当前位置:文档之家 › 信息安全管理体系认证审核工作指导书

信息安全管理体系认证审核工作指导书

  • 格式:pdf
  • 大小:228.28 KB
  • 文档页数:15

下载文档原格式

  / 15

合集下载

iso27001信息安全管理体系认证的要求

iso27001信息安全管理体系认证的要求

iso27001信息安全管理体系认证的要求ISO 27001信息安全管理体系认证的要求ISO 27001是国际标准化组织(ISO)发布的信息安全管理体系标准,它为组织制定和实施信息安全管理体系提供了指导。

通过ISO 27001认证,组织可以证明其信息安全管理体系符合国际最佳实践,能够保护信息资产的机密性、完整性和可用性。

ISO 27001的认证要求包括以下几个方面:1. 制定信息安全政策:组织应制定一份明确的信息安全政策,描述其对信息安全的承诺和目标。

这份政策应得到高层管理人员的支持,广泛传达给全体员工。

2. 进行风险评估和管理:组织需要进行全面的风险评估,识别并分析可能对信息资产造成威胁的风险。

基于风险评估结果,组织需要制定相应的风险管理计划,采取适当的控制措施来降低风险。

3. 确定信息安全目标和控制措施:基于风险评估和管理结果,组织需要确定信息安全目标,并制定相应的信息安全控制措施。

这些措施包括技术、操作和管理层面上的安全控制,旨在保护信息资产免受威胁和攻击。

4. 实施和操作信息安全管理体系:组织需要制定详细的操作程序和控制措施,以确保信息安全管理体系的有效运行。

这包括培训员工、监督和审查安全措施的执行情况,并建立持续改进的机制。

5. 进行内部审核和管理审查:组织应定期进行内部审核,以评估信息安全管理体系的有效性和符合性。

此外,组织需要定期进行管理审查,以确保信息安全目标的实现,并根据需要进行调整和改进。

6. 与外部实体进行合作和合规:组织需要与外部实体,如供应商、合作伙伴和监管机构进行合作,确保其在信息安全管理方面遵守相关法律法规和合同要求。

ISO 27001认证是一个全面的过程,需要组织全力配合和积极落实相关要求。

通过认证,组织可以提高信息安全管理的水平,增强对信息资产的保护,树立公信力,获得市场竞争优势。

ISO27001信息安全管理体系内部审核和管理评审资料汇编

ISO27001信息安全管理体系内部审核和管理评审资料汇编

2020年度ISO 27001:2013信息安全管理体系内部审核资料汇编编制:XXX审核:XXX批准:XXXXXX网络科技有限公司2020年5月目录信息安全管理体系内审年度计划 (2)内部审核实施计划 (2)关于开展管理体系内部审核通知 (4)内审员委派通知书 (5)内部审核首次会议记录 (6)首次会议签到表 (7)内部审核检查表 (8)不符合报告 (12)内部审核末次会议记录 (13)末次会议签到表 (14)内审报告 (15)不符合工作及纠正措施跟踪表 (16)信息安全管理体系内审年度计划内审实施计划编制:综合部XXX网络科技有限公司文件XX发[2020]14号关于开展管理体系内部审核通知公司各部门:为确保本公司建立的信息安全管理体系能够持续有效的运行,经公司会议研究,总经理批准,公司决定于2020年5月11日对公司的信息安全管理体系开展一次年度内审活动,以便及时查找出在信息安全管理体系运行中的不符合工作情况。

请各部门接到通知后做好准备工作,确保通过内部审核的检查工作,争取取得良好的效果。

XXX网络科技有限公司2020年4月20日内审员委派通知书根据公司本年度的内部审核计划,现委派XXX为内审组组长,成员XX、XXX、XXX、XX。

内审组按照GB/T 22080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》中要素要求对公司信息安全管理体系进行审核。

