ISO/IEC27006:2015
息技术
安全 技
术
信 息安 全 管理 体 系 审核 和 认证 机构 要 求》
是在 ISO/IEC 17021.1:2015
(厶格评定
管 理
体 系审核认证机构要 求
第 1部分 :要 求》 的基
础上,规定了信息安全管理体系 (ISMS)审核
认 证 机 构 的 特 定 要 求 。 认 证 机 构 通 过 实 施
ISO/IEC 27006将 有 利 于证 实其 提供 ISMS认 证
的能 力和认证 质量的可靠性 。
中国合格评定 国家认可委 员会
(CNAS)采
用该 国际标准制定 了CNAS—CC170:2017
《
=
f言
息安全 管理体 系认 证机 构 要 求》 文件 。并将 之
作 为对 ISMS认证机构的专用认可 准则。
基 于 ISMS认 证 实 施 过 程 中 常有 疑 惑 的 条
款 ,以及认 可评 审过程 中所进 行的一 致性研 讨
情况 ,本文选取了ISO/IEC27006中的9.1.3.4
、
7l2.1.1和 9.3.1.1这 3个 条 款 ,结 合认 可 评 审 实
践 ,阐述 了对 这些 条款 的理 解并 介绍 了 当前 的
主要实 践方式 ,以帮助 各位 读者 更好地 理解 和
应用ISO/I
EC27006标准 。
要求客户完成管理评 审和内部 审核 的时机
ISO/IEC27006的9.1.3.4要 求 :
“如果一 个
ISMS没有至 少实施过 一次覆 盖认证 范 围的管理
评审和 内部 审核 ,认证 机构 不应 对该ISMS实施
认证。”。
众所周知,管理评审和内部审核是评价和
改进ISMS绩效的两个重要方法。因此,要求客
敬 告 订 户 2Ol9年 邮 局 报 刊 征 订 工 作 已经 结 柬
户应在被 授予认 证前实施 内部 审核和 管理评 审
,
将 有助于认 证机构评 价客户 的ISMS绩效 及其 自
我 完善 能力。
实施认证的ISMS,前提是客户实施 了覆盖
认证范围的管理评审和内部审核 ,但没有明确
指 出客 户实 施管 理评 审和 内部 审核 的 时机 :是
在 申请评 审时? 还是 在第 一阶段 审 核前 ?还 是
可 以在 第一阶段审核后?
单从标准内容来看 ,并未要求客户在申请
评 审 时就 已实施 了 内部 审核 和 管理评 审 。标 准
中此 处所说 的 “认证机 构 不应对该 lSMS实施 认
证 ”,应理 解 为认 证机 构 不应 认 证 该 ISMS,并
不 代表 不能 对客 户开 展任何 审 核活 动 。每个 认
证 机构 可 以基于 自身的风 险控 制来 决定 要 求客
户 完 成 内部 审核 和 管 理评 审 的具体 时 间节 点 ,
并告知客 户。
对 于初 次认 证 而言 ,客户 完成 覆 盖 认证 范
围的 内部 审 核和 管理评 审 的时 间通 常宜 不晚 于
第 一阶段 的 开始 日期 。 为此 ,大 多数 认证 机 构
会 在管理 体 系认证 申请 书 中要 求客户 提 供 内部
审核和管理评审方面的信息 ,如时间、是否覆
盖认证 申请范围等。
ISMS审核 员的实习审核 经历要求
ISO/IEC27006的7l2.1.1d)要 求 :
“审核
员 宜 通 过 参 与 最 少 4次 、 总 天 数 至 少 20天 的
ISMS认证 审核来获得这种经验 。”。
本 刊 发 行 部 继 续 接 受 订 阅 .详 见 第 79页征 订 单
45
[±]
国
证
认
可Accredi
tationTechnology认可技术 中国合格评定 国家认可中心
46
ISMS审核 员应满足 必要 的资格 条件 ,包括
教育 经历 、工作经 历 、培训经 历 、审核 经历等 。
通 过规 定 审核 员的资格 条 件 ,有 助 于确保认 证
机 构在 选择 审核 员 时有一 个相 对统 一和 明确 的
硬 性要 求 ,而这 些要 求有 益于确 保 审核 员达 到
相应 的能力准则。
在审核 员 的资格 条件 中 ,教 育经 历 、工作
经 历 、培训I经历 都可 以通过 资格 证 书或 证明的
形 式提 交满 足 资格条件 要 求 的证据 。教 育经 历
