信息安全管理体系认证机构要求 - cnas...cnas-cc17:2012 第2页共30页...

2012年 01月 10日发布 2015年 06月 01日第一次修订 2015年 06月 01日实施

CNAS-CC17

信息安全管理体系认证机构要求

Requirements for Information SecurityManagement System Certification Bodies

中国合格评定国家认可委员会

CNAS-CC17:2012 第 1页共 30页


目录

前言......................................................................................................................................................................... 2引言......................................................................................................................................................................... 31 范围.....................................................................................................................................................................42 规范性引用文件.................................................................................................................................................43 术语和定义.........................................................................................................................................................44 原则.....................................................................................................................................................................45 通用要求.............................................................................................................................................................55.1 法律与合同事宜.............................................................................................................................................55.2 公正性的管理.................................................................................................................................................55.3 责任和财力.....................................................................................................................................................56 结构要求.............................................................................................................................................................56.1 组织结构和最高管理层.................................................................................................................................56.2 维护公正性的委员会.....................................................................................................................................57 资源要求.............................................................................................................................................................57.1 管理层和人员的能力.....................................................................................................................................57.2 参与认证活动的人员.....................................................................................................................................67.3 外部审核员和外部技术专家的使用.............................................................................................................77.4 人员记录.........................................................................................................................................................77.5 外包.................................................................................................................................................................78 信息要求.............................................................................................................................................................78.1 可公开获取的信息.........................................................................................................................................78.2 认证文件.........................................................................................................................................................78.3 获证客户组织名录.........................................................................................................................................88.4 认证的引用和标志的使用.............................................................................................................................88.5 保密性.............................................................................................................................................................88.6 认证机构与其客户组织间的信息交换.........................................................................................................89 过程要求.............................................................................................................................................................89.1 通用要求.........................................................................................................................................................89.2 初次审核与认证...........................................................................................................................................109.3 监督活动.......................................................................................................................................................139.4 再认证...........................................................................................................................................................139.5 特殊审核.......................................................................................................................................................149.6 暂停、撤销或缩小认证范围.......................................................................................................................149.7 申诉...............................................................................................................................................................149.8 投诉...............................................................................................................................................................149.9 申请组织和客户组织的记录.......................................................................................................................1410 认证机构的管理体系要求.............................................................................................................................1410.1 可选方式.....................................................................................................................................................1410.2 方式一：按照 GB/T19001-2000的管理体系要求................................................................................ 1410.3 方式二：通用的管理体系要求...............................................................................................................14附录 A（资料性附录）客户组织复杂性和行业特定方面的分析................................................................... 15附录 B（资料性附录）审核员能力的示例........................................................................................................18附录 C（资料性附录）审核时间........................................................................................................................20附录 D（资料性附录）对已实施的 GB/T 22080-2008附录 A的控制措施的评审指南...............................23



前言

本文件等同采用国际标准ISO/IEC 27006:2011《信息技术安全技术信息安全管理体系审核认证机

构的要求》。本文件是CNAS对信息安全管理体系认证机构的专用认可准则，与管理体系认证机构基本认可准则CNAS-CC01:2011《管理体系认证机构要求》共同构成CNAS对信息安全管理体系认证机构的认可准则。

本文件的附录A、B、C和D是资料性附录。为了便于使用，对ISO/IEC 27006:2011做了下列编辑性修改：1) 针对认证机构的管理时，用词汇“程序”表示“procedure”；针对客户组织的管理时，用词汇“规程”表示“procedure”；

2) 针对认证机构的管理时，用词汇“政策”表示“policies”；针对客户组织的管理时，用词汇“策略”表示“policies”；

3) 用词汇“客户组织”表示“client”或“client organization”；4) 用词汇“审核时间”表示“audit time”或“ auditor time”。本文件代替了 CNAS-CC17:2009。



引言

CNAS-CC01:2011(等同采用ISO/IEC 17021:2011)是CNAS针对各类管理体系认证机构的基本认可准则。如果管理体系认证机构按照GB/T 22080-2008《信息技术安全技术信息安全管理体系要求》

（ISO/IEC 27001:2005，IDT）开展以信息安全管理体系（ISMS）审核和认证为目的活动，并打算依据CNAS-CC01:2011获得认可，对CNAS-CC01:2011补充一些要求和指南是必要的。本文件提供了这样的内容。

本文件正文遵循CNAS-CC01:2011的结构，针对ISMS审核和认证所增加的特定要求和指南，用“IS”加以标识。

贯穿本文件全文，使用“应”（shall）这一术语，以表示本文件中与CNAS-CC01:2011和GB/T22080-2008的要求相对应的条款是要求性的，认证机构必须遵循；使用“宜”（should）这一术语表示建议。

本文件的一个目的是确保以一致的方式按照相关准则或标准对信息安全管理体系认证机构实施评

审和认可。

注：本文件中“管理体系”和“体系”可以互换使用。管理体系的定义见GB/T 19000-2008（ISO 9000:2005，IDT）。

请勿将本文件中使用的管理体系与其他类型的系统混淆，例如IT系统。



信息安全管理体系认证机构要求

1 范围

本文件对实施信息安全管理体系（以下简称“ISMS”）审核和认证的机构提出要求并提供指南，以作为对CNAS-CC01:2011和GB/T 22080-2008要求的补充。制定本文件的主要意图是对实施ISMS认证的认证机构的认可提供支持。

任何提供 ISMS认证的机构需要在能力和可靠性方面证实其满足本文件的要求。本文件的指南性条款为这些要求提供了进一步的说明。

注：本文件可以作为认可、同行评审或其他审核过程的准则性文件。

2 规范性引用文件

下列文件中的条款通过本文件的引用而成为本文件的条款。凡是注明日期的引用文件，其随后所有

的修改单（不包括勘误的内容）或修订版均不适用于本文件。然而，鼓励根据本文件达成协议的各方研

究是否可使用这些文件的最新版本。凡是不注明日期的引用文件，其最新版本适用于本文件。

CNAS-CC01:2011 管理体系认证机构要求（等同采用ISO/IEC 17021:2011）GB/T 22080-2008 信息技术安全技术信息安全管理体系要求（ISO/IEC 27001:2005，IDT）ISO 19011:2011 管理体系审核指南

3 术语和定义

CNAS-CC01:2011和GB/T 22080-2008中确立的以及下列术语和定义适用于本文件。3.1

认证证书 certificate

由认证机构依照认可条件颁发的，并带有认可标识或声明的一种文件。

3.2

认证机构 certification body

按照正式发布的ISMS标准及ISMS所要求的任何补充性文件，对客户组织的ISMS进行评定和认证的第三方机构。

3.3

认证文件 certification document

表明客户组织的ISMS符合指定的ISMS标准及ISMS所要求的任何补充性文件的一类文件。3.4

标志 mark

依法注册的商标或在认可机构或认证机构的规则下颁发的受到保护的标识，以表明对组织所运行的

管理体系建立足够信心，或者表明相关的产品或人员符合指定标准的要求。

3.5

组织 organization

公司、集团、事务所、工厂、政府机构、科研机构、学校等，或者其部分或组合，无论其是否是法

人，还是公有或私有的，均具有其自身的职能和管理并能够确保实施其信息安全。

4 原则



CNAS-CC01:2011的4中的原则适用。

5 通用要求

5.1 法律与合同事宜

CNAS-CC01:2011的5.1中的要求适用。5.2 公正性的管理

CNAS-CC01:2011的5.2中的要求适用。并且，以下ISMS特定要求和指南适用。5.2.1 IS 5.2利益冲突

认证机构从事以下工作可不被视为咨询或具有潜在的利益冲突：

a）认证，其中包括信息沟通会议、审核策划会议、文件评审、审核（但不是 ISMS内部审核或内部信息安全评审）和不符合的跟踪；

b）作为讲师安排和参与培训课程，如果这些课程涉及信息安全管理、有关的管理体系或审核，认

证机构应仅限于提供可以公开自由获取的通用的信息和建议，即他们不应针对具体公司提供那

些违反下面 c)要求的建议；

c）根据请求，提供或公开发布有关认证机构对认证审核标准的要求予以说明的信息（见 9.1.1）；d）仅以确定认证审核是否就绪为目的的审核前活动，但是这些活动不应导致提供违反本条款的建

