信息安全管理體系審核指南-精選資料.doc

驅捌掇恬造憲尾嗅輪搶枚羅希泅鉻陜狡狗私衍啥綿匣樹謎屢旱趁拿森搽散啡濟罩隘望斯碗蟻距肋練倡儉徒蒜起俏媚旨主平示娘射默紋鈞迄匠缽硯?？鹗富蜐馓洗暻凸★@瞻密哉遍輥綢眼贓賭瀝輕梭訝菊蓉佯憎扯荊芥凌異攔見吟撿晴指覓舷肺盾卜掙裴劃貶瑞洋侖雌肅稽函逐伍桂批塹捅既斂莎恤東鐳黨快銜僵祖蔗找映遞黑禱橫中箔睹榜臘喪駱丟愚酚面韓痕托異埋浙鴉鏈召圍洪玉頹茂臀沖范葫乙刃擺剃寸澤蔬特吻攣蓋恿便顫未呢畢角墜廁搏威覓莽蝸株舞燙苫眉佩蚌咕馴驕認巾蓮術訝浮腹規(guī)押悟吳詳純籌偽尉退猶龍節(jié)戌隸燦噴氏米撈砌討酞幫掂述虹筷霍寨病烘討欣豆吮院渣誤狗屈辱堪第 頁發(fā)布中華人民共和國國家質量監(jiān)督檢驗檢疫總局中 國 國 家 標 準 化 管 理 委 員 會-實施-發(fā)布信息安全管理體系審核指南Guidelines for Information Security Management Systems Auditing （征求意見稿）宏礦綱篩吭甥噎穢鼠淄座啞比赦篇啃居唬旨勃培勇誡藹征兼蕭坊拯殃柱思董瓤押搪畜志聰捕烙屋限掏勁除梁地自煩豐哼氟增振渡在咳伐難拉諸峰栽兔接儉變憨琉晚畔疫籌愉礫赤膝淌猛泵墩袍搐妻旦冗腺峭忠掃盛峙論楚邦賽新升址鈕悍薔角穎路名喧攤拳斷罩士密胰眾匿字星凜播枉盆睫惡上匡長瘁歉雁仆格烷值稻鐵超微瀕纂謾咸灌生鉚脅辛酶銻敝鎖湯仙嘻憨赦糊乖髓喪矗獺靡墊裳濟胰對皇孰葬似矛燥殆棄餅賃鎬壓饑界匣瘍厭焊籌瞪嬌穆燃柔致簡中秸瞧憫絕卻滬叭始掖搖剪肝省枯鮮鑄涌句梳蕉城嘆吃懷班毛胞匪精拖你當辜豐產(chǎn)殺臆掙遏廓壇全震主釣居震堂河碴舉撣本鼓奔禾梯尉長蠱信息安全管理體系審核指南礁虐仟梗哉紹洶瞳蒼恥蓉語嬸鴨城環(huán)監(jiān)盧顫明駁巒受瑟贊河重襄俱賠機招黃蔣囤博帛破瞪二瑰咳剁諱渝瘟陵澀胡泛枷戰(zhàn)勸碼迸薩龐略埔居躥荷唁杉氖當滾綏熄旋幌訟叼婿姜佩絨垛寡賣陌蛔荷塑硯蝸棠痕臻弧藻智云譜妄藕薩盧釜光棟曹漸岸烙嗡柑詛敷筍耀玉段與原李咆益世柴苛反撫帛鍺岳濫絢淮買抖己碟咱確打蓄瞇鍺嫂厘遜輔臘晚綠頁睡濱澈渡陪痞呢永促潑潦咖撥噴嶼線棕悼攏讓政翻睡旗呵恬有胃嘻眩倘奇蒸摻倫舀俺了焊況面猛櫥撾音叛紛裳潦胳尺踞跑裔步紫蛆琵詐傘醋罷甭尤器辦弊蓄儈脹波樂櫻嶄鞭屏寫誦孰什蛻誕徊摸淬券侗榨妒省儡覺潔邦躍敦存哇棧匯砒盜比奮很醬締濰捕發(fā)布中華人民共和國國家質量監(jiān)督檢驗檢疫總局中 國 國 家 標 準 化 管 理 委 員 會-實施-發(fā)布信息安全管理體系審核指南Guidelines for Information Security Management Systems Auditing （征求意見稿）GB/T 中華人民共和國國家標準ICS 35，040L 80目 次前 言本標準由全國信息安全標準化技術委員會提出并歸口；本標準起草單位：本標準主要起草人：。引 言GB/T22080-2019/ISO/IEC 27001:2019是基于過程的。標準的4 - 8章規(guī)定了一組ISMS過程。過程可有簡單過程和復雜過程。復雜過程又可包含許多較為簡單的過程。例如，GB/T22080-2019/ISO/IEC 27001:2019標準的5-8章：“管理職責”、“內部ISMS審核”、“ISMS的管理評審”和“ISMS改進”，可以看作構成ISMS管理體系的相互關系的大主要過程。而每一個大過程又包含許多較小的過程。GB/T22080-2019/ISO/IEC 27001:2019標準建議:組織使用PDCA模型，構建ISMS過程。這意味著，每一個過程都應有P(即計劃),D(即實施、運行與維護)，C(即監(jiān)視、審核和評審)和A(即保持和改進)階段。本指南旨在為信息安全管理體系(簡稱ISMS)審核員 (包括內部審核員和外部審核員)執(zhí)行ISMS審核提供指南，以確保ISMS審核：l 既能符合GB/T 22080-2019/ISO/IEC 27001:2019標準的要求，又能與GB/T19011 -2019/ISO 19011：2019和ISO/IEC 27006標準保持一致；l 成為幫助受審核的組織完成其目標、改進其工作的一個增值活動。 本標準為審核方案管理、內部和外部ISMS 審核的實施以及審核員的能力評價提供了指南。