内审时间:2020年5月11日管理者代表:XX 2020年4月20日内部审核首次会议记录记录人: XXXX 时间:2020年5月11日首次会议签到表内部审核检查表不符合报告内部审核末次会议记录记录人:时间:年月日末次会议签到表内审报告不符合工作及纠正措施跟踪表2020年度ISO 27001:2013信息安全管理体系管理评审资料汇编编制:XXX审核:XXX批准:XXXXXX网络科技有限公司2020年11月目录管理评审计划表 (2)关于开展管理评审通知 (3)管理评审输入报告 (4)管理评审会议记录 (9)管理评审报告 (10)管理评审签到表 (11)不符合/潜在不符合及纠正/预防措施表 (12)管理评审计划表2020年10月15日 2020 年10月16日XXX网络科技有限公司文件XX发[2020]25号关于开展管理评审通知公司各部门:为确保本公司建立的信息安全管理体系能够持续有效的运行,公司定于2020年11月11日在会议室展开2020年度管理评审,以便及时查找出在管理体系运行中的不符合工作情况。

信息技术服务管理体系认证审核要求与指南

信息技术服务管理体系认证审核要求与指南

在当今信息时代,信息技术服务管理体系认证已经成为了企业提高服务质量、保障信息安全和持续改进的重要手段。

在进行信息技术服务管理体系认证时,企业需要遵循一定的审核要求和指南,以确保其管理体系的有效性和可持续性。

本文将从深度和广度两个方面对信息技术服务管理体系认证的审核要求和指南进行全面评估,帮助读者更加深入地理解这一主题。

1. 信息技术服务管理体系认证的重要性信息技术服务管理体系认证是企业为了提高服务质量、保障信息安全和持续改进而进行的重要举措。

通过认证,企业可以建立起科学的管理体系,提高服务水平,增强客户满意度,降低风险,提高竞争力。

信息技术服务管理体系认证不仅是企业发展的需要,也是企业向外界证明其能力和信誉的有效手段。

2. 信息技术服务管理体系认证的审核要求在进行信息技术服务管理体系认证时,企业需要符合一定的审核要求。

企业需要明确其组织结构和职责分工,建立起科学的管理体系。

企业需要进行风险评估和控制,确保信息安全和服务可用性。

企业还需要定期进行内部审核和管理评审,不断改进管理体系。

企业还需要进行符合性评价和监督审计,以确保其管理体系的有效性和持续改进。

在进行信息技术服务管理体系认证时,企业可以参考一定的审核指南,以确保其认证工作的顺利进行。

企业需要了解认证机构的审核程序和要求,做好相关准备工作。

企业需要与认证机构进行有效沟通,明确认证的范围和要求,确保审核工作的准确性和全面性。

企业还需要准备充分的相关文件和记录,以便审核人员对其管理体系进行评估。

企业还需要对审核结果进行及时跟踪和处理,以确保其认证工作的顺利通过。

总结回顾通过本文的评估,我们可以看到信息技术服务管理体系认证的审核要求和指南对企业进行认证工作提出了较高的要求,但这也是保障企业管理体系有效性和可持续性的重要手段。

企业在进行信息技术服务管理体系认证时,需要严格遵循审核要求和指南,做好相关准备工作,与认证机构进行有效沟通,确保认证工作的顺利进行。

信息安全管理体系认证审核员确认方案2完整篇.doc

信息安全管理体系认证审核员确认方案2完整篇.doc

信息安全管理体系认证审核员确认方案7第2页书复印件;●审核经历(适用于高级审核员申请人)。

(3)申请人应按CCAA-201《认证人员注册、培训认可收费规则》缴纳相应费用。

3.评价CCAA对认证机构的相关证明和文件进行审核,确认机构的申报资格;CCAA评价人员对申请人的申请资料进行评价,提出确认意见;CCAA注册部负责人审查评价过程和确认意见,作出确认决定;CCAA秘书长批准确认决定并签发确认文件。

五、确认结果CCAA将向申报机构发送审核人员资格确认文件。

确认资格自确认文件批准之日起生效,有效期3年;出现以下情况时,有效期自动终止,确认资格即行失效:●确认人员与申报机构解除聘用关系;●确认人员违反法律法规、认证规范文件和审核员行为准则,经CCAA查实的;●CCAA建立覆盖确认业务范围的审核员注册制度满3个月后。