议和意见。认证机构应能够确认这些活动不违反这些要求，并且不能用这些活动作为缩减最终

认证审核时间的理由；

e）根据标准或法规要求，实施认可范围以外的第二方或第三方审核；

f）在认证审核和监督审核过程中的增值活动，例如，在审核过程中，当改进机会明显时，识别改

进的机会但不推荐具体的解决方案。

认证机构应独立于为其所认证的客户组织 ISMS提供 ISMS内部审核的机构（也包括任何个人）。

5.3 责任和财力

CNAS-CC01:2011的5.3中的要求适用。

6 结构要求

6.1 组织结构和最高管理层

CNAS-CC01:2011的6.1中的要求适用。6.2 维护公正性的委员会


7 资源要求

7.1 管理层和人员的能力

CNAS-CC01:2011的7.1中的要求适用。并且，以下ISMS特定要求和指南适用。7.1.1 IS 7.1.1 总体考虑

为实施 ISMS认证，管理层的基本能力是选择、提供和管理那些具备与受审核的活动和有关的信息安全事宜相适应的技能和综合能力的人员。

7.1.1.1 能力分析和合同评审

认证机构应确保具备与所评定的客户组织 ISMS有关的技术和法律发展的知识。认证机构应具有一个有效的能力分析系统，以便在其运作所涉及的全部技术领域就需要具备的信息

安全管理方面的能力进行分析。

对于每个客户组织，认证机构在实施合同评审前，应能够证实其已经针对每个有关行业的要求进行

了能力分析（针对所评估出的需求进行技能评定）。然后，认证机构应以该能力分析的结果为基础，对

与客户组织的合同进行评审。尤其，认证机构应能够证实其具备完成以下活动的能力：

a）理解客户组织的活动领域及相关业务风险；



b）根据所识别的活动以及有关客户组织的与信息安全有关的对资产的威胁、脆弱性和影响来确定

认证机构实施认证所需的能力；

c）确认具备所需的能力。

7.1.1.2 资源

认证机构的管理应包括必要的过程和资源，以使认证机构能够确定每个审核员是否有能力针对认证

范围从事所要求的工作。审核员的能力可以通过经验证的背景经历和特定的培训或情况说明（见本文件

的附录 B）来确定。认证机构应能与其提供服务的所有客户组织进行有效的沟通。7.1.2 IS 7.1.2能力准则的确定

附录B中提供了知识和技能的附加信息以支持CNAS-CC01:2011的能力准则。7.2 参与认证活动的人员

CNAS-CC01:2011的7.2中的要求适用。并且，以下ISMS特定要求和指南适用。7.2.1 IS 7.2 认证机构人员能力

认证机构应具备胜任以下工作的人员：

a）选择并验证 ISMS审核员的能力，以使审核组适合审核；b）向 ISMS审核员进行情况说明并安排必要的培训；c）做出授予、保持、撤销、暂停、扩大或缩小认证的决定；

d）建立和运行申诉和投诉过程。

7.2.1.1 审核组的培训

认证机构应有审核组的培训准则，以确保审核组：

a）具有 ISMS标准和其他相关规范性文件的知识；b）理解信息安全；

c）从业务角度，理解风险评估和风险管理；

d）具有与受审核的活动相关的技术知识；

e）具有与各类 ISMS相关的法规要求的通用知识；f）具有管理体系的知识；

g）理解基于 GB/T19011的审核原则；h）具有评审 ISMS有效性和测量控制措施有效性的知识。以上培训要求，除了上述 d)可以在审核组成员之间共享外，其余均适用于审核组的所有成员。

7.2.1.1.1 当为特定认证审核选择指派审核组时，认证机构应确保审核组实施各项工作的技能是适宜

的。审核组应：

a）针对拟认证的 ISMS范围内的特定活动，具备适当的技术知识，以及（适宜时）与这些活动相关的规程和其潜在的信息安全风险方面的技术知识（非审核员的技术专家可以履行此项职责）；

b）充分理解客户组织，以便对（管理客户组织活动、产品和服务的信息安全的）ISMS进行可靠的认证审核；

c）适当地理解适用于客户组织的 ISMS的法规要求。7.2.1.1.2 需要时，审核组的能力可以通过技术专家予以补充，这些技术专家应能够证实具备与受审

核方活动相应的技术领域的特定能力。值得注意的是，技术专家不能作为 ISMS审核员，但可就受审核方管理体系中技术充分性事宜为审核员提供建议。认证机构应就以下活动制定程序：

a）按照其能力、所接受的培训、资格与经历来选择审核员和技术专家；

b）在认证审核中对审核员和技术专家的素质和能力进行初始评价，而后对审核员和技术专家的表

现进行监视。

7.2.1.2 决定过程的管理

管理层应具备技术能力并能够对有关授予、保持、扩大、缩小、暂停和撤销 ISMS 认证（依据 GB/T22080-2008要求）的决定过程进行管理。7.2.1.3 ISMS审核员在教育、工作经历、审核员培训和审核经历方面的必备条件



7.2.1.3.1 以下准则适用于 ISMS审核组中的每个审核员。审核员应：a）具备中等教育；

b）在信息技术方面具备至少 4年的全职实际工作经历，其中至少 2年的工作经历来自与信息安全有关的职责或职能；

c）成功地完成 5天的培训，范围应包括 ISMS审核和审核管理；d）在被赋予审核员责任之前，已获得评定整个信息安全管理体系的经验。这种经验宜通过参与最

少 4次、总共天数至少 20天的认证审核获得，其中包括文件评审、风险分析的评审、现场审核和审核报告；

e）具备合乎时宜的经验；

f）能够广泛、透彻地认识复杂的运作，并理解在较大的客户组织中各单元的职能；

g）通过持续的专业发展，保持最新的信息安全和审核的知识与技能。

技术专家应符合上述 a)、b)、e)和 f)准则。

7.2.1.3.2 除了 7.2.1.3.1中的要求，审核组组长应符合以下要求，并应通过在指导和监督下进行的审核中得到证实：

a）具备管理认证审核过程的知识和技能；

b）已经至少作为审核员实施过 3次完整 ISMS审核；c）具备有效的口头和书面沟通能力。

7.3 外部审核员和外部技术专家的使用

CNAS-CC01:2011的7.3中的要求适用。并且，以下ISMS特定要求和指南适用。7.3.1 IS 7.3 使用外部审核员或外部技术专家作为审核组的一部分

当使用外部审核员或外部技术专家作为审核组成员时，认证机构应确保其能够胜任及符合本文件适

用的要求，并不以公正性可能受到威胁的方式直接或通过其雇主参与对 ISMS或相关管理体系的设计、实施或维护。

7.3.1.1 技术专家的使用

具有有关影响客户组织的过程、信息安全和法律方面的特定知识，但未必满足本文件的 7.2中的全部准则的技术专家，可以成为审核组成员。技术专家应在审核员的监督下进行工作。

7.4 人员记录

CNAS-CC01:2011的 7.4中的要求适用。7.5 外包

CNAS-CC01:2011的 7.5中的要求适用。

8 信息要求

8.1 可公开获取的信息

CNAS-CC01:2011的 8.1中的要求适用。并且，以下 ISMS特定要求和指南适用。8.1.1 IS 8.1授予、保持、扩大、缩小、暂停和撤销认证的程序

认证机构应要求客户组织具有一个文件化并且已实施的符合 GB/T 22080-2008要求和认证所需其他文件要求的 ISMS。

认证机构应为以下活动具备形成文件的程序：

a）依据 CNAS-CC01:2011和其他相关文件的规定，对客户组织 ISMS进行初次认证审核；b）依据 CNAS-CC01:2011，为确认客户组织持续符合相关要求，对其 ISMS定期进行监督审核和再认证审核，并验证和记录客户组织是否对所有不符合及时采取纠正措施。

8.2 认证文件

CNAS-CC01:2011的 8.2中的要求适用。并且，以下 ISMS特定要求和指南适用。8.2.1 IS 8.2 ISMS 的认证文件



认证机构应向其 ISMS被认证的客户组织提供认证文件，诸如由负责此项职责的人员签署的信函或认证证书。对于认证所覆盖的客户组织及其每个信息系统，这些文件应标明所授予认证的范围和认证所

依据的标准 GB/T 22080-2008。此外，认证证书应包括引用的适用性声明的特定版本。注：适用性声明的变更如不改变认证范围中控制措施的覆盖范围，不需要更新认证证书。

8.3 获证客户组织名录

CNAS-CC01:2011的 8.3中的要求适用。8.4 认证的引用和标志的使用

CNAS-CC01:2011的 8.4中的要求适用。并且，以下 ISMS特定要求和指南适用。8.4.1 IS 8.4 认证标志的控制

认证机构应对 ISMS认证标志的所有权、使用和展示方式进行适当的控制。如果认证机构授权使用标志来表明对 ISMS的认证，认证机构应确保客户组织仅使用由认证机构书面授权所规定的标志。认证机构不应授权客户组织在产品上使用这一标志，或以表示产品合格的方式使用这一标志。

8.5 保密性

CNAS-CC01:2011的 8.5中的要求适用。并且，以下 ISMS特定要求和指南适用。8.5.1IS 8.5 客户组织记录的获取

在认证审核之前，认证机构应要求客户组织报告是否存在不能提供给审核组的包含保密性或敏感性

信息的 ISMS记录。认证机构应确定 ISMS是否能在缺少这些记录的情况下得到充分的审核。如果认证机构得出不对已识别的保密性或敏感性的记录进行核查就不能对 ISMS进行充分审核的结论，就应告知客户组织，并只有获得适当的访问安排许可时才能进行认证审核。