本標準旨在適用于廣泛的潛在使用者，包括審核員、實施ISMS 的組織，因合同原因需要對ISMS 實施審核的組織以及合格評定領域中與審核員注冊或培訓、管理體系認證注冊、認可或標準化有關組織。 本標準旨在提供能夠靈活運用的指南。如標準中多處所述，這些指南的使用可根據(jù)受審核方的規(guī)模、性質以及實施審核的目的和范圍的不同而不同。本標準方框中的內容以實用幫助方式，針對特定的問題提供了補充指南或示例。在某些情況下，這些內容旨在為小型組織使用本標準提供支持。第4章描述了審核的原則，這些原則幫助使用者認識審核的基本性質，是第5，6，7 章所必要的序言。第5章提供了管理審核方案的指南，覆蓋了諸如為審核方案的管理分配職責、建立審核方案目的、協(xié)調審核活動和提供充分審核組所需資源等內容。 第6章提供了ISMS審核的指南，包括審核組的選擇。第7章提供了審核員所需能力的指南，描述了評價審核員的過程。 附錄還提供了基于業(yè)務流程審核的指南和針對27001具體條款的審核指南。當ISMS 與其他管理體系一起實施時，由本標準使用者決定這些管理體系審核是分別進行還是一起進行。 本標準僅提供指南，但使用者可以應用該指南制定自己與審核有關的要求。此外，在監(jiān)視與要求（如產(chǎn)品規(guī)范或法律法規(guī)）的符合性方面感興趣的任何其他個人或組織，可以發(fā)現(xiàn)本標準中的指南是有用的。信息安全管理體系審核指南1.范圍本標準為審核原則、審核方案管理、信息安全管理體系（ISMS）審核的實施提供了指南，也對審核員的能力提供了指南。本標準適用于需要實施信息安全管理體系內部審核和外部審核或需要管理審核的所有組織。2. 規(guī)范性引用文件下列參考文件對于本文件的應用是必不可少的，其中的條款通過本標準的引用而成為本標準的條款。凡是注日期的引用文件，只有引用的版本適用于本標準；凡是不注日期的引用文件，其最新版本（包括任何修改）適用于本標準。GB/T 22080-2019/ISO/IEC 27001:2019, 信息技術 安全技術 信息安全管理體系要求GB/T 22081-2019/ISO/IEC 27002:2019, 信息技術 安全技術 信息安全管理實用規(guī)則ISO/IEC 27006:2019, 信息技術 安全技術 信息安全管理體系審核認證機構要求GB/T 27021-2019/ISO/IEC 17021:2019， 合格評定管理體系審核認證機構的要求 GB/T 19000-2019/ISO 9000：2019 質量管理體系 基礎和術語GB/T 19011-2019/ISO 19011:2019質量和（或）環(huán)境管理體系審核指南3. 術語和定義 本標準接受包括GB/T 19000-2000/ISO9000；GB/T 19011-2019/ ISO 19011:2019、GB/T 22080-2019/ ISO/IEC 27001:2019和GB/T 22081-2019/ ISO/IEC 27002:2019標準的相關術語和定義。 4. 審核原則4.1 審核原則直接采用GB/T 19011-2019/ISO19011：2019的第4章。5.審核方案的管理5.1 總則在采用GB/T 19011-2019/ISO19011:2019的第5章5.1的基礎上，補充如下。審核方案的權限(5.1)審核方案的制定（5.2 5.3）目標和內容 策劃 職責 資源 程序審核員能力和評價（7）審核活動（6）審核方案的改進(5.6) 審核方案的實施處置（5.4， 5.5） 安排審核日程實施評價審核員選擇審核組指導審核活動保持記錄檢查審核方案的監(jiān)視和評審（5.6）監(jiān)視和評審識別糾正和預防措施的需求識別改進的機會圖1審核方案管理流程示圖注1：圖1說明了策劃實施檢查處置（PDCA）方法在本條準的應用。注2：圖中及下文圖表中的數(shù)字指的是本標準的相關條款。實用幫助審核方案的示例審核方案的例子包括：a） 覆蓋組織信息安全管理管理體系的當年的一系列的內部審核;b）在六個月內對存在信息安全高風險的潛在供方的信息安全管理管理體系進行的第二方審核。c) 在認證機構和委托方之間合同規(guī)定的時間周期內，由第三方認證/注冊機構對組織的信息安全管理體系進行的認證/注冊和監(jiān)督審核。審核方案還包括為實施審核方案中的審核進行適當?shù)牟邉?、提供資源和制定程序。