)7.1.初次认证 (2)7.2.监督审核 (6)7.3.再认证 (8)7.4.管理体系结合审核 (8)7.5.特殊审核 (9)7.6.暂停、撤消认证或缩小认证范围 (9)8.认证证书 (10)8.1.证书内容 (10)8.2.证书编号 (11)8.3.对获证组织正确宣传认证结果的控制 (11)9.对获证组织的信息通报要求及响应 (11)10.附录A:审核时间 (11)1.适用范围本规则用于规范中国信息安全认证中心(简称中心)开展信息安全管理体系(ISMS)认证活动。
2.认证依据以国家标准ISO/IEC27001:2013《信息技术安全技术信息安全管理体系要求》为认证依据。
3.术语和定义3.1.现场审核中心指派审核组到受审核方或获证组织所在办公地点进行管理体系运行的符合性进行审核。
4.认证类别认证类型分为初次认证,监督审核和再认证。
为满足认证的需要,中心可以实施特殊审核,特殊审核采取现场审核方式进行。
5.审核人员及审核组要求认证审核人员必须取得其他管理体系认证注册资格,并得到中心的专业能力评价,以确定其能够胜任所安排的审核任务。
审核组应由能够胜任所安排的审核任务的审核员组成。
必要时可以补充技术专家以增强审核组的技术能力。
具有与管理体系相关的管理和法规等方面特定知识的技术专家可以成为审核组成员。
技术专家应在审核员的监督下进行工作,可就受审核方或获证组织管理体系中技术充分性事宜为审核员提供建议,但技术专家不能作为审核员。
6.认证信息公开中心应向申请认证的社会组织(以下称申请组织)至少公开以下信息:1)认证服务项目;2)认证工作程序;3)认证依据;4)证书有效期;5)认证收费标准。
7.认证程序7.1.初次认证7.1.1.认证申请中心应要求申请组织的授权代表至少提供以下必要的信息:1)认证申请书,包括但不限于以下内容:a.企业基本信息,包括业务活动、组织架构、联系人信息、物理位置和体系范围等基本内容b.法律地位资格证明(工商营业执照、事业单位法人证书或社会团体法人登记证书,组织代码证和税务登记证(如果有));c.体系运行的时间;d.取得相关法规规定的行政许可文件(适用时)。
2)信息收集表,包括但不限于:a.组织的资源管理b.组织的过程管理c.组织的风险管理7.1.2.申请评审中心应根据认证依据、程序等要求,在三个工作日内对申请组织提交的认证申请书及其相关资料进行评审并保存评审记录,做出评审结论,以确定:1)所需要的基本信息都得到提供;2)申请组织的行业类别和与之相对应的管理体系所管理的过程特性和管理要求;3)国家对相应行业的管理要求;4)中心与申请组织之间任何已知的理解差异得到消除;5)中心有能力并能够实施认证活动;6)申请的认证范围、申请组织的运作场所、完成审核需要的时间和任何其他影响认证活动的因素;7)中心应建立关于审核人日的确定准则,根据受审核方的规模、特性、业务复杂程度、管理体系涵盖的范围、认证要求和其承担的风险等因素核算并确定审核人日,以确保审核的充分性和有效性。
将确定后的人日数记录在审核方案中,审核人日的确定规则参考附录A。
7.1.3.建立审核方案在申请评审后,中心应针对申请组织建立审核方案(申请组织变更为受审核方),并由专职人员负责管理审核方案。
审核方案范围与程度的确定应基于受审核组织的规模和性质,以及受审核管理体系的性质、功能、复杂程度以及成熟度水平。
审核方案应包括在规定的期限内有效和高效地组织和实施审核所需的信息和资源,应包括以下内容:1)审核方案的目标;2)审核的范围与程度、数量、类型、持续时间、地点、日程安排;3)审核准则;4)审核方法;5)审核组的选择;6)所需的资源,包括交通和食宿;7)处理保密性、信息安全、健康和安全,以及其它类似事宜。
7.1.4.确定审核组中心应根据受审核方的行业、规模和业务复杂程度组建审核组,指派审核组长。
审核组组建原则见第5章。
7.1.5.一阶段审核审核组应对受审核方开展一阶段审核,以确定:1)受审核方的管理体系得到策划和实施;2)受审核方的管理体系已运行,并有足够的证据证明其运行情况;3)受审核方对运行的管理体系进行了监视、测量、分析和评价,并有充分的证据;4)受审核方对管理体系进行了有效的持续改进;5)受审核方是否识别并遵守了相关的法律法规;6)受审核方有充足的资源保障现场审核的进行;7)收集关于客户的管理体系范围、过程和场所的必要信息,包括:a)客户的场所b)使用的过程和设备c)所建立的控制的水平(特别是客户为多场所时)为了确保获得上述信息,一阶段的部分?审核需到客户现场进行。
7.1.6.现场审核计划审核组应结合受审核方的申请材料、审核方案对现场审核的策划以及一阶段审核的结果对现场审核做出具体安排,包括但不限于具体的时间安排、审核组成员对受审核方按岗位和活动以何种方式进行评价的安排、高层沟通的安排和会议的安排。
审核组长应至少在实施现场审核3个工作日之前,与受审核方就审核计划进行充分沟通,确保双方在理解上没有歧义。
7.1.7.现场审核审核组按照审核计划的安排对受审核方进行现场审核,现场审核应考虑一阶段审核结果,对受审核方的管理过程和控制措施的运行情况进行评价,对一阶段审核提出的问题改进情况进行验证。