附件2:CCAA认证人员确认申请表姓名及拼音性别出生日期年月日身份证号码确认项目(适用时)确认级别专业范围(适用时)CCAA注册证书号(适用时)注册日期年月日工作单位职称聘用机构聘用方式专职兼职通讯地址邮政编码联系人电话/ 传真教育/培训经历时间院校/培训机构专业/培训内容学历学位/证书编号工作经历从年/月到年/月工作单位(名称、地址、联系人、电话、传真)部门及职务主要工作任务(请详述)专业工作经历从年/月到年/月工作单位(名称、地址、联系人、电话、传真)部门及职务主要工作任务(请详述)贴照片处个人声明本人保证申请表中所填写内容及所附材料真实,承认CCAA 有权为了保证真实性和准确性而验证本人所有的声明(包括所提交的材料),并自愿遵守CCAA确认要求和行为准则。

申请人:年月日聘用机构推荐意见:本机构确认申请人为本机构聘用人员。

经本机构按照机构建立的相应的认证人员评价制度进行评价,认为申请人具备从事相应认证工作的能力,以上申报内容属实,向CCAA推荐资格确认。

聘用机构负责人:(公章)年月日CCAA评价人员意见:符合CCAA相应确认方案的要求,建议确认不符合要求,建议不予确认评价人员(签字):年月日CCAA确认决定意见:确认不予确认人员注册部负责人(签字):年月日信息安全管理体系认证审核员确认方案7 中国认证认可协会中认协注[2007]155号关于发布信息安全管理体系认证审核员确认方案的通知各有关机构:根据国家认监委信息安全管理体系认证工作的安排,为满足信息安全管理体系认证的需要,中国认证认可协会制定了《信息安全管理体系认证审核员确认方案》(见附件),现将该方案印发你们,请遵照执行。

CNAS-SC18:2012信息安全管理体系认证机构认可方案

CNAS-SC18:2012信息安全管理体系认证机构认可方案

CNAS-SC18信息安全管理体系认证机构认可方案 Accreditation Scheme for ISMS Certification Bodies中国合格评定国家认可委员会目次前言 (3)1 范围 (4)2 规范性引用文件 (4)3 术语和定义 (4)4 ISMS认证机构认可规范的构成 (5)R.1 认可申请 (5)R.2 预访问 (6)R.3 初次认可的见证评审 (6)R.4 认证业务范围的认可 (6)R.5 其他 (7)C.1 认证协议 (7)C.2 风险评估和责任安排 (7)C.3 ISMS审核员在教育、工作经历、审核员培训和审核经历方面的必备条件 (7)C.4 ISMS认证证书 (8)C.5 保密 (8)C.6 ISMS的变化 (8)C.7 已认可的ISMS认证的转换 (9)C.8 认证申请 (9)C.9 认证审核相关要求 (9)C.10 认证机构的信息安全管理体系 (9)G.1 ISMS认证机构能力分析和评价系统指南 (10)G.2 ISMS审核范围和认证范围界定指南 (17)G.3 ISMS审核时间确定指南 (20)附录A(规范性附录)ISMS认证机构认证业务范围分类与分级 (22)附录B(资料性附录)通用信息安全技术领域和通用信息技术领域—参考分类、知识点及应用 (24)前言本文件由中国合格评定国家认可委员会(CNAS)制定。

本文件是CNAS对信息安全管理体系(ISMS)认证机构提出的特定要求和指南,并与相关认可规则和认可准则共同用于CNAS对ISMS认证机构的认可。

本文件中,用术语“应”表示相应条款是强制性的,用术语“宜”表示建议。

CNAS-SC18:2012代替认可说明文件CNAS-EC-027:2010,作为认可方案首次发布。

本文件针对CNAS-EC-027:2010的主要修改包括:1) 在引用文件及相关章节增加ISO/IEC 27007及ISO/IEC TR 27008;2) 依据CNAS-CC01:2011正文及规范性附录要求对G.1内容修订调整;3) 在C.8.1认证申请阶段增加监管部门要求的示例;4)其他引用文件变化。

