信息安全管理体系审核员注册准则

中 国 认 证 认 可 协 会

信息安全管理体系审核员

注册准则

第1版

文件编号：CCAA－141

发布日期：2012年6月19日

?版权2012-中国认证认可协会

信息安全管理体系审核员注册准则

类别

本准则为中国认证认可协会（CCAA）人员注册规范类文件。

本准则规定了CCAA运作其信息安全管理体系审核员注册项目时遵循的原则。

本准则经CCAA批准发布。

批准

编制：CCAA日期：2012年5月10日

批准：CCAA日期：2012年6月19日

实施：CCAA 日期：2012年6月19日

信息

所有CCAA文件都用中文发布。标有最新发布日期的中文版CCAA文件是有效的版本。CCAA将在其网站上公布所有CCAA相关准则的最新版本。

关于CCAA或CCAA人员注册的更多信息，请与CCAA人员注册部联系，联络地址如下：

地址：北京市朝阳区朝外大街甲10号中认大厦13层

邮编：100020

https://www.docsj.com/doc/082578565.html,

email：pcc@https://www.docsj.com/doc/082578565.html,

版权

?版权2012-中国认证认可协会

前 言

中国认证认可协会(CCAA)是国家认证认可监督管理委员会（CNCA）唯一授权的依法从事认证人员认证(注册)的机构，开展管理体系审核员、认证咨询师、产品认证检查员和认证培训教师等的认证(注册)工作。CCAA是国际人员认证协会(IPC)的全权成员，加入了IPC-QMS/EMS审核员培训与注册国际互认协议，人员注册结果在世界范围内得到普遍承认。

本准则由CCAA依据《中华人民共和国认证认可条例》、国家质量监督检验检疫总局《认证及认证培训、咨询人员管理办法》（质检总局令第61号）、国家认监委《关于正式开展信息安全管理体系认证工作的公告》（2009年第47号公告）制定，考虑了中国的国情及认证/认可机构的要求，是建立信息安全管理体系（ISMS）审核员国家注册制度的基础性文件。

CCAA ISMS审核员注册仅表明注册人员具备了从事ISMS审核的个人素质和相应的知识与能力。尽管CCAA已尽力保证评价过程和注册制度的科学性、有效性和完整性，但如果某一注册人员提供的审核或其它服务未能满足顾客或聘用机构的所有要求，CCAA对此不承担责任。

第一章概论

1.1引言

1.1.1本准则由中国认证认可协会（CCAA）制定，以建立信息安全管理体系(ISMS)审核员国家注册制度，目的是确认认证人员具备相应的个人素质、知识和能力，保证信息安全管理体系认证工作的质量。

1.1.2 本准则规定了CCAA ISMS审核员的注册要求，以及采用以知识和能力为基础的评价考核方法。

1.1.3所有注册人员和申请人员除符合本准则要求外，还应遵守国家和/或地区的有关法律、法规和规定。

1.2引用文件

《中华人民共和国认证认可条例 》

《认证及认证培训、咨询人员管理办法》（质检总局令第61 号）

《关于正式开展信息安全管理体系认证工作的公告》（认监委2009年第47号公告）

GB/T 22080-2008 / ISO/IEC27001:2005 《信息技术安全技术信息安全管理体系要求》

GB/T 22081-2008 / ISO/IEC27002:2005《信息技术安全技术信息安全管理实用规则》

GB/T19011-2003 IDT ISO 19011:2002《质量和（或）环境管理体系审核指南》

1.3 注册级别

1.3.1 CCAA ISMS审核员注册资格分为实习审核员、审核员和高级审核员三个级别。

● ISMS实习审核员

ISMS实习审核员资格授予经CCAA考核评价，确认符合本准则相应注册资格要求并具备ISMS审核所必要的知识和基本技能的申请人。

实习审核员不能独立实施审核任务。

● ISMS审核员

ISMS审核员资格授予经CCAA考核评价，确认符合本准则相应注册资格要求，具备ISMS审核所需的知识和技能，并在实施审核活动方面有一定实践经验的申请人。

审核员可以独自一人完成或作为审核组成员完成ISMS审核任务，也可以在高级审核员的指导和帮助下，作为实习审核组长领导审核组完成ISMS审核任务。

● ISMS高级审核员

ISMS高级审核员资格授予经CCAA考核评价，确认符合本准则相应注册资格要求，具备ISMS审核所需的知识和技能以及领导一个审核组所需的能力，并在策划、协调、实施审核活动以及与审核委托方、受审核方沟通等方面有丰富实践经验的申请人。