现场审核的内容包括但不限于:a.组织环境(应对风险和机会的措施,管理目标和达标计划);b.领导(管理承诺,方针,组织的角色、责任和权限);c.策划(应对风险和机会的措施,管理目标和实现计划);d.支持(资源,能力,意识,沟通,文件化信息);e.运行(运行的策划和控制,风险评估,风险处置);f.绩效评估(监视、测量、分析和评价,内部审核,管理评审);g.改进(不符合和纠正措施,持续改进)。
7.1.8.初次认证的审核结论审核组应该对一阶段审核和现场审核中收集的所有信息和证据进行汇总分析,评价审核发现并就审核结论达成一致。
如果现场审核发现不符合项和观察项应开具不符合项报告,且获得受审核方认同。
现场审核结束,审核组应形成是否推荐认证注册的结论;审核组可以根据一阶段审核结果和现场审核的结果对受审核方的管理体系是否满足所有适用的认证依据的要求进行评价,并判断是否推荐认证注册。
现场审核结束后,3个工作日内,审核组长完成审核报告编制工作,并与受审核方进行沟通,确保双方对报告的理解上没有歧义。
7.1.9.认证决定中心应指派认证决定人员,对受审核方的认证申请实施认证决定,以决定:a.同意认证注册,颁发认证证书;b.补充认证决定所需的信息,包括但不限于申请材料、审核材料,再行决定;c.不同意认证注册。
认证决定人员实施认证决定时应以认证过程中收集的信息和其他相关信息为基础,以充分的证据证实受审核方建立管理体系得到了建立、实施、运行、监视、评审、保持和改进。
注1:参加审核的人员不能再作为认证决定人员实施认证决定。
注2:受审核方获得认证注册资格后变更为获证组织。
7.1.10.审核方案记录与变更审核方案管理人员应收集一阶段审核、现场审核和认证决定的信息,特别是形成的结论和变化的信息,记录到审核方案中。
并确定审核方案是否需要进行变更,如需要则更新相应项目内容。
7.2.监督审核7.2.1.监督频次中心应在满足认可要求的基础上,根据获证组织管理体系覆盖的业务活动的特点以及所承担的风险,合理设计和确定监督审核的时间间隔和频次。
当获证组织管理体系发生重大变更,或发生重大问题、业务中断事故、客户投诉等情况时,中心可视情况增加监督的频次。
监督审核的最长时间间隔不超过12个月。
由于获证组织业务运作的时间(季节)特点及其内部审核安排等原因,可以合理选取和安排监督周期及时机,在认证证书有效期内的两次监督审核涉及的条款之和必须覆盖管理体系认证范围内的所有条款。
7.2.2.信息收集在进行监督审核之前,中心需要收集获证组织的管理体系相关信息,以确定获证组织的管理体系相关信息是否发生变化。
需要客户提供的信息包括以下几个方面:1)信息确认文件,包括但不限于:a.基本信息,包括组织名称、地址、联系人、法人等信息的变化情况;b.组织信息,包括范围、组织架构、人员数量等信息的变化情况;c.管理体系相关信息,关键文件化信息的变化情况。
7.2.3.确定审核组中心应根据获证组织的行业、规模和业务复杂程度组建审核组,指派审核组长。
审核组组建原则,见第5章。
7.2.4.信息评审审核组应对获证组织的信息确认文件进行评审,以确定:1)获证组织的管理体系变化情况,尤其是管理体系范围的变化;2)是否需要修订审核方案。
7.2.5.制定现场审核计划审核组应结合获证组织的信息确认文件、审核方案对监督审核中现场审核的策划和一阶段审核的结果对现场审核做出具体安排,包括但不限于具体的时间安排、审核组成员对获证组织按岗位和活动以何种方式进行评价的安排、高层沟通的安排和会议的安排。
审核组长应至少在实施现场审核3个工作日之前,与获证组织就审核计划进行充分沟通,确保双方在理解上没有歧义。
ISMS的监督审核并不覆盖标准所有条款,监督审核的抽样采取部门抽样的方式进行,抽样准则为:1)两次监督审核必须覆盖标准所有条款和所有部门;2)标准中对信息安全管理过程有决定作用的条款和部门每次监督审核都需要抽到;3)获证组织前一次审核问题较多的部门在本次监督审核中需要抽到;4)审核组认为重要的条款应考虑进行抽样。
每次监督审核的内容应包括以下方面:1)内部审核和管理评审;2)对上次审核中确定的不符合项采取的措施;3)投诉的处理;4)管理体系在实现获证客户目标和各管理体系的预期结果方面的有效性;5)为持续改进而策划的活动的进展;6)持续的运作控制;7)任何变更;8)标志的使用和(或)任何其他对认证资格的引用7.2.6.现场审核审核组按照审核计划的安排对获证组织进行现场审核,由于监督审核并不要求覆盖体系的所有方面,因此在监督审核的策划过程中,如果获证组织的认证范围信息有变化,应对变化的方面进行关注,必要时重新确认审核范围。
7.2.7.监督审核结论审核组应该对现场审核中收集的所有信息和证据进行汇总分析,评价审核发现并就审核结论达成一致。
如果现场审核发现不符合项和观察项应开具不符合项报告,且获得获证组织认同。
现场审核结束,审核组应形成是否推荐保持认证注册的结论;审核组可以根据一阶段审核结果和现场审核的结果对获证组织的管理体系是否满足所有适用的认证依据的要求进行评价,并判断是否推荐保持认证注册。