ISO27001信息安全管理体系内审全套资料

ISO27001信息安全管理体系内审全套资料

ISO 27001-2013信息安全管理体系内审全套资料(含内审计划、内审检查表、内审报告)东莞市XXXX有限公司2017年度内部审核计划编号:ISMS-4030序号:20170103-1审核目的:验证公司内部信息安全管理体系是否符合要求,为保证质量体系有效运行及不断得到完善提供依据。

审核范围:所有与信息安全管理有关的人员、部门和岗位。

审核依据:ISO27001-2013标准、管理体系文件、适用性声明、有关法律法规、应用软件的开发、系统集成活动和电子验印、票据防伪系统的生产活动说明:1.审核可以按ISO27001-2013标准集中审核,也可以按部门分月份进行审核,但必须覆盖全部信息安全职责部门和岗位,必须符合ISO27001-2013标准.2.计划在某月份被审核的部门,由内审计划编制者在表内对应处作上“√”的符号,表示该部门在某月将被审核。

编制:XXX 审核:批准:日期:2017-1-4 日期:2017-1-4 日期:2017-1-4受审核部门:陪同人员:审核员:审核日期:信息安全管理体系内部审核检查表东莞XXXX有限公司2017年信息安全内审结论报告编号:ISMS-4034状态:受控编制人:日期:审批人:日期:➢审核目的检查公司信息安全管理体系是否符合ISO27001:2013的要求及有效运行。

➢审核依据ISO27001:2013标准、信息安全手册、程序文件、相关法律法规、合同及适用性声明等。

➢审核范围ISO27001:2013手册所要求的相关活动及部门。

➢审核时间2017年12月20日~ 2017年12月22日1、现场审核情况概述本次审核按信息安全手册及《内部审核管理程序》要求,编制了内审计划及实施计划并按计划进行了实施。

审核小组由2人组成,各分别按要求编制了《内部审核检查表》;内审计划事先也送达受审核部门。

审核组在各部门配合下,按审核计划,分别到部门、现场,采用面谈、现场观察、抽查信息安全体系文件及信息安全体系运行产生的记录等方法,进行了抽样调查和认真细致的检查。

ISO27000 信息安全管理体系审核员工作职责

ISO27000 信息安全管理体系审核员工作职责
ISO 27000信息安全管理体系审核员,是指拥有ISO 27001认
证审核员资格,并负责对ISO 27001信息安全管理体系认证审核的
专业人员。

其主要工作职责包括:
1. 熟悉ISO 27001标准和相关法规法律:了解ISO 27001标准
的具体要求和要点,掌握信息安全管理的理论知识和实际应用,了
解相关的法规法律,为审核提供正确的依据。