高级审核员可以完成或领导审核组完成ISMS审核任务。

高级审核员有责任指导审核组内的实习审核员和审核员实施、改进审核活动和审核管理活动。

1.3.2 CCAA ISMS审核员注册遵循逐级晋升的原则。

1.3.3 审核员聘用机构应建立并实施能力分析和评价系统（或程序），按照其开展的信息安全管理体系认证的业务类别，对审核员的专业能力进行更细化的专业能力评定。

第二章 注册要求

2.1 申请要求

2.1.1 各级别注册申请人应认真阅读CCAA ISMS审核员注册准则，了解各项注册要求。

2.1.2 申请人应提供真实、完整的注册信息、资料。申请信息、资料应使用中文或英文，如提供其他语言的信息、资料，应附有经聘用申请人的认证机构确认的中文翻译件。

2.1.3申请人应登陆CCAA 网站https://www.docsj.com/doc/082578565.html,，完成网上注册申请，打印带有条形码（申请号）的注册申请表格。申请表应填写完整，由申请人亲笔签字，注册担保人、推荐机构负责人签字并盖机构公章，附上所有要求的证明资料，与注册费用一同递交CCAA。

2.1.4 申请人应签署声明，表示其同意遵守CCAA注册准则的各项要求，特别是行为规范的要求。

2.1.5 申请人提交完整的注册申请资料和注册费用后，CCAA方可受理申请，开始评价注册程序。注册费用见《认证人员注册收费规则》（详见CCAA网站）。

2.1.6 申请人如果对注册过程或注册信息发布方式、内容等有特殊要求，应在申请时书面说明。

2.2 申请人资格经历要求

2.2.1 教育经历

申请人应具有国家承认的信息安全相关或相近专业大学本科（含）以上学历，并取得相应的学位证书。无学位证书的申请人应至少有5年与信息安全相关的全职工作经历或与信息安全相关的中级（含）以上技术职称。

信息安全相关和相近专业包括：电子信息科学与技术、微电子学、光信息科学与技术、信息安全、电子信息工程、通信工程、计算机科学与技术、电子科学与技术、信息对抗技术、信息管理与信息系统、微电子学与固体电子学、通信与信息系统、信号与信息处理、计算机软件与理论、计算机应用技术、密码学、光电子技术科学、集成电路设计与集成系统、智能科学与技术、信息显示与光电技术、数字媒体技术、测绘工程、遥感科学与技术、电子商务、网络工程、广播电视工程、建筑设施智能技术、电气工程及自动化等。

必要时须向CCAA提供相关证明材料。

2.2.2 工作经历

2.2.2.1实习审核员/审核员工作经历要求

最高学历为本科毕业的申请人应具有至少4年全职工作经历；最高学历为硕士研究生及以上毕业的申请人应具有至少2年全职工作经历；

2.2.2.2高级审核员工作经历要求

最高学历为本科毕业的申请人应具有至少6年全职工作经历；最高学历为硕士研究生及以上毕业的申请人应具有至少4年全职工作经历；

2.2.2.3工作经历应在负有判定责任的技术、专业或管理岗位获得。满足CCAA 注册要求的工作经历应在取得学历教育之后获得。

2.2.3专业工作经历

2.2.

3.1实习审核员/审核员申请人在全部工作经历中应具有至少2年与信息安全相关的工作经历；

2.2.

3.2高级审核员申请人在全部工作经历中应具有至少4年与信息安全相关的工作

经历。并具备CCAA QMS高级审核员注册资格1年以上或与信息安全和信息技术相关的高级技术职称。

2.3.3.3信息安全相关工作经历包括信息安全管理工作（如ISMS的研究、实施、运作、咨询、审核、教学经历），信息安全技术工作（如信息安全科研教学、工程设计与实施、产品研发与测试和网络管理工作等）。