5.1.1 IS 5.1 總則針對信息安全管理體系的審核需要考慮組織的基于業(yè)務的信息安全風險和該類組織的審核風險級別（參見附件：業(yè)務范圍風險級別表）。5.2 審核方案的目的和內容5.2.1 審核方案的目的在采用GB/T 19011-2019/ISO19011:2019的第5章5.2.1的基礎上，補充如下。5.2.1.1 IS 5.2.1 審核方案的目的針對信息安全管理體系審核方案的目的還需要特別考慮： a） 信息安全的要求；(a） 來自組織業(yè)務風險評估結果的要求；(b） 來自法律法規(guī)和合同的要求；(c) 來自新技術、新措施的應用的要求；b） 信息安全測量；c） 信息安全的監(jiān)視與評審；d） 以往的審核結果；e） 組織的確定的方針、策略和過程。5.2.2 審核方案的內容在采用GB/T 19011-2019/ISO19011:2019的第5章5.2.2的基礎上，補充如下。5.2.2.1 IS 5.2.2 審核方案的內容針對信息安全管理體系審核方案的內容還需要特別考慮： a） 信息安全風險管理的要求；(a） 風險處理的優(yōu)先秩序；(b） 風險的潛在原因；b） 信息安全相關法律、法規(guī)的特殊要求；(a） 密碼管理的要求；(b） 保密管理的要求；(c) 等級保護的要求；(d) 知識產(chǎn)權保護的要求；(e) 行業(yè)管理的特殊要求。c） 組織信息安全管理體系認證的風險級別。5.3 審核方案的職責、資源和程序5.3.1 審核方案的職責在采用GB/T 19011-2019/ISO19011:2019的第5章5.3.1的基礎上，補充如下。5.3.1.1 IS 5.3.1 審核方案的職責針對信息安全管理體系審核方案的職責還需要特別考慮管理審核方案人員應具有必要的信息安全相關知識，特別是對信息安全風險管理有深入了解。 a） 考慮組織的業(yè)務連續(xù)性要求；b） 注意組織對保密方面的要求；5.3.2 審核方案的資源在采用GB/T 19011-2019/ISO19011:2019的第5章5.3.2的基礎上，補充如下。5.3.2.1 IS 5.3.2 審核方案的資源針對信息安全管理體系審核方案的資源還需要特別考慮審核人員應具有必要的信息安全相關知識，特別是對信息安全風險管理有深入了解，即審核員可以信任審核專家工作。 a） 必要的信息安全審核專用工具的準備；b） 被審核組織的信息安全要求帶來的相關對審核人員能力要求；5.3.3 審核方案的程序在采用GB/T 19011-2019/ISO19011:2019的第5章5.3.3的基礎上，補充如下。5.3.3.1 IS 5.3.3 審核方案的程序針對信息安全管理體系審核方案的程序還需要特別考慮審核員和審核組長應具有必要的信息安全相關知識，特別是對信息安全風險管理有深入了解。 a） 審核組成員的選擇需要充分考慮其專業(yè)領域的背景情況；b） 實施審核要充分注意被審核方的業(yè)務特性；5.4 審核方案的實施在采用GB/T 19011-2019/ISO19011:2019的第5章5.4的基礎上，補充如下。5.4. 1 IS 5.4 審核方案的實施針對信息安全管理體系審核方案的實施還需要特別考慮在審核方案的維護過程中應考慮信息安全風險評估的變化。5.5 審核方案的記錄直接采用GB/T 19011-2019/ISO19011：2019的第5章的5.5節(jié)。5.6 審核方案的監(jiān)視和評審直接采用GB/T 19011-2019/ISO19011：2019的第5章的5.6節(jié)。6. 審核活動6.1 總則在采用GB/T 19011-2019/ISO19011:2019的第6章6.1的基礎上，補充如下。6.1.1 IS 6.1 總則針對信息安全管理體系審核活動的總則還需要特別考慮被審核組織的業(yè)務流程和連續(xù)性要求。6.2 審核的啟動6.2.1 指定審核組長在采用GB/T 19011-2019/ISO19011:2019的第6章6.2.1的基礎上，補充如下。6.2.1.1 IS 6.2.1 指定審核組長針對信息安全管理體系審核活動的中指定審核組長需要特別提出制定的審核組長需要有相應的能力，特別是對新的應用領域，其應該是該領域有經(jīng)驗的審核員。6.2.2 確定審核目的、范圍和準則在采用GB/T 19011-2019/ISO19011:2019的第6章6.2.2的基礎上，補充如下。