2. 筹备审核计划:审核员要与认证机构和审核对象协调,制定
出全面、合理、高效的审核计划,使审核能够围绕核心问题展开。

3. 实地审核和现场调查:审核员要实地审核和现场调查,采取
不同的审核方法和手段收集有关信息,掌握有关信息安全管理的情况,以便制定更具针对性的审核结论。

4. 现场沟通和记录:审核员要在审核现场与审核对象沟通,了
解信息安全管理体系运作情况,掌握相关信息,通过记录反映情况,使审核结论更加科学合理。

5. 写作审核报告和证书:审核员要根据审核情况和审核结果,
撰写审核报告和评估报告,制定证书等结果,使审核结果更具可信度。

6. 跟进处理审核结果:审核员要帮助审核对象了解审核结果,
协助审核对象解决信息安全管理体系运作中的问题,并跟进处理结果,促进信息安全管理体系不断地改进和完善。

7. 学习更新和发展:审核员要不断学习和掌握信息安全管理体
系的发展趋势和新技术新方法,提高自己的专业水平和审核能力,
为推进信息安全管理提供更高水平的支持。

第五部分信息安全管理体系内部审核


信息和信息处理设施相关资
资产的可接受使用 产的可接受规则,是否确定、
形成文件并加以实施?
29
3 现场审核活动的实施
3.1 审核过程的控制 3.2 首次会议 3.3 审核方法 3.4 审核证据 3.5 不合格项报告 3.6 汇总分析 3.7 末次会议 3.8 审核报告
30
3.1 审核过程的控制
一、审核计划的控制 二、审核活动的控制 1、样本策划合理 2、辩识关键过程 3、评定主要因素 4、重视控制结果 5、注意相关影响 6、营造良好的审核气氛
末次会议
说明:对条款×××的审核还将结合其它条款的审核同时进行
22
××公司ISMS内部审核计划
注:对以上人员和日程安排如有异议,请及时反馈。 拟制: ×××(组长) 日期: 批准:(信息安全经理) 日期:
23
2.5 编制检查表
一、检查表的作用 1、明确与审核目标有关的样本 2、使审核程序规范化 3、按检查表的要求进行调查研究, 可使审核目标始终保持明确 4、保持审核进度 5、作为审核记录存档 6、减少重复的或不必要的工作量 7、减少内审员的偏见和随意性
12
2 ISMS内部审核的策划和准备
领导重视是做好ISMS内部审核的关键 信息安全经理要亲自抓ISMS内部审核工作 ISMS内部审核工作需要一个职能部门来管理 要组建一支合格的ISMS内部审核队伍 ISMS内部审核需要一套正规的程序 建立ISMS时应考虑ISMS内部审核工作
13
2 ISMS内部审核的策划和准备
40
3.4 审核证据
可作审核证据
存在的客观事实或情况
部门负责人或当事人谈话(并 有其他实物旁证)现行有效文件(审核当前的信源自息安全活动)和有效的信息安 全记录

最新最完整版ISO27001信息安全管理体系内审全套资料

ISO 27001-2013信息安全管理体系内审全套资料(含内审计划、内审检查表、内审报告)东莞市XXXX有限公司2017年度内部审核计划编号:ISMS-4030序号:20170103-1审核目的:验证公司内部信息安全管理体系是否符合要求,为保证质量体系有效运行及不断得到完善提供依据。

审核范围:所有与信息安全管理有关的人员、部门和岗位。

审核依据:ISO27001-2013标准、管理体系文件、适用性声明、有关法律法规、应用软件的开发、系统集成活动和电子验印、票据防伪系统的生产活动说明:1.审核可以按ISO27001-2013标准集中审核,也可以按部门分月份进行审核,但必须覆盖全部信息安全职责部门和岗位,必须符合ISO27001-2013标准.2.计划在某月份被审核的部门,由内审计划编制者在表内对应处作上“√”的符号,表示该部门在某月将被审核。

编制:XXX 审核:批准:日期:2017-1-4 日期:2017-1-4 日期:2017-1-4受审核部门:陪同人员:审核员:审核日期:信息安全管理体系内部审核检查表东莞XXXX有限公司2017年信息安全内审结论报告编号:ISMS-4034状态:受控编制人:日期:审批人:日期:➢审核目的检查公司信息安全管理体系是否符合ISO27001:2013的要求及有效运行。

➢审核依据ISO27001:2013标准、信息安全手册、程序文件、相关法律法规、合同及适用性声明等。

➢审核范围ISO27001:2013手册所要求的相关活动及部门。

➢审核时间2017年12月20日~ 2017年12月22日1、现场审核情况概述本次审核按信息安全手册及《内部审核管理程序》要求,编制了内审计划及实施计划并按计划进行了实施。

审核小组由2人组成,各分别按要求编制了《内部审核检查表》;内审计划事先也送达受审核部门。

审核组在各部门配合下,按审核计划,分别到部门、现场,采用面谈、现场观察、抽查信息安全体系文件及信息安全体系运行产生的记录等方法,进行了抽样调查和认真细致的检查。

信息安全管理体系认证实施规则

信息安全管理体系认证实施规则ISCCC-ISMS-001:2016中国信息安全认证中心目录1.适用范围 (2)2.认证依据 (2)3.术语和定义 (2)3.1.信息收集 (2)3.2.现场审核 (2)4.认证类别 (2)5.审核人员及审核组要求 (2)6.认证信息公开 (2)7.认证程序 (2)7.1.初次认证 (2)7.2.监督审核 (6)7.3.再认证 (8)7.4.管理体系结合审核 (8)7.5.特殊审核 (9)7.6.暂停、撤消认证或缩小认证范围 (9)8.认证证书 (10)8.1.证书内容 (10)8.2.证书编号 (11)8.3.对获证组织正确宣传认证结果的控制 (11)9.对获证组织的信息通报要求及响应 (11)10.附录A:审核时间 (11)1.适用范围本规则用于规范中国信息安全认证中心(简称中心)开展信息安全管理体系(ISMS)认证活动。

