当前位置:文档之家 › 信息安全管理体系认证审核工作指导书

信息安全管理体系认证审核工作指导书

  • 格式:pdf
  • 大小:228.28 KB
  • 文档页数:15

下载文档原格式

  / 15
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

信息系统的获取、开发和维护(GB/T
维护人员的 ≥100
≥20
<20
22080-2008 A.12)
数量
网络与密码 技术
具有使用标准 具有加密、数
加密设施而没 字签名和(或)
有数字签名和 PKI 要求的外
PKI 要求 的 外 部和(或)内
部和(或)内 部连接
部连接
没有加密、数 字签名和PKI 要求的外部 和(或)内部 连接
通信与操作管理(GB/T 22080-2008 A.10) 访问控制(GB/T 22080 -2008 A.11)
法律符合性 的重要性
不符合可能导 致的起诉
不符合导致重 大的经济处罚 或者信誉损害
不符合导致 无关紧要的 经济处罚或 者信誉损害
法律和指南(GB/T 22080-2008 A.15)
合同评审人员再根据下列矩阵表,确定 ISMS 项目最终的风险和复杂性水平
等级(注:表中风险级别为 CNAS-EC-027:2010 文件附录一的规定)
水平
复杂性
风险
等级



三级



二级



一级



4.2 在确定审核时间的安排时,宜考虑客户组织的下列因素: 4.2.1 与 ISMS 范围的规模有关的因素(例如,使用的信息系统的数量、处理的 信息量、用户的数量、特权用户的数量、IT 平台的数量、网络的数量及它们的 规模); 4.2.2 与 ISMS 的复杂程度有关的因素(例如,信息系统的关键度、ISMS 的风 险状况、所操作和处理的敏感和关键信息的多少及类型、电子交易的数量及类 型、所有开发项目的数量和规模、远程工作的范围、ISMS 文件化的程度); 4.2.3 在 ISMS 范围内开展的业务类型,以及关于这些业务类型的安全、法律、 法规、合同和业务要求; 4.2.4 在 ISMS 各部分的实施过程中,所应用的技术的水平和多样性(例如,已
件的适用版本,例如:XX.0版本;
注:如组织业务活动存在多场所,或与范围外的接口存在多个,可以用多
场所清单的形式表示。
4 审核时间的确定
4.1 项目开发部在组织合同评审过程中,需要检查组织的 ISMS 范围、复杂程度、
业务类型、所应用技术的程度和多样性、场所的数量、已证明 ISMS 的绩效、外
包的范围、所使用的第三方协议和法规要求等因素对审核时间的配置所产生的
3 范围的确定 3.1 适用范围
本指导书适用于 CNAS-EC-027:2010 附录一中确定的认证业务范围,即“政 务”、“公共”、“商务”、“产品的生产”等 4 个大类,每个大类包含若干中类, 每个中类被赋予“一”、“二”、“三”的风险级别(详见附录 1)。 3.2 ISMS 审核范围和认证范围 3.2.1 项目开发部和审核管理部应分别在申请评审和和第一阶段审核中确认客 户组织 ISMS 范围和边界的界定是否清晰和充分。在第二阶段审核报告中予以适 当描述。 3.2.2 认证注册部在为提供给客户组织的认证证书或文件所描述的认证范围应 与认证机构审核确认的客户组织的ISMS 的范围和边界相一致。认证范围至少包 括以下内容: 3.2.2.1 认证客户组织的组织范围和边界,例如:XXXX有限公司或XXXX有限公 司或软件开发部; 3.2.2.2 认证客户组织的业务范围和边界,例如:XX系统的软件应用程序的设 计、开发或为XXXX提供的数据库管理、网络管理以及XX维护服务涉及的信息资 产及其管理活动;
编 制 王军 郑军 会 审 胡慧瑾 严卓明 储智静 魏建清 杭银珍
批 准 李晓红 实施日期
2011.10.1
版本号:1 修改码:5
信息安全管理体系 认证审核工作指导书
第1页,共 13 页
1 目的 本指导书是对认证工作程序和审核方案策划等内容在信息安全管理体系方
面的补充,并通过对通用信息安全风险的识别和分析以及通用审核要点的描述, 为信息安全管理体系的审核策划和审核实施提供指导。
文件号: WI1–22 上海质量体系审核中心
版 次 1/5 共 14 页
信息安全管理体系 认证审核工作指导书
1 目的 2 引用文件 3 适用范围和认证审核范围的确定 4 审核时间的确定 5 多场所组织审核抽样 6 通用信息安全风险识别 7 审核要点 8 不符合的界定、关闭时限和跟踪验证 9 法律法规与标准
服务器数量 ≥100
≥10
<10
(GB/T 22080-2008 A.11) 通信与操
作管理(GB/T 22080-2008 A.10)
工作站+PΒιβλιοθήκη Baidu+
便携式计算 ≥300
≥50
<50
访问控制(GB/T 22080-2008 A.11)
机的数量
版本号:1 修改码:5
第3页,共 14 页
应用开发与
用户数量 ≥1,000,000 ≥200,000
<200,000
财务系统 政府、学校、医学/医院系 统
场所数量 ≥5
≥2
1
ISMS 实施的规模 物理与环境安全 (GB/T 22080-2008 A.9)
ISMS 实施的规模 物理与环境安全
(GB/T 22080-2008 A.9) 访问控制
行业特定风 险的适用性 (参见本附 录A.2 行业 特定的信息 安全风险类 别的示例)
行业特定的法 律法规适用
没有适用的行 业特定的法律 法规,但有重 大的行业特定 风险
没有适用的 行业特定的 法律法规,也 没有重大的 行业特定风 险
ISMS 实施的规模 法律和指南(GB/T 22080-2008 A.15)
2 引用文件 ISO/IEC 27001:2005《信息技术 安全技术 安全管理体系要求》 ISO/IEC 27002:2005《信息技术 安全技术 安全管理实用规则》 ISO/IEC 27006:2007《信息技术 安全技术 信息安全管理体系审核认证
机构的要求》 CNAS-EC-027:2010《信息安全管理体系认证机构的认可说明》 W11-01《多场所审核工作指导书》
版本号:1 修改码:5
第2页,共 14 页
3.2.2.3 认证客户组织的物理范围和边界,例如:XXX市XXXX路XXXX号XX大厦XX
楼(XX室);
3.2.2.4 对组织ISMS 相关和适用的控制目标和控制措施的情况,及其任何删减
的细节和正当性理由,即《适用性声明》;在证书范围上列明《适用性声明》文
潜在影响。
合同评审人员根据下表,确定 ISMS 项目的复杂性类别
复杂性
因素

类别


重要性(注:复杂性因素在以下方面将构成重
大影响)
雇员+签约 ≥1000
人员的数量
≥200
<200
ISMS 实施的规模 管理信息系统 与生产管理有关的系统 销售/物流/一 般服务相关的系统 信息技术/信息服 务和有关系统 与建筑/造船/设备工程 有关的系统

合集下载

相关主题