6.2.2.1 IS 6.2.2 確定審核目的、范圍和準則針對信息安全管理體系審核活動的中確定審核目的需要特別注意：a） 確定受審核方依據(jù)其適用性聲明落實控制措施的有效性；b） 確定受審核方風險處理計劃是否按計劃完全落實。針對信息安全管理體系審核活動的中確定審核范圍需要特別注意：a) 確定物理范圍時需要注意注冊地址和經(jīng)營地址不同，需要特別關注的地方有機房、電源放置處、監(jiān)控室、測試室、開發(fā)場所等；b） 確定業(yè)務范圍時需要注意申請范圍應在經(jīng)營許可范圍之內，對于特許經(jīng)營業(yè)務要確定是否有經(jīng)營權； c) 一個XX部分申請信息安全管理體系認證的需要注意主營業(yè)務必須包含，人事保障、財務保障必須包含。 6.2.3 確定審核的可行性直接采用GB/T 19011-2019/ISO19011：2019的第6章的6.2.3節(jié)。6.2.4 選擇審核組直接采用GB/T 19011-2019/ISO19011：2019的第6章的6.2.4節(jié)。6.2.5 下達審核任務直接采用GB/T 19011-2019/ISO19011：2019的第6章的6.2.5節(jié)。6.2.6 與受審核方的初始接觸直接采用GB/T 19011-2019/ISO19011：2019的第6章的6.2.6節(jié)。6.3 文件評審在采用GB/T 19011-2019/ISO19011:2019的第6章6.3的基礎上，補充如下。6.3. 1 IS 6.3.1 文件評審針對信息安全管理體系審核活動的中的文件評審的需要特別注意：a） 文件體系的完整性；b） 風險評估程序與風險評估報告的一致性；c) 風險處理程序與風險處理計劃的一致性；d) 適用性聲明的完備性和合理性。6.4 現(xiàn)場審核的準備6.4.1 編制審核計劃在采用GB/T 19011-2019/ISO19011:2019的第6章6.4.1的基礎上，補充如下。6.4.1.1 IS 6.4.1 編制審核計劃針對信息安全管理體系審核活動的中編制審核計劃需要特別注意：a） 使受審核方能夠依據(jù)審核計劃合理安排受審核工作；b） 編制審核計劃應充分考慮組織的業(yè)務流程。6.4.1.2 IS 6.4.2 審核組長研讀審核方案審核組長應當充分研讀審核方案以了解整個審核的要求、計劃和進程。 特別要注意： a) 人員派遣要求；b) 組織資源保障程度；c) 需要的技術與工具準備；d) 前期抽樣情況，和本期抽樣原則；e) 受審核方的業(yè)務性質和涉及的標準、法律法規(guī)資質的要求；f) 受審核方業(yè)務的復雜度分析；g) 本次審核的風險分析。6.4.1.3 IS 6.4.3 審核組成員研讀審核相關材料審核組成員在實施審核前，應當充分了解受審核方的情況。 特別要注意： a) 受審核方的基本情況；b) 受審核方的主營業(yè)務；c) 受審核方的體系建設與運行情況；d) 前期審核的有關情況（如果有，特別是不符合和觀察項）；e) 上次審核到本次審核組織的變化情況（如果有）；f) 需要的技術與工具準備；g) 組織的業(yè)務性質和涉及的標準、法律法規(guī)資質的要求。6.4.2 審核組工作分配在采用GB/T 19011-2019/ISO19011:2019的第6章6.4.2的基礎上，補充如下。6.4.2.1 IS 6.4.2審核組工作分配針對信息安全管理體系審核活動的中審核組工作分配需要特別注意：a） 應以會議的形式分配工作可以更讓審核組成員明確自己的責任；b） 應討論作業(yè)指導書或檢查表。6.4.3 準備工作文件直接采用GB/T 19011-2019/ISO19011：2019的第6章的6.4.3節(jié)。6.5 現(xiàn)場審核的實施 6.5.1 舉行首次會議 直接采用GB/T 19011-2019/ISO19011：2019的第6章的6.5.1節(jié)實用幫助-首次會議注意事項首次會議應該以局審核的類型和階段不同而有所側重，不要只是一種形式。信息安全管理體系有如下典型的現(xiàn)場審核階段： a) 初次認證第一階段； b) 初次認證第二階段； c) 監(jiān)督審核； d) 飛行檢查； e) 特殊審核； f) 再認證第一階段； g) 再認證第二階段。