其中，ISMS的实施经历是指组织中业务管理部门的人员和组织中信息安全管理体系实施部门的负责人具体实施管理体系的经历。ISMS的运作经历指组织中最高管理层、

信息安全主管部门的人员策划、运行管理体系的经历。

专业工作经历与工作经历可以同时发生。

2.2.4 培训考试

申请人应成功地完成CCAA承认的ISMS审核员培训课程，并考试合格。

2.2.5 审核经历

2.2.5.1 实习审核员

实习审核员注册申请人无ISMS审核经历要求。

2.2.5.2 审核员

以实习审核员的身份，作为审核组成员在审核员或高级审核员的指导和帮助下完成至少3次ISMS初次认证或再认证审核经历。

所有审核经历应当在申请前 3 年内获得。

2.2.5.3 高级审核员

作为实习审核组长在高级审核员的指导和帮助下，领导审核组完成至少3 次ISMS初次认证或再认证审核经历。

所有审核经历应当在申请前 2 年内获得。

2.2.6审核经历记录

用于申请注册的审核经历应填入《CCAA审核经历记录表》。

2.3 个人素质和审核原则要求

2.3.1 各级别审核员应具备下列个人素质：

a）有道德，即公正、可靠、忠诚、诚实和谨慎；

b）思想开明，即愿意考虑不同意见或观点；

c）善于交往，即灵活地与人交往；

d）善于观察，即主动地认识周围环境和活动；

e）有感知力，即能本能地了解和理解环境；

f）适应力强，即容易适应不同情况；

g）坚韧不拔，即对实现目的坚持不懈；

h）明断，即根据逻辑推理和分析及时得出结论；

i）自立，即在同其他人交往中独立工作并发挥作用；

j）健康，即身体健康状况良好并无传染性疾病。

2.3.2 各级别审核员应按照下列原则进行工作：

a) 道德行为：职业的基础

对审核而言，诚信、正直、保守秘密和谨慎应是最基本的。

b) 公正表达：真实、准确地报告的义务

审核发现、审核结论和审核报告应真实和准确地反映审核活动。报告在审核过程中遇到的重大障碍以及在审核组和受审核方之间没有解决的分歧意见。

c) 职业素养：在审核中勤奋并具有判断力

审核员应珍视他们所执行的任务的重要性以及委托方和其它相关方对自己

的信任。具有必要的能力是一个重要的因素。

d) 独立性：审核的公正性和审核结论的客观性的基础

审核员应独立于受审核的活动，并且不带偏见，没有利益上的冲突。审核员在审核过程中应保持客观的心态，以保证审核发现和结论仅建立在审核证据的基础上。

e) 基于证据的方法：在一个系统的审核过程中，得出可信的和可重现的审核结论的合理方法

审核证据应是可证实的。由于审核是在有限的时间内并在有限的资源条件下进行的，因此审核证据是建立在可获得的信息样本的基础上。抽样的合理性与审核结论的可信性密切相关。

2.4 知识和技能要求

2.4.1 各级别审核员应具备的知识和技能

2.4.1.1管理体系审核

●理解GB/T19011标准3、4、6章的内容；

●理解审核原则、程序和技术的应用；

●理解受审核方管理体系与审核准则的关系；

●理解如何确定组织的信息安全管理体系范围，以及在受审核方组织环境中

实施有效的审核；

●理解审核中运用抽样技术的适宜性和后果；

2.4.1.2 信息安全管理体系

●理解GB/T 22080-2008 / ISO/IEC27001:2005标准每项条款的内容和要求；

●理解GB/T 22080-2008 / ISO/IEC27001:2005标准中的术语；

●理解信息安全特性（保密性、可用性、完整性以及真实性、可核查性、不

可否认性和可信性）之间的联系；

●理解信息安全管理体系在不同类型组织中的应用，包括：

a)不同类型组织信息资产的识别以及与组织业务的关系；

b)不同类型组织资产脆弱性与威胁的识别以及与组织业务的关系；

c)不同类型组织信息安全技术应用以及与组织业务的关系；

d)保障物理区域安全的常用技术；

e)通信设施及信息处理设施运行中的信息安全；

f)信息系统的开发、获取和维护；

g)访问控制；

h)信息安全领域的业务连续性管理与容灾；

i)信息安全技术符合性测试及IT系统审计；

j)理解GB/T 22080-2008 / ISO/IEC27001:2005标准中控制措施的选择以及删减原则。

●理解风险管理的基本原理和常用风险评估技术以及在信息安全管理中的

应用；

●了解用于文件、数据和记录的授权、安全、发放、控制的信息系统和技术。

2.4.1.3法律法规

●了解我国法律法规体系的构成；

●了解组织所属行业中行业性法律法规要求；

●与信息安全管理体系的关系以及在审核中的应用；

●了解国家认证认可法规、规章要求；

●了解相关的国际条约和公约、合同和协议等；

●了解组织遵守的其他要求；

●了解CCAA审核员行为规范要求。

2.4.2 高级审核员应具备的技能

●对审核进行总体策划并在审核中有效地利用资源；

●代表审核组与审核委托方和受审核方进行沟通；

●组织和指导审核组成员开展审核工作；

●领导审核组得出审核结论；