会 有毕 业 院校 颁 发 的毕 业证 书 以及 教育部颁 发
的学位 证 书 ,工 作经 历会 有企业 出具的 工作 证
明 ,培 训l经 历会 有有 资格 的培训 机 构颁 发的培
训证 书。
标准 中所规 定 的审核 经 历 的要 求 ,主要 是
为了证实审核 员具备依 据lSO/lEC27001
《
=f
言息
技 术
安全技 术
信 息 安全 管理 体 系》 实施 审
核 的 能力 。由于 实 习培养 的效 果 受实 习审核 员
背景 、实 习指 导人员 的能 力等多种 因素的影响 ,
因此标准 中在 规定实 习审核 经验 的数量要求时 ,
使 用 的是
“宜”。这给认证机 构在评价 审核员时
留有 一定 的灵活 性 ,可 以针对 不 同的情 况采 取
不 同的方式 。标 准 中给 出的
“
4次20人/天”的
审核 经验要求 ,可理解 为是当前实践经验的总结。
在2011年~D2015年的两次 ISO/IEC27006修订中,
都继续保 留了对审核经历的要求。保留该要求的
理 由是要避免发生 出现没有任何认证审核经验的
人 员也被认证机构授予了审核员资格的情况。实
践 中 ,大多数认 证机 构 都会 要 求 审核 员应满 足
“
4次20人/
天”的 审核经 历要 求。
此外 ,认 证机构 在 制定其 lSMS审核 员审核
经历的要求 时 ,还需要考 虑CNAS和 中国认证认
可协会
(CCAA)lSMS审核 员注册的相 关要求
,
以确保 同时满足相 关方的要 求。例 如 :CNAS$
定 的CNAS—SC170:2017
息安 全管理体 系
认证 机构认可 方案》 中规定 lSMS审 核 员应具备
4次20人/天的 ISMS审核经 历 ;CCAA的
《
管
理
体 系审核 员注 册准 则》 (CCAA一101—2)中规
定 ISMS审核 员应具 备3次 、15个现 场 审核人 天
的审核经历 。
对 第一阶段 审核 报告 的审查
ISO/IEC27006的9.3.1.1要 求
:
“
在
决 定进
行 第二 阶段 之前 ,认 证机 构应 审查 第一阶段 的
审核报 告 ,以便 为第 二阶 段选择 具备 所需 能 力
的审核组成 员。”。
该 条款 明确 要 求在第 二 阶段前 应 审查 第一
阶段审核报告而且审查的目的是选择具备能力
的第二 阶段 的 审核组 成 员 ,但对 审查 第一 阶段
审核报 告的人 员未作 明确要 求。
由于第 一阶 段是 一个 阶 段性 审核 ,不是 一
个 完 整的 审核 ,因此 对于 第一 阶段 审核报 告 的
审查不 必要 求满 足认 证决 定过程 的要 求 ,即不
强制要 求 审查人 员是 认证 决定人 员 、审查人 员
独 立于审核组 等。对第一阶段 审核报告 的审查
,
应 由认 证机 构指 定 的人 员来实施 ,从 对审查 第
一
阶段 审核 报告 的 目的 (即 :确认 是 否需要 调
整审核 方 案 ,并 确保 所委 派 的审核组 的能 力能
够满足 第二 阶段 的要 求 )来看 ,审查 人员可 以
是 审核 方 案管理 人 员 、委 派审核 组 的人 员等 相
关人 员。
根 据该 条款 来梳 理认 证过 程 ,各项 活动 应
按 如 下次序 进行 :首 先根 据客户 的 申请制定 审
核 方 案 ,然 后选 择第 一阶 段 的审核组 实施 审核
并完成第一阶 段审核报告 ,最 后审查审核报 告
,
并依 据第一阶 段确认 的客户 的基本信息 (例 如
:
认证范 围 、人数 、场 所等 )调 整审核 方案 并选
择第二 阶段 审核 组 。审查 审核报 告很 重要是 因
为可能会调整审核方案并选择第二阶段审核组
成 员 ,极端 情 况可 能会重 新安 排第 一阶段 审核
(例如 :可能是人 员专 业代码 的原因)。
由此可 见 ,对 第一 阶 段 审核 报 告 的 审 查
,
不应 想 当然地 认 为是现 场审核 组 的职 责 ,审查
审核报 告 的人 员至 少具 备 申请 评审 能力和 审核
方 案管理 能力 ;同时还要 包括 委派 审核组 的人