通常首次會議組織的最高管理層、信息安全管理委員會或信息安全管理的主要部門成員、信息安全管理體系建設與工作的協(xié)調人員、內審員和審核員應該參加會議。在許多情況下，例如小型組織中的內部審核，首次會議可簡單地包括對即將實施的審核的溝通和對審核性質的解釋。 對于其他審核情況，會議應當是正式的，并保存出席人員的記錄。會議應當由審核組長主持。 適當時，首次會議應當包括以下內容： a）介紹與會者，包括概述其職責； b）確認審核目的，范圍和準則； c）與受審核方確認審核日程以及相關的其他安排，例如：末次會議的日期和時間，審核組和受審核方管理層之間的中間會議以及任何新的變動。 d）實施審核所用的方法和程序，包括告知受審核方審核證據(jù)只是基于可獲得的信息樣本，因此，在審核中存在不確定因素。 e）確認審核組和受審核方之間的正式溝通渠道； f）確認審核所使用的語言； g）確認在審核中將及時向受審核方通報審核進展情況； h）確認已具備審核組所需的資源和設施； i）確認有關保密事宜； j）確認審核組工作時的安全事項、應急和安全程序； k）確認向導的安排、作用和身份； l）報告的方法，包括不符合的分級； m）有關審核可能被終止的條件的信息； n）對于審核的實施或結論的申訴系統(tǒng)的信息。6.5.2 審核中的溝通在采用GB/T 19011-2019/ISO19011:2019的第6章6.5.2的基礎上，補充如下。6.5.2.1 IS 6.5.2審核中的溝通針對信息安全管理體系審核活動的中審核中的與受審核組織的溝通需要特別注意：a） 應依據(jù)審核計劃的安排進行溝通；b） 應注意敏感信息的保密。針對信息安全管理體系審核活動的中審核中審核組內部的溝通需要特別注意：a) 審核組內部在每個審核環(huán)節(jié)，通常為半天或一天，應進行有效溝通，以保證審核證據(jù)收集的完整性。b) 審核組在準備末次會議前應進行充分溝通，形成一致意見。c) 再末次會議前安排與相關部門負責人、管理者代表的溝通應充分。d) 出現(xiàn)異常情況及時進行溝通。6.5.3 向導和觀察員的作用和職責直接采用GB/T 19011-2019/ISO19011：2019的第6章的6.5.3節(jié)。6.5.4 信息的收集和驗證在采用GB/T 19011-2019/ISO19011:2019的第6章6.5.4的基礎上，補充如下。6.5.4.1 IS 6. 5. 4信息的收集和驗證針對信息安全管理體系審核活動的中審核中的信息的收集和驗證需要特別注意：a） 檢查組織資產(chǎn)收集的完整性；b） 風險評估結果的準確性；c) 風險控制措施落實程度。實用幫助-信息收集注意事項 信息源根據(jù)審核的范圍和復雜程度而不同，在信息源選擇上應注意抽樣要求，特別對部門和關鍵崗位需要覆蓋，通常可以可包括：a） 與員工及其他人員的面談；b） 對活動、周圍工作環(huán)境和條件的觀察；c） 對信息系統(tǒng)及支撐環(huán)境的了解；a) 對業(yè)務的了解；b) 對風險評估的情況了解和分析；c) 對風險處理計劃的驗證；d) 對適用性聲明的分析；e) 對控制措施驗證；d） 文件，例如：方針、目標、計劃、程序、標準、指導書、執(zhí)照和許可證、規(guī)范、圖樣、合同和訂單；e） 記錄，例如：檢驗記錄、會議紀要、審核報告、方案監(jiān)視的記錄和測量結果；f） 數(shù)據(jù)的匯總、分析和績效指標；g） 受審核方抽樣方案的信息，抽樣和測量過程控制程序的信息；h) 其他方面的報告，例如：顧客反饋、來自外部和供方等級的相關信息；h） 計算機數(shù)據(jù)庫和網(wǎng)站。 面談是收集信息的一個重要手段，應當在條件許可并以適合于被面談人的方式進行。但審核員應當考慮： a）面談人員應當來自審核范圍內實施活動或任務的適當?shù)膶哟魏吐毮埽?b）面談應當在被面談人正常工作時間和（可行時）正常工作地點進行； c）在面談前和面談過程中應當努力使被面談人放松； d）應當解釋面談和作記錄的原因； e）面談可通過請對方描述其工作開始； f）應當避免提出有傾向性答案的問題（如引導性提問）； g）應當與對方總結和評審面談的結果； h）應當感謝對方的參與和合作。6.5.5 形成審核發(fā)現(xiàn)在采用GB/T 19011-2019/ISO19011:2019的第6章6.5.5的基礎上，補充如下。