2.认证依据以国家标准ISO/IEC27001:2013《信息技术安全技术信息安全管理体系要求》为认证依据。

3.术语和定义3.1.现场审核中心指派审核组到受审核方或获证组织所在办公地点进行管理体系运行的符合性进行审核。

4.认证类别认证类型分为初次认证,监督审核和再认证。

为满足认证的需要,中心可以实施特殊审核,特殊审核采取现场审核方式进行。

5.审核人员及审核组要求认证审核人员必须取得其他管理体系认证注册资格,并得到中心的专业能力评价,以确定其能够胜任所安排的审核任务。

审核组应由能够胜任所安排的审核任务的审核员组成。

必要时可以补充技术专家以增强审核组的技术能力。

具有与管理体系相关的管理和法规等方面特定知识的技术专家可以成为审核组成员。

技术专家应在审核员的监督下进行工作,可就受审核方或获证组织管理体系中技术充分性事宜为审核员提供建议,但技术专家不能作为审核员。

6.认证信息公开中心应向申请认证的社会组织(以下称申请组织)至少公开以下信息:1)认证服务项目;2)认证工作程序;3)认证依据;4)证书有效期;5)认证收费标准。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
3 范围的确定 3.1 适用范围
本指导书适用于 CNAS-EC-027:2010 附录一中确定的认证业务范围,即“政 务”、“公共”、“商务”、“产品的生产”等 4 个大类,每个大类包含若干中类, 每个中类被赋予“一”、“二”、“三”的风险级别(详见附录 1)。 3.2 ISMS 审核范围和认证范围 3.2.1 项目开发部和审核管理部应分别在申请评审和和第一阶段审核中确认客 户组织 ISMS 范围和边界的界定是否清晰和充分。在第二阶段审核报告中予以适 当描述。 3.2.2 认证注册部在为提供给客户组织的认证证书或文件所描述的认证范围应 与认证机构审核确认的客户组织的ISMS 的范围和边界相一致。认证范围至少包 括以下内容: 3.2.2.1 认证客户组织的组织范围和边界,例如:XXXX有限公司或XXXX有限公 司或软件开发部; 3.2.2.2 认证客户组织的业务范围和边界,例如:XX系统的软件应用程序的设 计、开发或为XXXX提供的数据库管理、网络管理以及XX维护服务涉及的信息资 产及其管理活动;
服务器数量 ≥100
≥10ห้องสมุดไป่ตู้
<10
(GB/T 22080-2008 A.11) 通信与操
作管理(GB/T 22080-2008 A.10)
工作站+PC+
便携式计算 ≥300
≥50
<50
访问控制(GB/T 22080-2008 A.11)
机的数量
版本号:1 修改码:5
第3页,共 14 页
应用开发与
合同评审人员再根据下列矩阵表,确定 ISMS 项目最终的风险和复杂性水平
等级(注:表中风险级别为 CNAS-EC-027:2010 文件附录一的规定)
水平
复杂性
风险
等级