8.6 认证机构与其客户组织间的信息交换

CNAS-CC01:2011的 8.6中的要求适用。

9 过程要求

9.1 通用要求

CNAS-CC01:2011的 9.1中的要求适用。并且，以下 ISMS特定要求和指南适用。9.1.1 IS 9.1.1 通用 ISMS 审核要求

9.1.1.1 认证审核准则

客户组织的 ISMS接受审核的准则应是 ISMS标准 GB/T 22080-2008所提出的要求和与其所实施的业务相关的认证所需的其他文件中的要求。如果需要对上述文件在特定认证方案中的应用做出解释，这

种解释应由公正的和具备必要技术能力的相关委员会或人员给出，并由认证机构正式发布。

9.1.1.2 政策和程序

认证机构的管理体系文件应包括实施认证过程的政策和程序，其中包括对用于各类 ISMS认证的那些文件的使用和应用情况的检查，也包括对用于审核和认证客户组织 ISMS的那些程序的检查。9.1.1.3 审核组

认证机构应正式任命审核组并为其提供相应的工作文件。审核计划和日期应得到客户组织的同意。

认证机构应明确规定且使客户组织知晓审核组的任务。该任务应要求审核组检查客户组织的结构、策略

和规程，并确认其满足与认证范围相关的所有要求及其规程得到实施，从而提供对客户组织 ISMS的信心。

9.1.2 IS 9.1.2 认证范围

审核组应针对所有适用的认证要求，对包含在确定范围内的客户组织 ISMS进行审核。认证机构应确保根据客户组织的业务、组织、位置、资产和技术的特点清晰地确定其 ISMS的范围和边界。认证机构应确认客户组织在其 ISMS范围内满足了 GB/T 22080-2008中 1.2的要求。

认证机构应确保，按照 ISMS标准 GB/T 22080-2008的要求，客户组织的信息安全风险评估和风险处置与客户组织的活动及活动的边界相一致，并应确认这些都在客户组织的 ISMS范围和适用性声明中得到体现。



认证机构应确保，与不完全属于 ISMS范围内的服务或活动的接口已在接受认证的 ISMS中得到说明，并已包括在客户组织的信息安全风险评估中，例如，与其他机构共享设施的情况（信息技术系统、

数据库和通讯系统等）。

9.1.3 IS 9.1.3 审核时间

认证机构应给予审核员足够的时间开展涉及初次审核、监督审核或再认证审核的所有活动。所安排

的时间应考虑以下因素：

a） ISMS范围的规模（例如，所使用的信息系统的数量和雇员的数量）；b） ISMS的复杂程度（例如，信息系统的关键程度和 ISMS的风险状况），见本文件的附录 A；c）在 ISMS范围内开展的业务类型；d）在 ISMS各部分的实施过程中，所应用的技术的水平和多样性[例如，已实施的控制措施、文件和（或）过程控制，以及纠正和（或）预防措施等]；

e）场所的数量；

f）经证实的以往 ISMS绩效；g）在 ISMS范围内，所使用的外包和第三方安排的程度；h）适用于认证的标准和法规。

本文件的附录 C对审核时间提供指南。认证机构应能证明或说明在初次审核、监督审核和再认证审核中所用时间的合理性。

9.1.4 IS 9.1.4 多场所

9.1.4.1 在 ISMS认证领域，有关多场所的抽样决定比质量管理体系认证领域更加复杂。当客户组织拥有满足以下 a)至 c)的多个场所时，认证机构可以考虑使用基于抽样的方法进行多场所认证审核：

a）所有的场所在同一 ISMS下运行，并接受统一的管理、内部审核和管理评审；b）所有的场所都包含在客户组织的 ISMS内部审核方案中；c）所有的场所都包含在客户组织的 ISMS管理评审方案中。

9.1.4.2 认证机构当使用基于抽样的方法时，应具备程序以确保：

a）在初次的合同评审中，最大程度地识别场所之间的差异，以便确定适宜的抽样水平；

b）结合以下因素，认证机构抽取具有代表性的场所：

1) 总部及其他场所的内部审核的结果；

2) 管理评审的结果；

3) 场所规模的异同；

4) 场所业务目的的异同；

5) ISMS的复杂程度；6) 不同场所的信息系统的复杂程度；

7) 工作惯例的异同；

8) 所实施的活动的异同；

9) 与关键的信息系统或处理敏感信息的信息系统之间的潜在相互作用；

10) 任何不同的法律要求。

c）从客户组织的 ISMS范围内所有场所中选择具有代表性的样本，这种选择应基于判断以反映上述 b)中所列因素，同时也考虑随机因素；

d）在授予认证之前，认证机构审核 ISMS中每个有重大信息安全风险的场所；e）根据上述要求，设计审核方案，并在三年的时间内覆盖 ISMS认证范围内的代表性样本；f）无论是在总部还是在某单一场所发现不符合，纠正措施规程的实施适用于包括在认证范围内的

总部和所有场所。

本文件的 IS 9.1.5中所述的审核应关注客户组织总部为确保同一 ISMS运用于所有场所并在运行层面上实施统一管理所进行的活动。审核应处理上述所有事项。

9.1.5 IS 9.1.5 审核方法



认证机构应有程序要求客户组织证实其已就 ISMS 内部审核做出日程安排，且其方案与规程具备操

作性并表明其可操作。

认证机构的程序不应预先假定 ISMS实施的特殊方式或文件和记录的特殊格式。认证程序应将重点放在确定客户组织的 ISMS满足 GB/T 22080-2008 标准的要求以及客户组织的策略与目标。

如适宜，审核计划应识别在审核中使用的网络支持的审核技术。

注：网络支持的审核技术，例如，电话会议、网络会议、基于网络的互动式沟通和远程电子访问 ISMS 文件和（或）

ISMS 过程等方式。关注这些技术将有助于提高审核的有效性和效率，并支持审核过程的完整性。

9.1.6 IS 9.1.6 认证审核报告

9.1.6.1 认证机构的报告程序应确保：

a）在离开客户组织场所前，在审核组和客户组织管理者之间召开一次会议，并提供：

1) 关于客户组织 ISMS与特定认证要求的符合性方面的书面或口头说明；2) 客户组织就审核发现及其根据提出问题的机会。

b）审核组向认证机构提供关于审核发现的审核报告，这些审核发现是针对客户组织的 ISMS与所有认证要求的符合性。

9.1.6.2 审核报告应提供以下信息或对这些信息的引用：

a）审核的说明，其中包括了文件评审摘要；

b）对客户组织信息安全风险分析进行的认证审核的说明；

c）所使用的全部审核时间和分别用于文件评审、风险分析的评审、现场审核和审核报告的时间的

详细说明；

d）所进行的审核询问，及其选择的理由和所使用的方法。

9.1.6.3 审核报告应足够详细，以帮助和支持认证决定。审核报告应包括：

a）审核覆盖的区域（例如，认证要求和接受审核的场所），也包括所采用的主要审核路线和所使

用的审核方法（见本文件的 IS 9.1.5)；b）观察结果，包括正面的（例如，值得注意的特点）和负面的（例如，潜在的不符合）；

c）已识别的任何不符合的详细情况，包括支持它们的客观证据和这些不符合所涉及的 GB/T22080-2008或认证所需的其他文件的要求；

d）有关客户组织的 ISMS与认证要求的符合性方面的意见和对不符合的清楚说明，所引用的适用性声明的版本，以及适用时，与客户组织先前的认证审核结果的任何有用的对照。

完成的问卷、检查清单、观察结果、日志或审核员笔记可能构成完整的审核报告的一部分。如果使

用这些方法，这些文件应提供给认证机构，以此作为支持认证决定的证据。在审核过程中，有关被评价

样本的信息应包含在审核报告或其他认证资料中。

报告应考虑客户组织所采用的内部组织和规程的充分性，以便对其ISMS建立信心。

除了在 CNAS-CC01:2011的 9.1.10中对审核报告的要求，报告还应包括：

a）对 ISMS内部审核和管理评审的信任程度；b）有关 ISMS的实施和有效性的最重要的正面与负面观察的摘要；c）审核组关于是否授予客户组织 ISMS认证的建议，以及支持该建议的信息。

9.2 初次审核与认证

CNAS-CC01:2011的 9.2中的要求适用。并且，以下 ISMS特定要求和指南适用。9.2.1 IS 9.2.1 审核组的能力

除了 7.2所列的要求之外，以下要求适用于认证审核。对于监督活动，仅仅与已安排的监督活动有关的要求适用。

以下要求适用于整个审核组。



a）在以下每个方面，至少应有一名审核组成员满足认证机构能力准则并在审核组内承担相应责

任：

1) 管理审核组；

2) 与 ISMS 相关的管理体系和过程的知识；

3) 在特定的信息安全领域中的法律和法规要求的知识；

4) 识别与信息安全有关的威胁和事件趋势；

5) 识别客户组织的脆弱性并理解其被利用的可能性和所造成的影响，以及对其的减缓和控制；

6) ISMS的控制措施及其实施的知识；7) ISMS有效性的评审和控制措施有效性的测量方面的知识；8) 有关和(或)相关的 ISMS 标准、行业先进经验、安全策略和规程；