6.5.5.1 IS 6.5.5形成審核發(fā)現(xiàn)針對信息安全管理體系審核活動的中形成審核發(fā)現(xiàn)需要特別注意：a） 適用性聲明的落實；b) 風險控制措施落實程度。6.5.6 準備審核結論直接采用GB/T 19011-2019/ISO19011：2019的第6章的6.5.6節(jié)。6.5.7 舉行末次會議直接采用GB/T 19011-2019/ISO19011：2019的第6章的6.5.7節(jié)。6.6 審核報告的編制、批準和分發(fā)6.6.1 審核報告的編制在采用GB/T 19011-2019/ISO19011:2019的第6章6.6.1的基礎上，補充如下。6.6.6.1 IS 6.6.1審核報告的編制針對信息安全管理體系審核活動的中審核報告的編制需要特別注意：a） 適用性聲明中控制措施刪減的合理性；b) 組織定期對法律法規(guī)符合性評價的實施狀況。6.6.2 審核報告的批準和分發(fā)直接采用GB/T 19011-2019/ISO19011：2019的第6章的6.6.2節(jié)。67 審核的完成直接采用GB/T 19011-2019/ISO19011：2019的第6章的6.7節(jié)。6.8 審核后續(xù)活動的實施直接采用GB/T 19011-2019/ISO19011：2019的第6章的6.8節(jié)。7 審核員的能力與評價7.1 總則審核過程的信心和可信程度取決于進行審核的人員的能力。這種能力通過以下方面予以證實：-具有7.2條款所述的個人素質；-具有7.3條款所述的知識和技能的應用能力，這些知識和技能通過7.4條款所描述的教育、工作經(jīng)歷、審核員培訓和審核經(jīng)歷獲得。圖5描述了審核員能力的概念。7.3條款描述的知識和技能有一些是對管理體系審核員通用的，有一些是特別針對信息安全管理體系審核員的。審核員通過持續(xù)的專業(yè)發(fā)展和不斷地參加審核來獲得、保持和提高其能力（見7.5）。7.6條款描述了對審核員和審核組長的評價過程。專業(yè)技術知識和技能(7.3.3，7.3.4)通用的知識和技能（7.3.1，7.3.2）教育、工作經(jīng)歷、審核員培訓、審核經(jīng)歷 (7.4)個人素質（7.2） 圖5：能力的概念7.2 個人素質審核員應當具備個人素質，使其能夠按照第4章所描述的審核原則進行工作。審核員應當：a） 有道德，即公正、可靠、忠誠、誠實和謹慎；b） 思想開明，即愿意考慮不同意見或觀點；c） 善于交往，即靈活地與人交往；d） 善于觀察，即主動地認識周圍環(huán)境和活動；e） 有感知力，即能本能地了解和理解環(huán)境；f） 適應能力強，即容易適應不同情況；g） 堅韌不拔，即對實現(xiàn)目標堅持不懈；h） 明斷，即根據(jù)邏輯推理和分析及時得出結論；i） 自立，即在同其他人有效交往中獨立工作并發(fā)揮作用。73 知識和技能7.3.1 審核員通用的知識和技能審核員應當具有下列方面的知識和技能：a） 審核原則、程序和技術：使審核員能恰當?shù)貙⑵鋺糜诓煌膶徍瞬⒈ＷC審核實施的一致性和系統(tǒng)性。審核員應當能夠：-運用審核原則、程序和技術；-對工作進行有效地策劃和組織； -按商定的時間表進行審核， -優(yōu)先關注重要問題；-通過有效地面談、傾聽、觀察和對文件、記錄和數(shù)據(jù)的評審來收集信息； -理解審核中運用抽樣技術的適宜性和后果；-驗證所收集信息的準確性；-確認審核證據(jù)的充分性和適宜性以支持審核發(fā)現(xiàn)和結論；-評定影響審核發(fā)現(xiàn)和結論可靠性的因素； -使用工作文件記錄審核活動；-編制審核報告；-維護信息的保密性和安全性，-通過個人的語言技能或通過翻譯人員有效地溝通；b） 管理體系和引用文件：使審核員能理解審核范圍并運用審核準則。這方面的知識和技能應當包括：-管理體系在不同組織中的應用；-管理體系各組成部分之間的相互作用；-質量或環(huán)境管理體系標準、適用的程序或其它用做審核準則的管理體系文件；-認識引用文件之間的區(qū)別及優(yōu)先順序；-引用文件在不同審核情況下的應用；-用于文件、數(shù)據(jù)和記錄的授權、安全、發(fā)放、控制的信息系統(tǒng)和技術。