三级



二级



一级



4.2 在确定审核时间的安排时,宜考虑客户组织的下列因素: 4.2.1 与 ISMS 范围的规模有关的因素(例如,使用的信息系统的数量、处理的 信息量、用户的数量、特权用户的数量、IT 平台的数量、网络的数量及它们的 规模); 4.2.2 与 ISMS 的复杂程度有关的因素(例如,信息系统的关键度、ISMS 的风 险状况、所操作和处理的敏感和关键信息的多少及类型、电子交易的数量及类 型、所有开发项目的数量和规模、远程工作的范围、ISMS 文件化的程度); 4.2.3 在 ISMS 范围内开展的业务类型,以及关于这些业务类型的安全、法律、 法规、合同和业务要求; 4.2.4 在 ISMS 各部分的实施过程中,所应用的技术的水平和多样性(例如,已
件的适用版本,例如:XX.0版本;
注:如组织业务活动存在多场所,或与范围外的接口存在多个,可以用多
场所清单的形式表示。
4 审核时间的确定
4.1 项目开发部在组织合同评审过程中,需要检查组织的 ISMS 范围、复杂程度、
业务类型、所应用技术的程度和多样性、场所的数量、已证明 ISMS 的绩效、外
包的范围、所使用的第三方协议和法规要求等因素对审核时间的配置所产生的
版本号:1 修改码:5
第2页,共 14 页
3.2.2.3 认证客户组织的物理范围和边界,例如:XXX市XXXX路XXXX号XX大厦XX
楼(XX室);
3.2.2.4 对组织ISMS 相关和适用的控制目标和控制措施的情况,及其任何删减
的细节和正当性理由,即《适用性声明》;在证书范围上列明《适用性声明》文
潜在影响。
合同评审人员根据下表,确定 ISMS 项目的复杂性类别
复杂性
因素

类别


重要性(注:复杂性因素在以下方面将构成重
大影响)
雇员+签约 ≥1000
人员的数量
≥200
<200
ISMS 实施的规模 管理信息系统 与生产管理有关的系统 销售/物流/一 般服务相关的系统 信息技术/信息服 务和有关系统 与建筑/造船/设备工程 有关的系统
用户数量 ≥1,000,000 ≥200,000
<200,000
财务系统 政府、学校、医学/医院系 统
场所数量 ≥5
≥2
1
ISMS 实施的规模 物理与环境安全 (GB/T 22080-2008 A.9)
ISMS 实施的规模 物理与环境安全
(GB/T 22080-2008 A.9) 访问控制
行业特定风 险的适用性 (参见本附 录A.2 行业 特定的信息 安全风险类 别的示例)
行业特定的法 律法规适用
没有适用的行 业特定的法律 法规,但有重 大的行业特定 风险
没有适用的 行业特定的 法律法规,也 没有重大的 行业特定风 险
ISMS 实施的规模 法律和指南(GB/T 22080-2008 A.15)
文件号: WI1–22 上海质量体系审核中心
版 次 1/5 共 14 页
信息安全管理体系 认证审核工作指导书
1 目的 2 引用文件 3 适用范围和认证审核范围的确定 4 审核时间的确定 5 多场所组织审核抽样 6 通用信息安全风险识别 7 审核要点 8 不符合的界定、关闭时限和跟踪验证 9 法律法规与标准
2 引用文件 ISO/IEC 27001:2005《信息技术 安全技术 安全管理体系要求》 ISO/IEC 27002:2005《信息技术 安全技术 安全管理实用规则》 ISO/IEC 27006:2007《信息技术 安全技术 信息安全管理体系审核认证
机构的要求》 CNAS-EC-027:2010《信息安全管理体系认证机构的认可说明》 W11-01《多场所审核工作指导书》
通信与操作管理(GB/T 22080-2008 A.10) 访问控制(GB/T 22080 -2008 A.11)
法律符合性 的重要性
不符合可能导 致的起诉
不符合导致重 大的经济处罚 或者信誉损害
不符合导致 无关紧要的 经济处罚或 者信誉损害
法律和指南(GB/T 22080-2008 A.15)
信息系统的获取、开发和维护(GB/T
维护人员的 ≥100
≥20
<20
22080-2008 A.12)
数量
网络与密码 技术
具有使用标准 具有加密、数
加密设施而没 字签名和(或)
有数字签名和 PKI 要求的外
PKI 要求 的 外 部和(或)内
部和(或)内 部连接
部连接
没有加密、数 字签名和PKI 要求的外部 和(或)内部 连接
编 制 王军 郑军 会 审 胡慧瑾 严卓明 储智静 魏建清 杭银珍
批 准 李晓红 实施日期
2011.10.1
版本号:1 修改码:5
信息安全管理体系 认证审核工作指导书
第1页,共 13 页
1 目的 本指导书是对认证工作程序和审核方案策划等内容在信息安全管理体系方
面的补充,并通过对通用信息安全风险的识别和分析以及通用审核要点的描述, 为信息安全管理体系的审核策划和审核实施提供指导。