9) 事件处理方法和业务连续性的知识；

10) 有关有形和无形信息资产及其影响分析的知识；

11) 有关可能涉及安全或可能构成安全问题的当前技术的知识；

12) 风险管理过程和方法的知识。

b）审核组应有能力将客户组织 ISMS中的安全事件现象追溯到 ISMS的相应要素；c）审核组应有关于上述项目的适当工作经历和应用实践（这不意味着审核员需要信息安全所有领

域的全面的经验，但审核组整体上应对被审核的领域具备足够的认识和经验）。

审核组可以由一名审核员组成，如果其满足上述 a)的所有准则。

9.2.1.1 IS 9.2.1.1 审核员的能力证实

审核员应能够证实其具备上述知识和经验，如通过：

a）经承认的、ISMS特定的资格；b）注册为审核员；

c）经批准的 ISMS课程培训；d）最新的持续专业发展记录；

e）对审核员在实际客户组织 ISMS的审核过程的见证予以证实。9.2.2 IS 9.2.2 初次审核的准备

认证机构应要求客户组织为认证审核的实施做出所有必要的安排，这些安排中包括：为了认证审核、

再认证审核和解决投诉问题而提供接受检查的文件，以及访问所有区域、记录（包括内部审核报告和信

息安全独立评审报告）和人员。

在现场认证审核之前，客户组织至少应提供以下信息：

a） ISMS和其所覆盖活动的一般信息；b） GB/T 22080-2008的 4.3.1中所要求的 ISMS文件的副本，及必要的相关文件。

9.2.3 IS 9.2.3 初次认证审核

9.2.3.1 IS 9.2.3.1 第一阶段审核

在该审核阶段，认证机构应获取设计 ISMS的文件，其中包括 GB/T 22080-2008的 4.3.1中所要求的文件。

第一阶段审核的目的是，结合客户组织 ISMS方针和目标，了解其 ISMS，特别是客户组织的审核准备状态，为策划第二阶段的审核提供重点。

第一阶段审核应包括，但不宜仅限于文件评审。认证机构应与客户组织就文件评审的时间和地点达

成一致。在任何情况下，文件评审应在第二阶段审核开始前完成。

第一阶段审核结果应形成书面报告。认证机构应在决定进行第二阶段审核前，对第一阶段的审核报

告进行核查，以便选择具有所需能力的第二阶段的审核组成员。

认证机构应让客户组织意识到在第二阶段的审核中，可能需要进一步提供信息和记录以供详细检

查。

9.2.3.2 IS 9.2.3.2 第二阶段审核



9.2.3.2.1第二阶段审核在客户组织的场所进行。认证机构以第一阶段的审核报告中的形成文件的审核发

现为基础，起草实施第二阶段审核的审核计划。第二阶段审核的目标是：

a）确认客户组织遵守自身的策略和规程；

b）确认客户组织的 ISMS符合规范性 ISMS标准 GB/T 22080-2008的所有要求，并正在实现客户组织依据方针所制定的目标。

9.2.3.2.2 为此，审核应重点关注客户组织的：

a）与信息安全有关的风险评估，及评估能产生可比较和可再现的结果；

b）符合 GB/T 22080-2008的 4.3.1中所列要求的文件；c）基于风险评估与风险处置过程，对控制目标与控制措施的选择；

d） ISMS有效性的评审和信息安全控制措施有效性的测量，以及对照 ISMS目标进行的报告和评审；

e） ISMS内部审核和管理评审；f）针对信息安全方针的管理职责；

g）所选择和实施的控制措施、适用性声明及风险评估和风险处置过程的结果相互之间的一致性，

以及它们与 ISMS方针和目标之间的一致性；h）控制措施的实施（见本文件的附录 D），考虑客户组织对控制措施的有效性的测量[见上述 d)]，以确定控制措施是否得以实施并在达到所声明的目标方面是有效的；

i）方案、过程、规程、记录、内部审核和对 ISMS有效性的评审，以确保其可被追溯至管理决定和 ISMS方针与目标。

9.2.3.3 IS 9.2.3.3 ISMS 审核的特定要素

认证机构的职责是确定客户组织在制定和保持规程方面是否始终如一，特别是识别、检查和评价有

关客户组织的与信息安全有关的资产威胁、脆弱性及影响的规程。认证机构应：

a）要求客户组织证实对信息安全威胁的分析与组织的运行是相应和充分的；

注：客户组织负责确定它的与信息安全有关的重大风险的识别准则，并制定实施的规程。

b）确定客户组织识别、检查和评价与信息安全有关的资产威胁、脆弱性和影响的规程以及应用的

结果是否与客户组织的方针、目标和指标保持一致。

认证机构也应确定用于重大风险分析的规程是否健全并正确实施。如果有关客户组织的与信息安全

有关的资产威胁、脆弱性或影响被识别为重大时，则应纳入 ISMS管理之中。

9.2.3.3.1 法律和法规的符合性

法律法规符合性的保持和评价是客户组织的责任。认证机构应通过检查和抽样的方式对 ISMS在客户组织的合规性方面的作用建立信心。认证机构应验证客户组织所具有的管理体系使其达到符合有关信

息安全风险和影响的法律法规。

9.2.3.3.2 ISMS 文件与其他管理体系文件的整合

只要 ISMS以及与其他管理体系的适当接口能够清楚地被识别，客户组织可以将 ISMS文件与其他管理体系文件（例如，质量、环境和健康与安全）相结合。

9.2.3.3.3 管理体系结合审核

认证机构可以仅提供 ISMS认证服务，或结合 ISMS认证提供其他管理体系认证服务。ISMS 审核可以和其他管理体系的审核相结合。这种结合只有在证实审核满足 ISMS认证所有要求

时才有可能。在审核报告中，所有对 ISMS重要的要素应清晰地体现并易于识别。审核的质量不应由于结合审核受到负面影响。

9.2.4 IS 9.2.4 授予初次认证的信息



为给认证决定提供依据，认证机构应要求审核组向其提供含有支持认证决定的充足信息的清晰报

告。

要求审核组在认证审核的各个阶段向认证机构提供报告。结合存档信息，报告至少应包括本文件的

IS 9.1.6中要求的信息。9.2.5 IS 9.2.5 认证决定

在认证机构中，决定授予和（或）撤销认证的实体（可能是个人）应在各方面具备相应的知识和经

验，以能够评价审核过程和由审核组提供的相关建议。

是否授予客户组织 ISMS认证的决定是由认证机构以认证过程中收集的信息和其他相关信息为基础做出的。负责做出认证决定的人员不应参与审核。认证决定应以审核组审核报告（见本文件的 IS 9.1.6）中提供的审核发现和推荐认证的建议，以及认证机构可获得的任何其他相关信息为基础。

通常情况下，负责做出授予认证决定的实体不宜推翻审核组的负面建议。如果出现这种情况，认证

机构应记录和说明作出推翻建议的决定的依据。

对认证决定而言，CNAS-CC01:2011未对客户组织 ISMS至少进行一次完整的内部审核和一次管理评审的周期做出具体规定。认证机构可以规定该周期。无论认证机构是否选择规定最低频次的方式，认

证机构都应制定措施，以确保客户组织的 ISMS管理评审和内部审核过程的有效性。只有具备充分的证据证实 ISMS管理评审和内部审核的安排得以实施，并是有效的和将得到保持，

才可对客户组织授予认证。

9.3 监督活动

CNAS-CC01:2011的9.3中的要求适用。并且，以下ISMS特定要求和指南适用。9.3.1 IS 9.3 监督活动

9.3.1.1 监督审核程序应与本文件提出的有关客户组织 ISMS的认证审核的要求和指南保持一致。监督的目的是验证已被认证的ISMS的持续实施、考虑由于客户组织运作的变化所造成的管理体系