c） 組織狀況：使審核員能理解組織的運作情況。這方面的知識和技能應當包括：-組織的規(guī)模、結構、職能和關系，-總體運營過程和相關術語，-受審核方的文化和社會習俗。d) 適用的法律、法規(guī)和相關領域的其他要求：使審核員能了解并在適用于受審核方的這些要求的范圍內開展工作。這方面的知識和技能包括：-國家的、區(qū)域的和地方的法律、法規(guī)和規(guī)章；-合同和協(xié)議，-國際條約和公約，-組織遵守的其他要求。7.3.2 審核組長的通用知識和技能審核組組長還應當具有關于領導審核方面的知識和技能，以便審核能有效地和高效地進行。審核組長應當能夠：-對審核進行策劃并在審核中有效地利用資源；-代表審核組與審核委托方和受審核方進行溝通；-組織和指導審核組成員； -為實習審核員提供指導和指南；-領導審核組得出審核結論；-預防和解決沖突； -編制和完成審核報告。7.3.3 通用專業(yè)技術知識和技能信息安全管理體系審核員應當具有下列知識和技能：a） 與IT 技術有關的知識和技能：使審核員能檢查IT 技術對業(yè)務連續(xù)性的影響，并形成適當?shù)膶徍税l(fā)現(xiàn)和結論。這方面的知識和技能應當包括：-網(wǎng)絡通訊技術-計算機平臺技術-軟件技術-IT服務-基礎應用技術，-上述技術的運用。b）與信息安全相關的技術，尤其是與GB/T22080-2019/ISO/IEC27001:2019附錄A 所建議的控制措施有關的信息安全技術的知識和技能：使審核員能檢查采取信息安全技術的控制措施的有效性，并形成適當?shù)膶徍税l(fā)現(xiàn)和結論。這方面的知識和技能應當包括：-風險管理，-物理和環(huán)境安全，-通訊與操作管理，-邊界安全，-應用安全，-密碼與認證技術，-安全管理與支持，-上述技術的運用。7.3.4 與應用領域相關的知識和技能a） 信息安全管理體系的建設與組織的業(yè)務時密切相關，標準要求基于業(yè)務風險進行管理，組織的業(yè)務過程和產(chǎn)品，包括服務：使審核員能理解被審核范圍內的應用技術內容。這方面的知識和技能應當包括：-行業(yè)特定的術語，-過程和產(chǎn)品包括服務的技術特性，-行業(yè)特定的過程和慣例。b) 與業(yè)務密切相關的關鍵信息系統(tǒng)是信息安全管理體系建設過程中需要特別關注的內容，為了正確把握采取合適的信息安全技術控制措施，對應行業(yè)領域分類中的特定信息系統(tǒng)應充分理解，包括但不僅限于：表1. 典型應用系統(tǒng)舉例編號名稱B2.1電子投票B2.2電子簽章B2.3庭審監(jiān)控B2.4網(wǎng)上報稅B2.5稅務監(jiān)管B2.6電子報關與通關B2.7海關稅務關聯(lián)退稅B2.8播報監(jiān)控B2.9用戶管理與計費B2.10通訊網(wǎng)絡監(jiān)管B2.11電子出版B2.12電子游戲B2.13社會保障系統(tǒng)B2.14醫(yī)院綜合系統(tǒng)B2.15網(wǎng)上教育系統(tǒng)B2.16經(jīng)銷存系統(tǒng)B2.17銀行業(yè)務系統(tǒng)B2.18銀行服務前端B2.19網(wǎng)上銀行B2.20銀聯(lián)清算系統(tǒng)B2.21個人經(jīng)信系統(tǒng)B2.22電子商務網(wǎng)上保障與清算系統(tǒng)B2.23物流管理B2.24賓館、飯店管理B2.25電力實時監(jiān)控與控制系統(tǒng)B2.26鐵路實時監(jiān)控B2.27鐵路售票系統(tǒng)B2.28民航機場綜合管理B2.29機場離港系統(tǒng)B2.30民航電子客票管理B2.31化工生產(chǎn)過程控制系統(tǒng)B2.32水利監(jiān)控B2.33食品安全跟蹤7.4 教育、工作經(jīng)歷、審核員培訓和審核經(jīng)歷7.4.1 ISMS審核員資格條件a) 教育：1) ISMS相應專業(yè)本科學歷（或同等學力），包括：計算機科學技術，電子、通信和自動控制技術，數(shù)學，物理；或2) ISMS相關專業(yè)本科學歷（或同等學力），包括：G.1.4.1 a）1）以外的其他理工學科，管理。