ISO/IEC 27006:2015《信息技术 安全技术 信息安全管理体系审核和认证机构要求》是在ISO/IEC 17021.1:2015《合格评定 管理体系审核认证机构要求 第1部分:要求》的基础上,规定了信息安全管理体系(ISMS)审核认证机构的特定要求。认证机构通过实施ISO/IEC 27006将有利于证实其提供ISMS认证的能力和认证质量的可靠性。
中国合格评定国家认可委员会(CNAS)采用该国际标准制定了CNAS-CC170:2017《信息安全管理体系认证机构要求》文件,并将之作为对ISMS认证机构的专用认可准则。
基于ISMS认证实施过程中常有疑惑的条款,以及认可评审过程中所进行的一致性研讨情况,本文选取了ISO/IEC 27006中的9.1.3.4、7.2.1.1和9.3.1.1这3个条款,结合认可评审实践,阐述了对这些条款的理解并介绍了当前的主要实践方式,以帮助各位读者更好地理解和应用ISO/IEC 27006标准。
ISO/IEC 27006:2015《信息技术 安全技术 信息安全管理体系审核和认证机构要求》部分条款浅析
要求客户完成管理评审和内部审核的时机
ISO/IEC 27006的9.1.3.4要求:“如果一个ISMS没有至少实施过一次覆盖认证范围的管理评审和内部审核,认证机构不应对该ISMS实施认证。”。
众所周知,管理评审和内部审核是评价和改进ISMS绩效的两个重要方法。因此,要求客户应在被授予认证前实施内部审核和管理评审,将有助于认证机构评价客户的ISMS绩效及其自我完善能力。
实施认证的ISMS,前提是客户实施了覆盖认证范围的管理评审和内部审核,但没有明确指出客户实施管理评审和内部审核的时机:是在申请评审时?还是在第一阶段审核前?还是可以在第一阶段审核后?
单从标准内容来看,并未要求客户在申请评审时就已实施了内部审核和管理评审。标准中此处所说的“认证机构不应对该ISMS实施认证”,应理解为认证机构不应认证该ISMS,并不代表不能对客户开展任何审核活动。每个认证机构可以基于自身的风险控制来决定要求客户完成内部审核和管理评审的具体时间节点,并告知客户。
对于初次认证而言,客户完成覆盖认证范围的内部审核和管理评审的时间通常宜不晚于第一阶段的开始日期。为此,大多数认证机构会在管理体系认证申请书中要求客户提供内部审核和管理评审方面的信息,如时间、是否覆盖认证申请范围等。
ISMS审核员的实习审核经历要求
ISO/IEC 27006的7.2.1.1 d)要求:“审核员宜通过参与最少4次、总天数至少20天的ISMS认证审核来获得这种经验。”。
ISMS审核员应满足必要的资格条件,包括教育经历、工作经历、培训经历、审核经历等。通过规定审核员的资格条件,有助于确保认证机构在选择审核员时有一个相对统一和明确的硬性要求,而这些要求有益于确保审核员达到相应的能力准则。
在审核员的资格条件中,教育经历、工作经历、培训经历都可以通过资格证书或证明的形式提交满足资格条件要求的证据。教育经历会有毕业院校颁发的毕业证书以及教育部颁发的学位证书,工作经历会有企业出具的工作证明,培训经历会有有资格的培训机构颁发的培训证书。
标准中所规定的审核经历的要求,主要是为了证实审核员具备依据ISO/IEC 27001《信息技术安全技术 信息安全管理体系》实施审核的能力。由于实习培养的效果受实习审核员背景、实习指导人员的能力等多种因素的影响,因此标准中在规定实习审核经验的数量要求时,使用的是“宜”。这给认证机构在评价审核员时留有一定的灵活性,可以针对不同的情况采取不同的方式。标准中给出的“4次20人/天”的审核经验要求,可理解为是当前实践经验的总结。在2011年和2015年的两次ISO/IEC 27006修订中,都继续保留了对审核经历的要求。保留该要求的理由是要避免发生出现没有任何认证审核经验的人员也被认证机构授予了审核员资格的情况。实践中,大多数认证机构都会要求审核员应满足“4次20人/天”的审核经历要求。
此外,认证机构在制定其ISMS审核员审核经历的要求时,还需要考虑CNAS和中国认证认可协会(CCAA)ISMS审核员注册的相关要求,以确保同时满足相关方的要求。例如:CNAS制定的CNAS-SC170:2017《信息安全管理体系认证机构认可方案》中规定ISMS审核员应具备4次20人/天的ISMS审核经历;CCAA的《管理体系审核员注册准则》(CCAA-101-2)中规定ISMS审核员应具备3次、15个现场审核人天的审核经历。
对第一阶段审核报告的审查
ISO/IEC 27006的9.3.1.1要求:“在决定进行第二阶段之前,认证机构应审查第一阶段的审核报告,以便为第二阶段选择具备所需能力的审核组成员。”。
该条款明确要求在第二阶段前应审查第一阶段审核报告而且审查的目的是选择具备能力的第二阶段的审核组成员,但对审查第一阶段审核报告的人员未作明确要求。
由于第一阶段是一个阶段性审核,不是一个完整的审核,因此对于第一阶段审核报告的审查不必要求满足认证决定过程的要求,即不强制要求审查人员是认证决定人员、审查人员独立于审核组等。对第一阶段审核报告的审查,应由认证机构指定的人员来实施,从对审查第一阶段审核报告的目的(即:确认是否需要调整审核方案,并确保所委派的审核组的能力能够满足第二阶段的要求)来看,审查人员可以是审核方案管理人员、委派审核组的人员等相关人员。
根据该条款来梳理认证过程,各项活动应按如下次序进行:首先根据客户的申请制定审核方案,然后选择第一阶段的审核组实施审核并完成第一阶段审核报告,最后审查审核报告,并依据第一阶段确认的客户的基本信息(例如:认证范围、人数、场所等)调整审核方案并选择第二阶段审核组。审查审核报告很重要是因为可能会调整审核方案并选择第二阶段审核组成员,极端情况可能会重新安排第一阶段审核(例如:可能是人员专业代码的原因)。
由此可见,对第一阶段审核报告的审查,不应想当然地认为是现场审核组的职责,审查审核报告的人员至少具备申请评审能力和审核方案管理能力;同时还要包括委派审核组的人员,因为需要选择第二阶段具备能力的审核组成员。当前很多机构在安排审核任务时,可能会将第一阶段和第二阶段的审核任务一起安排,这将会导致对审查第一阶段审核报告的工作委派不太明确。
以上是ISO/IEC 27006中对管理评审和内部审核、审核员实习审核经历以及第一阶段审核报告审查三个方面普遍一致性的认识与实践。对ISO/IEC 27006要求的理解和认识,将随着实践经验的增加而不断完善,认证机构、认可机构等相关方对ISO/IEC 27006理解的一致性,将有利于确保ISO/IEC 27006的实施效果,从而推动获认可的ISMS认证证书得到广泛的承认和接受,进一步提升ISMS认证的价值。
捡证网提供相关检测认证服务,咨询电话:13636483412 QQ: 495226609