变化，以及确认与认证要求的持续符合。监督审核方案应包括：

a） ISMS内部审核、管理评审和预防与纠正措施等管理体系保持要素；b）根据 ISMS标准 GB/T 22080-2008和认证所需的其他文件的要求，来自外部各方的沟通；c）形成文件的管理体系的变更；

d）变更涉及的区域；

e）所选择的 GB/T 22080-2008要素；f）适宜时，其他被选择的区域。

9.3.1.2 认证机构的监督至少应对以下方面进行审核：

a） ISMS 在实现针对客户组织的信息安全方针所确定的目标方面的有效性；

b）有关定期评价和复核与相关信息安全法律法规的符合性的规程的应用；

c）针对上次审核中已识别的不符合采取的措施。

9.3.1.3 认证机构的监督应包括 CNAS-CC01:2011 中对监督审核的要求，并且，应覆盖以下事项：

a）认证机构宜能够针对客户组织的与信息安全相有关的资产威胁、脆弱性和影响制定监督方案，

并判断方案的合理性；

b）认证机构的监督方案应由认证机构确定。访问的具体日期可与被认证的客户组织达成一致；

c）监督审核可以与其他管理体系的审核相结合。报告应清晰地指出与每个管理体系有关的方面；

d）认证机构应对认证证书的使用进行监督。

在监督审核过程中，认证机构应检查提交给认证机构的申诉和投诉记录，并在发现任何不符合或无

法满足认证要求时，还应检查客户组织是否已调查其自身的ISMS和规程并采取了适当的纠正措施。

特别是，监督报告应包括有关消除以往所发现不符合的信息。由监督审核所产生的报告至少应覆盖

本文件的9.3.1.2中的全部要求。9.4 再认证

CNAS-CC01:2011的9.4中的要求适用。并且，以下ISMS特定要求和指南适用。9.4.1 IS 9.4 再认证审核



再认证审核程序应与本文件中提出的有关客户组织 ISMS的认证审核的要求和指南保持一致。

认证机构应具有规定了保持认证的环境和条件的清楚程序。如果在监督或再认证审核中，发现不符合

存在，该不符合在认证机构同意的时间内应得到有效的纠正。如果纠正没有在同意的时间内完成，认证范

围应被缩小，或者暂停或撤销认证证书。允许采取纠正措施的时间应与不符合的严重程度和风险相适宜，

以确保客户组织的产品或服务满足规定要求。

9.5 特殊审核

CNAS-CC01:2007的9.5中的要求适用。并且，以下ISMS特定要求和指南适用。9.5.1 IS 9.5 特殊情况

如果已经通过ISMS认证的客户组织对其管理体系做重大修改，或者发生影响其认证基础的其他变更，认证机构应该按照特别规定必要时实施特殊审核以及必要活动。

9.6 暂停、撤销或缩小认证范围

CNAS-CC01:2011的9.6中的要求适用。9.7 申诉

CNAS-CC01:2011的9.7中的要求适用。9.8 投诉

CNAS-CC01:2011的9.8中的要求适用。并且，以下ISMS特定要求和指南适用。9.8.1 IS 9.8 投诉

投诉表示了可能的不符合的信息来源。认证机构应要求获证客户组织在收到投诉后，确定投诉的原

因，其中包括任何由于客户组织的ISMS所导致（或诱发）投诉的因素，并在适当时向其报告投诉的原因。

认证机构应确保客户组织利用上述调查活动制定补救和（或）纠正的措施，这应包括为以下方面所

采取的措施：

a）如果法规要求时，通知相应的权力机构；

b）恢复符合性；

c）防止再发生；

d）评价和减小任何负面安全事件及其相关影响；

e）确保与 ISMS其他组成部分的满意的相互作用；f）评价所采用的补救和（或）纠正措施的有效性。

认证机构应要求，每个ISMS获证客户组织在被要求时，根据GB/T 22080-2008要求提供所有投诉和所采取的纠正措施的记录。

9.9 申请组织和客户组织的记录


10 认证机构的管理体系要求

10.1 可选方式

CNAS-CC01:2011的10.1中的要求适用。10.2 方式一：按照 GB/T19001-2008的管理体系要求

CNAS-CC01:2011的 10.2中的要求适用。10.3 方式二：通用的管理体系要求

CNAS-CC01:2011的 10.3中的要求适用。并且，以下 ISMS特定的要求和指南适用。10.3.1 IS 10.3 ISMS 实施

建议认证机构依据 GB/T 22080-2008要求实施 ISMS。



附录 A

（资料性附录）

客户组织复杂性和行业特定方面的分析

A.1 组织的潜在风险

当决定审核的时间和审核员的能力时，需要考虑客户组织 ISMS范围的复杂性。为此，本附录提供了分析客户组织复杂性的实例。

给出一个 ISMS范围的复杂性类别有助于确定：a) ISMS审核的审核员能力要求（见本文件的附录 B的示例）；b) ISMS审核的审核时间要求（见本文件的附录 C的示例）。针对确定 ISMS 范围的复杂性时所考虑的可能因素，表 A.1给出了一般指标。对于特定的环境，表

A.1可能需要加以调整，或者适当地增加一些特殊因素。通过分别地使用复杂性准则（见表 A.1），以及利用一些不同的因素，有关 ISMS范围复杂性的各

方面因素都可以分为三个类别，即：“高”、“中”和“低”。而 ISMS范围的复杂性的整体有效类别可以是所识别的全部复杂性因素的类别中最高的那个，结果即为：“高”、“中”或“低”。

表 A.1 ISMS 范围的复杂性准则

复杂性

因素

类别重要性

（注：复杂性因素在以下方面将构

成重大影响）

高中低

雇员+签约人员的数量

≥1000 ≥200 <200 ISMS实施的规模管理信息系统

与生产管理有关的系统

销售/物流/一般服务相关的系统

信息技术/信息服务和有关系统

与建筑/造船/设备工程有关的系统

用户数量 ≥1,000,000 ≥200,000 <200,000 财务系统

政府、学校、医学/医院系统

场所数量 ≥5 ≥2 1 ISMS实施的规模物理与环境安全（GB/T

22080-2008中 A.9）服务器数量 ≥100 ≥10 <10 ISMS实施的规模

物理与环境安全（GB/T22080-2008中 A.9）

访问控制（ GB/T22080-2008中 A.11）

通信与操作管理（GB/T22080-2008中 A.10）



复杂性

因素

类别重要性

（注：复杂性因素在以下方面将构

成重大影响）

高中低

工作站

+PC+ 便携式计算机的

数量

≥300 ≥50 <50 访问控制（ GB/T22080-2008中 A.11）

应用开发与

维护人员的

数量

≥100 ≥20 <20 信息系统的获取、开发和维

护（GB/T 22080-2008中A.12）

网络与密码

技术

具有加密、数

字签名和（或）

PKI要求的外部和（或）内

部连接

具有使用标准

加密设施而没

有数字签名和

PKI要求的外部和（或）内

部连接

没有加密、数

字签名和 PKI要求的外部

和（或）内部

连接

通信与操作管理（GB/T22080-2008中 A.10）访问控制（GB/T 22080-2008中 A.11）

法律符合性

的重要性

不符合可能导

致的起诉

不符合导致重

大的经济处罚

或者信誉损害

不符合导致

无关紧要的

经济处罚或

者信誉损害

法律和指南（GB/T22080-2008中 A.15）

行业特定风

险的适用性

（参见本附

录 A.2行业特定的信息

安全风险类

别）

行业特定的法

律法规适用

没有适用的行

业特定的法律

法规，但有重

大的行业特定

风险

没有适用的

行业特定的

法律法规，也

没有重大的

行业特定风

险

ISMS实施的规模法律和指南（GB/T22080-2008中 A.15）

表中的数字仅作说明用，认证机构宜确定自身适用的值。

A.2 行业特定的信息安全风险类别

对于所考虑的信息类型或组织所运作的行业来说，信息安全的风险可能是特定的。以下示例说明了

风险的不同类别。

适用于所有组织的特定风险类别：

工资、养老金、健康与安全、组织档案、内部和部门间的信息等；

任何其他与个人有关的可识别信息；

任何其他商业敏感/关键信息，例如，研发信息、设计信息、客户组织详细信息、财务结果

与预测、商业计划、知识产权、制造过程等。

适用于政府的敏感和（或）关键信息的特定风险类别：

公共信息；

电子政务应用；

持有的公民信息，例如，健康、救济金、税金、档案等；

政府的供应商和生产商持有的信息，例如，信息通信技术（ICT）设计、设施、产品、服务

等。

适用于组织种类的特定风险类别：

法人治理—上市公司（可能也有其他大型的实体）。



适用于行业的特定风险类别：

卫生保健；

教育；

航空航天；

电信；

金融服务；

慈善团体和非盈利组织。



附录 B


审核员能力的示例

B.1 需考虑的一般能力

有很多途径可以证实审核员的知识和经验，例如，使用承认的资格以评价知识和经验。依据人员认

证方案的审核员注册记录也可以用来评价需要的知识和经验。宜确定审核组所需的能力级别，使其与组

织的行业/技术领域和复杂性因素相适应。

B.2 需考虑的特定能力

B.2.1 有关 GB/T 22080 - 2008的附录 A控制措施的知识

表 B.1描述了典型的与 ISMS审核有关的知识。除了该表列出的有关 GB/T 22080-2008附录 A的控制措施方面的知识以外，审核员还宜知晓 ISO/IEC 27000标准族的其他标准。

