信息安全管理体系认证审核工作指导书.pdf

文件号: WI1–22 上 海 质 量 体 系 审 核 中 心 版 次 1/5 共 14页 信息安全管理体系 认证审核工作指导书 1 目的 2 引用文件 3 适用范围和认证审核范围的确定 4 审核时间的确定 5 多场所组织审核抽样 6 通用信息安全风险识别 7 审核要点 8 不符合的界定、关闭时限和跟踪验证 9 法律法规与标准 编 制 王军 郑军 会 审 胡慧瑾 严卓明 储智静 魏建清 杭银珍 批 准 李晓红 实施日期 2011.10.1 版本号：1 修改码：5 第1页，共 13 页 信息安全管理体系 认证审核工作指导书 1 目的 本指导书是对认证工作程序和审核方案策划等内容在信息安全管理体系方 面的补充，并通过对通用信息安全风险的识别和分析以及通用审核要点的描述， 为信息安全管理体系的审核策划和审核实施提供指导。 2 引用文件 ISO/IEC 27001：2005《信息技术 安全技术 安全管理体系要求》 ISO/IEC 27002：2005《信息技术 安全技术 安全管理实用规则》 ISO/IEC 27006：2007《信息技术 安全技术 信息安全管理体系审核认证 机构的要求》 CNAS-EC-027：2010《信息安全管理体系认证机构的认可说明》 W11-01《多场所审核工作指导书》 3 范围的确定 3.1 适用范围 本指导书适用于 CNAS-EC-027：2010 附录一中确定的认证业务范围，即“政 务”、“公共”、“商务”、“产品的生产”等 4 个大类，每个大类包含若干中类， 每个中类被赋予“一”、“二”、“三”的风险级别（详见附录 1）。 3.2 ISMS 审核范围和认证范围 3.2.1 项目开发部和审核管理部应分别在申请评审和和第一阶段审核中确认客 户组 织ISMS 范围和边界的界定是否清晰和充分。在第二阶段审核报告中予以适 当描述。 3.2.2 认证注册部在为提供给客户组织的认证证书或文件所描述的认证范围应 与认证机构审核确认的客户组织的ISMS 的范围和边界相一致。认证范围至少包 括以下内容： 3.2