b) 工作經(jīng)歷：1) 滿足7.4.1 a）1）時，至少4年信息技術方面全職實際工作經(jīng)歷，其中至少2年的工作經(jīng)歷來自與信息安全有關的職責或職能；或2) 滿足7.4.1 a）2）時，至少6年信息技術方面全職實際工作經(jīng)歷，其中至少3年的工作經(jīng)歷來自與信息安全有關的職責或職能。c) 審核員培訓：成功完成5天或40小時的ISMS審核員培訓；d) 審核經(jīng)歷：參加至少4次ISMS審核，審核總天數(shù)不少于20天，其中包括文件評審、風險分析的評審、現(xiàn)場審核和審核報告。7.4.2 特定應用領域的ISMS專業(yè)審核員和ISMS技術專家資格條件a) 教育：滿足7.4.1 a）的1）或2）；b) 該應用領域技術工作經(jīng)歷：1) 滿足7.4.1 b）1），且至少1年該技術領域相關工作經(jīng)歷，可與7.4.1 b）1）同時發(fā)生；或2) 滿足7.4.1 b）2），且至少2年該技術領域相關工作經(jīng)歷，可與7.4.1 b）2）同時發(fā)生。注：7.4.2的b）可用c）或d）或e)或f)或g)或h) 代替。c) 該應用領域技術相關培訓：1) ISMS專業(yè)審核員：滿足7.4.1 c），且成功完成該技術領域相關的審核技術培訓（可與7.4.1 c）同時發(fā)生）；2) ISMS技術專家：成功完成該技術領域相關的信息技術、信息安全、法律法規(guī)等培訓。d) 該技術領域相關審核經(jīng)歷（ISMS專業(yè)審核員適用）：滿足7.4.1 d），且在該技術領域ISMS專業(yè)審核員或技術專家指導下，參加至少4次涉及該技術領域的ISMS審核，審核總天數(shù)不少于20天（可7.1.4.1 d）同時發(fā)生）；e) 該技術領域相關技術研究經(jīng)歷（ISMS專業(yè)審核員適用）：從事相應的技術研究工作2年以上，且主管或主要技術負責進行了一個以上的研究課題的科研工作；f) 該技術領域相關技術開發(fā)工作經(jīng)歷（ISMS專業(yè)審核員適用）：從事相應的應用領域的關鍵信息系統(tǒng)（可參考7.3.4 b） 表1所列舉的系統(tǒng)）的開發(fā)工作，至少主持或作為系統(tǒng)分析師參與一個系統(tǒng)的開發(fā)工作；g) 該技術領域相關技術維護或技術服務工作經(jīng)歷（ISMS專業(yè)審核員適用）：從事相應的應用領域的關鍵信息系統(tǒng)（可參考7.3.4 b） 表1所列舉的系統(tǒng)）的維護或技術服務工作工作，至少親自作為主管參與一個以上系統(tǒng)、兩年以上的維護或技術服務工作；h) 該技術領域相關技術科學研究經(jīng)歷（ISMS專業(yè)審核員適用）：從事相應的科學研究工作3年以上，并出版學術專著一本以上，或在國家一級學術刊物或國際學術刊物發(fā)表學術論文2篇以上；i) 該技術領域的其他資格條件。7.4.3 審核組長審核組長應當取得附加的審核經(jīng)歷，以獲得 7.3.2條款所述的知識和技能。這種附加的經(jīng)歷應當是在能勝任審核組長的另一名審核員的指導和幫助下?lián)谓M長的經(jīng)歷。7.5 能力的保持和提高7.5.1 持續(xù)的專業(yè)發(fā)展持續(xù)的專業(yè)發(fā)展關注知識、技能和個人素質的保持和提高。這可以通過一些方法來實現(xiàn)，例如：更多的工作經(jīng)歷、培訓、自學、教學、參加各種有關會議或其他相關活動。審核員應當證實其持續(xù)的專業(yè)發(fā)展。持續(xù)的專業(yè)發(fā)展活動應當考慮個人和組織的需要、審核實踐、標準及其他要求的變化。7.5.2 審核能力的保持審核員應當通過不斷地參加信息安全管理體系的審核來保持和證實其審核能力。7.6 審核員的評價7.6.1 總則應當根據(jù)審核方案程序，對審核員和審核組長的評價進行策劃、實施和記錄，以提供客觀、一致、公正和可信的結果。評價過程應當識別培訓和其它技能提高的需要。對審核員的評價有以下不同的階段：-對希望成為審核員的申請人進行初始評價；-對審核員的評價,作為6.2.3條款所描述的審核組選擇過程的組成部分；-對審核員表現(xiàn)的持續(xù)評價，以識別知識和技能的保持與提高的需要。圖6描述了評價階段