表 B.1 典型的与 ISMS 审核有关的知识

GB/T 22080 - 2008,附录 A 有关的知识和经验

A.5 安全方针信息安全策略和业务要求的知识和经验

A.6 信息安全组织业务过程、业务实践和组织结构的通用知识和经验

A.7 资产管理资产评价、清单、分类和可接受的使用策略的知识

A.8人力资源安全

人力资源部门所使用的过程与规程的通用知识和经

验

A.9 物理和环境安全物理和环境安全的知识

A.10 通信和操作管理在信息安全方面所使用的标准、过程、技术和方法的

最新知识和经验，其中包括管理措施和适当水平的专

门技术。这也包括当前一些通用的业务实践的知识。

A.11 访问控制

A.12 信息系统获取、开发和维护

A.13 信息安全事件管理有关事件管理的过程和规程的最新知识和经验

A.14业务连续性管理

有关业务连续性的标准、过程、计划和测试规程的最

新知识和经验

A.15符合性

与 ISMS有关的业务合同事宜和一般性法律法规的最新知识

B.2.2 有关 ISMS 的典型知识

审核员宜具备下列审核和 ISMS 方面的知识并理解：

编制审核方案和策划

审核类型和方法

审核风险

信息安全过程分析

持续改进的循环周期（PDCA）信息安全内部审核

审核员宜具备下列法规要求方面的知识并理解：

知识产权



组织记录的内容、保护和保持

数据保护与隐私

密码控制

反恐

电子商务

电子和数字签名

工作场所监督

通讯侦听与数据监视（例如，电子邮件）

计算机滥用

电子证据收集

渗透测试

国际和国家的行业特定要求（例如，银行业）

审核员宜具备下列管理要求方面的知识并理解：

信息安全风险的处理

ICT外包的安全风险供应链信息安全风险



附录 C


审核时间

C.1 引言

本附录包含了与 CNAS-CC01:2011的 9.1、9.2、9.3和 9.4有关的进一步信息。宜将其与本文件的IS 9.1.2、IS 9.1.3、IS 9.1.5、IS 9.1.6、IS 9.2.3.1、IS 9.2.3.2和 IS 9.2.3.3结合在一起理解。针对从事不同活动的、不同规模和复杂度的客户组织的 ISMS范围所进行的认证审核，本附录为认证机构制定有关确定审核时间的程序提供了指南。

认证机构需要针对每一个客户组织及其被认证的 ISMS识别初次认证审核、监督审核和再认证审核所需花费的审核时间。在审核策划阶段，使用本附录可以确保使用一致的方法来确定适当的审核时间。

同时，本附录的指南允许基于审核进程（尤其是第一阶段审核）中的发现和所考虑 ISMS范围的复杂性进行调整。

C.2 确定审核时间的程序

经验表明，ISMS的范围、所涉及雇员的数量（见本附录 C.3中的审核时间表）、规模、特性、复杂性和潜在信息安全风险的严重性（下面将更加详细地解释）对任何一个特定审核所需的时间有决定性影

响。本文件的 IS 9.1.3以及 IS 9.2.3.1、IS 9.2.3.2和 IS 9.2.3.3列出了当确定所需的审核时间时宜考虑的准则。在认证机构的合同评审过程中，需要检查这些准则以及其他因素对审核时间的配置所产生的潜在

影响。

需要注意的是，在确定审核时间时，宜考虑所有这些因素，而不能孤立地使用本附录 C.3中的审核时间表。下列示例说明了可能影响审核时间的因素以及本文件的 IS 9.1.3中所列因素的详细情况：

与 ISMS范围的规模有关的因素（例如，使用的信息系统的数量、处理的信息量、用户的数量、特权用户的数量、IT平台的数量、网络的数量及它们的规模）；

与 ISMS的复杂程度有关的因素（例如，信息系统的关键度、ISMS的风险状况、所操作和处理的敏感和关键信息的多少及类型、电子交易的数量及类型、所有开发项目的数量和规模、远

程工作的范围、ISMS文件化的程度）；在 ISMS范围内开展的业务类型，以及关于这些业务类型的安全、法律、法规、合同和业务要

求；

在 ISMS各部分的实施过程中，所应用的技术的水平和多样性（例如，已实施的控制措施、文件和（或）过程控制、纠正和（或）预防措施、信息系统、IT系统、网络等，而无论他们是固定的、移动的、无线的、外部的或内部的）；

在 ISMS范围内场所的数量，这些场所的异同程度如何，是否所有的场所都被审核还是抽样；经证实的以往 ISMS绩效；在 ISMS范围内，所使用的外包和第三方安排的程度，以及对这些服务的依赖程度；适用于认证的标准、法律和法规，以及任何可能适用的行业特定要求。

由于信息安全管理体系透过特定的 ISMS需要（例如，ISMS方针、风险管理、ISMS控制目标和控制措施）而增加了要求，一个信息安全管理体系的认证通常要比质量管理体系或环境管理体系认证花费

更多的时间。认证机构应：

a) 审核客户组织用来确定其信息安全风险和影响的严重性，所使用的方法的健全性和一致性；

b) 确认客户组织为达到合规性（所有相关的法规和其他适用于 ISMS的要求）所设计的管理体系有完成此任务的能力，并且该管理体系得以实施和保持；

c) 确认客户组织正确选择和实施了控制目标和控制措施，其有效性已被测量，并且以“对安全失

效的预防和适当的响应”为目的的过程是健全的且得以遵守；

d) 确认客户组织满足关于客户组织 ISMS的文件要求；



e) 回应了由第一阶段审核所产生的增加的需求。

C.3 审核时间表

C.3.1 通则

表 C.1给出了初次审核天数的平均数量（在此处及后面的内容中，这个数量包括第一阶段和第二阶段审核的时间），经验表明，对于给定雇员数量的 ISMS范围来说，这一数量是适当的。经验还表明，对于相似规模的 ISMS范围，有些需要多一些的审核时间，有些需要少一些的审核时间。

对每一认证所需时间的变化取决于包括规模、审核范围、后勤、组织的复杂性和审核准备状态在内

的诸多因素（也见本附录的 C.2）。认证机构需在合同评审过程中检查这些因素及其他因素对所配置审核时间的潜在影响。因此，审核时间表不能孤立地使用。

表 C.1提供了可用于审核策划的框架，该表以所有班次雇员总数作为起始基数，根据适用于被审核ISMS范围的因素的重要性对该基数进行调整，对每一因素赋予增、减权重以修正基数。该表用到的术语在本附录的 C.3.2中进行了解释。

表 C.1 审核时间表

雇员数量

QMS 初次审核

审核时间

（审核人日）

EMS 初次审核

审核时间

（审核人日）

ISMS 初次审核

审核时间

（审核人日）

增加或减少

的因素

总

审核时间

1 ~ 10 2 3 5 见本附录 C.211 ~ 25 3 7 见本附录 C.226 ~ 45 4 6 8.5 见本附录 C.246 ~ 65 5 10 见本附录 C.266 ~ 85 6 11 见本附录 C.286 ~ 125 7 8 12 见本附录 C.2126 ~ 175 8 13 见本附录 C.2176 ~ 275 9 14 见本附录 C.2276 ~ 425 10 15 见本附录 C.2426 ~ 625 11 12 16.5 见本附录 C.2626 ~ 875 12 17.5 见本附录 C.2876 ~ 1175 13 18.5 见本附录 C.21176 ~ 1550 14 19.5 见本附录 C.21551 ~ 2025 15 18 21 见本附录 C.22026 ~ 2675 16 22 见本附录 C.22676 ~ 3450 17 23 见本附录 C.23451 ~ 4350 18 24 见本附录 C.24351 ~ 5450 19 25 见本附录 C.25451 ~ 6800 20 26 见本附录 C.26801 ~ 8500 21 27 见本附录 C.28501 ~ 10700 22 28 见本附录 C.2

＞ 10700沿用

以上规律

沿用

以上规律

见本附录 C.2



C.3.2 术语的解释

在表 C.1中涉及的“雇员”是指其工作活动与 ISMS范围有关的所有人员。所有班次雇员的总数是确定审核时间的起点。

雇员的有效数量包括审核期间在场的非长期（季节性的、临时的及分包的）员工。认证机构宜与拟

审核的组织就最好地反映组织全部范围的审核时间达成一致意见。适当时，可考虑季度、月份、星期、

日期和班次。

对于非全日制雇员，宜根据其工作小时数与全日制雇员的比较，并比照全日制雇员处理。

“审核时间”包括审核员或审核组在第一阶段审核、第二阶段审核和策划（适当时，包括非现场文

件评审）时所使用的时间，其中包括接触组织、人员、记录、文件和过程所用的时间，以及编制审核报

告所用的时间。审核策划和编制审核报告一起所用的“审核时间”通常不宜使总的现场“审核时间”减

少到表 C.1所给出时间的 70%以下。当策划和编制审核报告而需要增加时间时，不能以此为由而减少现场审核时间。审核员旅途时间未计在内，这应在表中所给出的审核时间的基础上另外增加。

注 1：70%是基于 ISMS 审核经验所考虑的因素。

如果使用了远程审核技术（例如，交互式基于网络的协作、网络会议、电话会议和/或组织过程的电子验证）与客户组织接触，这些活动宜在审核计划中加以识别（见本文件的 IS 9.1.5），可以考虑将其作为现场审核时间的一部分。

如果认证机构审核计划中远程审核活动占据大于 30%的现场审核时间，认证机构宜有理由证明审核计划是适当的，并在实施前得到认可机构的专门批准。

注 2：现场审核时间是指分配给单独场所的现场审核时间。远程场所的电子审核被视为远程审核，即使电子审核是

在组织的物理场所进行。

表 C.1中的“审核时间”以用于审核的“审核人日”表示。典型的一个审核人日是一个完整的正常工作日。

在初次认证审核周期，对一个组织的监督时间宜与初次审核时间成比例，每年用于监督审核的时间

总量大约是初次审核时间的 1/3。认证机构宜适时地核查其所策划的监督审核时间，以考虑组织的变更及管理体系的成熟度等，至少宜在再认证审核时进行该核查。

用于再认证审核的全部时间还取决于本文件 IS 9.1.6及 CNAS-CC01:2011的 9.4中所确定活动的结果。再认证审核所需的时间宜与同一组织的初次认证审核所用的时间成比例，大约是初次认证审核时

间的 2/3。再认证审核时间遵照上述并超出例行的监督审核时间，但当再认证审核与计划的例行监督审核一起实施时，再认证审核也要满足监督审核的要求。无论结论如何，本文件的 IS 9.1.3的指南适用。对于明确了雇员数量的典型 ISMS范围，一旦确定了所需审核时间的常规基点后，除了本附录 C.2

所列事项外，还需考虑进行一些调整，以便解决一些差异，这些差异可能影响到为实施一个有效的 ISMS审核所需的实际审核时间。

需要增加审核时间的因素，例如（不限于）：

在 ISMS范围之中复杂的后勤条件，涉及到不止一处建筑物或场所；员工语言超过一种（需要翻译或影响审核员个人独立工作）；

法规要求高；

ISMS覆盖了极其复杂的过程或大量的独特活动；过程中同时包括硬件、软件、过程和服务；

需要访问临时场所的活动以确认管理体系需认证的永久场所的活动，（见注 3）。

允许减少审核时间的因素，例如（不限于）：

没有风险或者有低风险的产品和（或）过程；

对组织已经有些了解（例如，如果组织已经按照其他标准通过了同一个认证机构的认证）；

客户组织的认证准备情况（例如，已经被其他的第三方认证方案所认证或承认）；



过程只涉及单一的常规活动（例如，只有服务）；

成熟的管理体系；

大部分雇员从事相同的简单任务。

注 3：在认证申请者或被认证组织于临时场所提供其产品或服务时，将对此类场所的评价纳入到认证审核和监督方

案中是十分重要的。

临时场所是认证文件所注明的场所和（或）位置以外的位置，其活动在认证范围内，并在规定的时

间周期內实施。此类场所范围可从大项目管理场所到较小的服务或安装场所。是否需要访问这些场所及

对其抽样范围的决定宜基于由于系统不符合所引起的未能满足需要或期望的产品或服务的风险评价。所

选择的场所样本宜考虑到活动的规模和类型，体现出组织的能力需求和服务变化的范围，以及项目进展

的不同阶段。

宜考虑 ISMS范围、过程和产品（包括服务）的所有属性，并公平地对有效审核所需增加或减少审核时间的合理因素进行调整。增加时间的因素可被减少时间的因素冲抵。在任何情况下，对审核时间表

中所提供时间的调整，宜保持足够的证据和记录来证实其变化的合理性。

图 C.1展示了在表 C.1中的审核时间的增加因素和减少因素的潜在交互作用。

图 C.1 审核时间的增加因素和减少因素的潜在交互作用

- 组织/体系的复杂性 +

大、简单

多场所

少过程

小范围

重复性过程

大、复杂

多场所

多过程

大范围

独特的过程

高风险产品/过程

+

组

织

分

布

-

少过程

小范围

重复性过程

小、简单

多过程

大范围

独特的过程

高风险产品/过程

小、复杂

以表 C.1确定的时间为基点



附录 D


对已实施的 GB/T 22080-2008附录 A的控制措施的评审指南

D.1 目的

本附录为评审 GB/T 22080-2008附录 A所列出的控制措施的实施提供了指南，并可以指导在初次认证审核和后续监督审核中对它们的执行情况收集审核证据。客户组织为其适用性声明所描述的 ISMS选择的所有控制措施的实施需要在初次认证审核的第二阶段审核以及监督审核或再认证审核活动中进

行评审。

认证机构所收集的审核证据需足以得出控制措施是否有效的结论。客户组织如何实施其适用性声明

中所描述或引用的控制措施，这需在其规程或策略中予以规定。在 ISMS范围之外的控制措施无需审核。

D.1.1 审核证据

最好的审核证据是由审核员通过观察收集的（例如，应该上锁的门已经锁了、人员确实签署了保密

性协议、存在资产登记并包含观察到的资产、系统设置是充分的等等）。证据可以从观察控制措施的实

施结果来收集（例如，由恰当的授权人员为指定人员签署的访问权文件、处理事件的记录、由恰当的授

权人员为指定人员签署的处理权限文件、管理层会议或其他会议的纪要等）；证据可以是审核员对控制

措施直接测试（或重新实施）的结果[例如，试图执行被控制措施所禁止的任务、机器上预防恶意代码的软件是否安装并是最新的、授予的访问权（在检查完职权人员之后）等]。可通过与雇员和（或）签约人员的面谈收集有关过程、控制措施和决定的证据，而无论这些是否是真实正确的。

D.2 如何使用表 D.1

D.2.1 “组织类控制措施”列与“技术类控制措施”列

在各列中的“×”表示对应的控制措施是组织类或技术类的控制措施。某些控制措施既是组织类的

又是技术类的，两列中均予以标识。

组织类的控制措施的绩效证据可以通过对控制措施实施记录的核查、访谈、观察和物理检查等进行

收集。技术类的控制措施的绩效证据可以通过系统测试（见 D.2.2），或者通过使用专门的审核和（或）报告工具，进行收集。

D.2.2 “系统测试”列

“系统测试”意味着对系统的直接评审（例如，系统设置或配置的评审）。对于审核员的提问，可

以在系统控制台回答，也可以通过对测试工具的结果的评价来回答。如果客户组织使用了基于计算机的

工具，这种工具又恰是审核员所熟悉的，那么可以使用该工具以支持审核，或者核查客户组织（或其的

分包方）所完成的评价结果。

对于技术类的控制措施，评审可分为两个类别：

“可能的”：系统测试是能够评价已实施的控制措施的，但往往不是必需的。

“推荐的”：系统测试通常是必需的。

D.2.3 “目视检查”列

“目视检查”意味着这些控制措施通常需要通过视觉在现场进行检查来评价它们的有效性。这意味

着，分别进行文件评审或者访谈是不够的，审核员需要在实施控制措施的现场进行验证。

D.2.4 “认证审核中的评审指南”列

提供对具体控制措施评审的指南是有益的，“认证审核中的评审指南”列中的内容为评价控制措施

提供了可能的关注范围，并作为对审核员的进一步指南。



表 D.1 控制措施分类

GB/T 22080 - 2008,附录 A控制措施

组织类

控制措施

技术类

控制措施

系统

测试

目视

检查

认证审核中的

评审指南

A.5 安全方针

A.5.1 信息安全方针

A.5.1.1 信息安全方针文件 ×

A.5.1.2 信息安全方针的评审 × 管理评审记录

A.6 信息安全组织

A.6.1 内部组织

A.6.1.1 信息安全的管理承诺 × 管理会议记录

A.6.1.2 信息安全协调 × 管理会议记录

A.6.1.3 信息安全职责的分配 ×

A.6.1.4 信息处理设施的授权过

程×

A.6.1.5 保密性协议×

从文件的复印件中抽

样

A.6.1.6 与政府部门的联系 ×

A.6.1.7 与特定利益团体的联系 ×

A.6.1.8 信息安全的独立评审 × 阅读报告

A.6.2 外部各方

A.6.2.1 与外部各方相关风险的

识别×

A.6.2.2 处理与顾客有关的安全

问题×

A.6.2.3 处理第三方协议中的安

全问题×

检验一些合同条款

A.7 资产管理

A.7.1 对资产负责

A.7.1.1 资产清单 × 识别资产

A.7.1.2 资产责任人 ×

A.7.1.3 资产的可接受使用 ×

A.7.2 信息分类

A.7.2.1 分类指南 ×

A.7.2.2 信息的标记和处理

×

命名：目录、文件、

打印报告、记录介质

（例如，磁带、磁盘

和 CD）、电子消息和文

件传输。

A.8 人力资源安全抽查一些人力资源文

件

A.8.1 任用之前

A.8.1.1 角色和职责 ×

A.8.1.2 审查 ×



GB/T 22080 - 2008,附录 A控制措施

组织类

控制措施

技术类

控制措施

系统

测试

目视

检查

认证审核中的

评审指南

A.8.1.3 任用条款和条件 ×

A.8.2 任用中

A.8.2.1 管理职责 ×

A.8.2.2 信息安全意识、教育和培

训×

询问员工是否知道他

们宜掌握的特定事项

A.8.2.3 纪律处理过程 ×

A.8.3 任用的终止或变化

A.8.3.1 终止职责 ×

A.8.3.2 资产的归还 ×

A.8.3.3 撤销访问权 × × 推荐的

A.9 物理和环境安全

A.9.1 安全区域

A.9.1.1 物理安全边界 ×

A.9.1.2 物理入口控制 × × 可能的 × 访问记录的存档

A.9.1.3 办公室、房间和设施的安

全保护× ×

A.9.1.4 外部和环境威胁的安全

防护× ×

A.9.1.5 在安全区域工作 × ×

A.9.1.6 公共访问、交接区安全 × ×

A.9.2 设备安全 ×

A.9.2.1 设备安置和保护 × × 可能的 ×

A.9.2.2 支持性设施 × × 可能的 ×

A.9.2.3 布缆安全 × ×

A.9.2.4 设备维护 ×

A.9.2.5 组织场所外的设备安全 × × 可能的便携式设备加密

A.9.2.6 设备的安全处置或再利

用× × 可能的 ×

A.9.2.7 资产的移动 ×

A.10 通信和操作管理

A.10.1 操作规程和职责

A.10.1.1 文件化的操作规程 ×

A.10.1.2 变更管理 × × 推荐的

A.10.1.3 责任分割 ×

A.10.1.4 开发、测试和运行设施

分离× × 可能的

A.10.2 第三方服务交付管理

A.10.2.1 服务交付 ×

A.10.2.2 第三方服务的监视和评

审× × 可能的

A.10.2.3 第三方服务的变更管理 ×

A.10.3 系统规划和验收



GB/T 22080 - 2008,附录 A控制措施

组织类

控制措施

技术类

控制措施

系统

测试

目视

检查

认证审核中的

评审指南

A.10.3.1 容量管理 × × 可能的

A.10.3.2 系统验收 ×

A.10.4 防范恶意和移动代码

A.10.4.1 控制恶意代码× × 推荐的

服务器、PC、网关的

抽样

A.10.4.2 控制移动代码 × × 可能的

A.10.5 备份

A.10.5.1 信息备份 × × 推荐的尝试一次恢复

A.10.6 网络安全管理

A.10.6.1 网络控制 × × 可能的

A.10.6.2 网络服务安全 × SLA 的安全特点

A.10.7 介质处置

A.10.7.1 可移动介质的管理 × × 可能的

A.10.7.2 介质的处置 ×

A.10.7.3 信息处理规程 ×

A.10.7.4 系统文件安全 × × 可能的 ×

A.10.8 信息的交换

A.10.8.1 信息交换策略和规程 ×

A.10.8.2 交换协议 ×

A.10.8.3 运输中的物理介质 × × 可能的加密或物理保护

A.10.8.4 电子消息发送× × 可能的

确认抽样的消息符合

策略/规程

A.10.8.5 业务信息系统 ×

A.10.9 电子商务服务

A.10.9.1 电子商务 × × 可能的

A.10.9.2 在线交易× × 推荐的

检查：完整性、访问

授权

A.10.9.3 公共可用信息 × × 可能的

A.10.10 监视

A.10.10.1 审计记录 × × 可能的在线的或打印的

A.10.10.2 监视系统的使用 × × 可能的

A.10.10.3 日志信息的保护 × × 可能的

A.10.10.4 管理员和操作员日志 × × 可能的

A.10.10.5 故障日志 ×

A.10.10.6 时钟同步 × 可能的

A.11 访问控制

A.11.1 访问控制的业务要求

A.11.1.1 访问控制策略 ×

A.11.2 用户访问管理

A.11.2.1 用户注册

×

抽样检查有访问系统

权限的雇员/签约人

员



GB/T 22080 - 2008,附录 A控制措施

组织类

控制措施

技术类

控制措施

系统

测试

目视

检查

认证审核中的

评审指南

A.11.2.2 特殊权限管理 × × 可能的员工的内部调动

A.11.2.3 用户口令管理 ×

A.11.2.4 用户访问权的复查 ×

A.11.3 用户职责

A.11.3.1 口令使用×

检验用户指南/策略

的到位情况

A.11.3.2 无人值守的用户设备×

检验用户指南/策略

的到位情况

A.11.3.3 清空桌面和屏幕策略 × ×

A.11.4 网络访问控制

A.11.4.1 使用网络服务的策略 ×

A.11.4.2 外部连接的用户鉴别 × × 推荐的

A.11.4.3 网络上的设备标识 ×

A.11.4.4 远程诊断和配置端口的

保护× 推荐的

A.11.4.5 网络隔离

× × 可能的

网络图：WAN、 LAN、

VLAN、VPN、网络对象

和网段（例如，DMZ）

A.11.4.6 网络连接控制 × × 推荐的共享网络不常见

A.11.4.7 网络路由控制

× × 推荐的

防火墙、路由器/交换

机:规则库、ACL 的访

问控制策略

A.11.5 操作系统访问控制

A.11.5.1 安全登录规程 × × 推荐的

A.11.5.2 用户标识和鉴别 × × 推荐的

A.11.5.3 口令管理系统 × × 推荐的

A.11.5.4 系统实用工具的使用 × × 推荐的

A.11.5.5 会话超时 × × 可能的 ×

A.11.5.6 联机时间的限定 × × 可能的 ×

A.11.6 应用和信息访问控制

A.11.6.1 信息访问限制 × × 推荐的

A.11.6.2 敏感系统隔离 × × 可能的

A.11.7 移动计算和远程工作

A.11.7.1 移动计算和通信 × × 可能的

A.11.7.2 远程工作 × × 可能的

A.12 信息系统获取、开发和维护

A.12.1 信息系统的安全要求

A.12.1.1 安全要求分析和说明 ×

A.12.2 应用中的正确处理



GB/T 22080 - 2008,附录 A控制措施

组织类

控制措施

技术类

控制措施

系统

测试

目视

检查

认证审核中的

评审指南

A.12.2.1 输入数据确认

× × 推荐的

软件开发指南、软件

测试；在业务应用样

本中确认用户需要的

控制措施是否存在

A.12.2.2 内部处理的控制

× × 可能的





A.12.2.3 消息完整性 × 可能的

A.12.2.4 输出数据确认

× × 可能的





A.12.3 密码控制

A.12.3.1 使用密码控制的策略× × 可能的

适当时，也可检查策

略的实施

A.12.3.2 密钥管理 × × 推荐的

A.12.4 系统文件的安全

A.12.4.1 运行软件的控制 × × 可能的

A.12.4.2 系统测试数据的保护 × × 可能的 ×

A.12.4.3 对程序源代码的访问

控制× × 推荐的

A.12.5 开发和支持过程中的安全

A.12.5.1 变更控制规程 ×

A.12.5.2 操作系统变更后应用的

技术评审×

A.12.5.3 软件包变更的限制 ×

A.12.5.4 信息泄露 × × 可能的未知服务

A.12.5.5 外包软件开发 ×

A.12.6 技术脆弱性管理

A.12.6.1 技术脆弱性的控制 × × 推荐的补丁的分发

A.13 信息安全事件管理

A.13.1 报告信息安全事态和弱点

A.13.1.1 报告信息安全事态 ×

A.13.1.2 报告安全弱点 ×

A.13.2 信息安全事件和改进的

管理

A.13.2.1 职责和规程 ×

A.13.2.2 对信息安全事件的总结 ×

A.13.2.3 证据的收集 ×

A.14 业务连续性管理



GB/T 22080 - 2008,附录 A控制措施

组织类

控制措施

技术类

控制措施

系统

测试

目视

检查

认证审核中的

评审指南

A.14.1 业务连续性管理的信息安

全方面

管理评审记录

A.14.1.1 在业务连续性管理过程

中包含信息安全×

A.14.1.2 业务连续性和风险评估 ×

A.14.1.3制定和实施包含信息安

全的连续性计划

× × 可能的 ×

灾难恢复场所检查和

灾难恢复场所的距

离，要符合风险评估

和适用的法律法规要

求。

A.14.1.4 业务连续性计划框架 ×

A.14.1.5 测试、维护和再评估业

务连续性计划 ×

A.15 符合性

A.15.1 符合法律要求

A.15.1.1 可用法律的识别 ×

A.15.1.2 知识产权（IPR） ×

A.15.1.3 保护组织的记录 × × 可能的

A.15.1.4 数据保护和个人信息的

隐私× × 可能的

A.15.1.5 防止滥用信息处理设施 ×

A.15.1.6 密码控制措施的规则 ×

A.15.2 符合安全策略和标准以及

技术符合性

A.15.2.1 符合安全策略和标准 ×

A.15.2.2 技术符合性核查 × × 评估过程和跟踪

A.15.3 信息系统审计考虑

A.15.3.1 信息系统审计控制措施 ×

A.15.3.2 信息系统审计工具的保

护× × 可能的

——

信息安全管理体系认证机构要求 - cnas...cnas-cc17:2012 第2页共30页...

Documents