●预防和解决冲突；

●编制和完成审核报告；

●主持首次、末次会议。

2.5 注册人员行为规范要求

所有注册人员均应遵守CCAA注册人员行为规范。

在初次注册和再注册时，所有申请人均应签署声明，表明其遵守行为规范。

a)遵纪守法、敬业诚信、客观公正；

b)努力提高个人的专业能力和声誉；

c)帮助所管理的人员拓展其专业能力；

d)不承担本人不能胜任的任务；

e)不介入冲突或利益竞争，不向任何委托方或聘用机构隐瞒任何可能影

响公正判断的关系；

f)不讨论或透露任何与工作任务相关的信息，除非应法律要求或得到委托方

和/或聘用单位的书面授权；

g)不接受受审核方及其员工或任何利益相关方的任何贿赂、佣金、礼物或任

何其它利益，也不应在知情时允许同事接受；

h)不有意传播可能损害审核工作或人员注册过程的信誉的虚假或误导性信

息；

i)不以任何方式损害CCAA及其人员注册过程的声誉。与针对违背本准则

的行为而进行的调查进行充分的合作；

j)不向受审核方提供相关咨询。

2.6 监督与年度确认要求

2.6.1 CCAA采用年度确认的方式，对审核员和高级审核员持续保持其能力和个人素质以及遵守行为规范的情况进行监督。聘用机构应在CCAA规定的年度确认受理时间（每年的4月和10月）内统一申报本机构聘用人员的相关情况，并提交年度确认汇总表（包括书面和电子文件两种格式）。

2.6.2 在注册证书有效期内，审核员和高级审核员每年应完成下列活动，表明其持续符合准则的相关要求：

●至少成功地完成1次ISMS审核经历，或完成15小时专业发展活动；

●持续遵守行为规范的要求；

●已妥善解决任何针对其审核表现的投诉；

●当CCAA有指定的审核员继续教育或专业发展活动时，已按要求完成。

2.6.3 审核员和高级审核员应保留完成年度确认的记录（如CCAA发布的通知公告），在申请再注册时作为证明文件提交CCAA。

2.6.4 实习审核员无年度确认要求。CCAA 将通过处理投诉、接受聘用机构和受审核方反馈等方式收集信息，对实习审核员进行监督。

2.6.5必要时，CCAA可对各级别审核员采取专项调查、质询或要求提供更多证实信息等方式进行更频繁更深入的监督。

2.7 再注册要求

2.7.1 各级别审核员应每3年进行一次再注册，以确保持续符合本准则相应注册级别的各项要求。

2.7.2 实习审核员再注册要求

●注册证书到期前 3 个月内，向CCAA 提出再注册申请；

●注册证书有效期内持续遵守行为规范；

●已妥善解决任何针对其审核表现的投诉；

●当CCAA有指定的审核员继续教育或专业发展活动时，已按要求完成。

2.7.3 审核员再注册要求

●注册证书到期前3个月内，向CCAA提出再注册申请；

●注册证书有效期内，完成至少3次ISMS审核经历；

●如存在注册准则要求变更，应符合变更后的相应要求；

●注册证书有效期内持续遵守行为规范；

●已妥善解决任何针对其审核表现的投诉；

●完成历次的年度确认；

●当CCAA有指定的审核员继续教育或专业发展活动时，已按要求完成。

2.7.4 高级审核员再注册要求

●注册证书到期前3个月内，向CCAA提出再注册申请；

●注册证书有效期内，作为审核组长完成至少3次ISMS审核经历；

●如存在注册准则要求变更，应符合变更后的相应要求；

●注册证书有效期内持续遵守行为规范；

●已妥善解决任何针对其审核表现的投诉；

●完成历次的年度确认；

●当CCAA有指定的审核员继续教育或专业发展活动时，已按要求完成。

2.8 申请资料要求

2.8.1 申请资料由推荐机构集中申报，包括申请表、相关证明文件和注册费用。

2.8.2 申请资料清单

2.8.2.1实习审核员

a) 注册申请表（网上注册后生成）；

b) 身份证（复印件）；

c）学历证书和学位证书（复印件）；

d) 审核员培训合格证书（复印件）；

e）考试合格证明（复印件）；

f) 中级以上（含中级）职称证明（复印件）（适用时）；

g）注册费。

2.8.2.2 审核员

a) 注册申请表（网上注册后生成），应经推荐机构盖章确认；

b) 身份证（复印件）；

c）学历证书和学位证书（复印件）；

d) 实习审核员注册资格证明（复印件）；

e) 审核员培训合格证书（复印件）；

f）考试合格证明（复印件）；

g）审核经历证明(包括审核计划、审核经历记录表、审核经历汇总表)；

h) 注册费。

2.8.2.3 高级审核员

a) 注册申请表（网上注册后生成），应经推荐机构盖章确认；

b) 身份证（复印件）；

c) 学历证书和学位证书（复印件）；

d) CCAA QMS高级审核员或高级技术职称（复印件）；

e) 审核员注册资格证明（复印件）；

f）审核经历证明(包括审核计划、审核经历记录表、审核经历汇总表)；

g）完成年度确认的证明文件，如CCAA通知（适用时）；

h) 完成CCAA指定继续教育或专业发展的证明文件（适用时）；

i) 注册费。

2.8.2.4年度确认

a）年度确认汇总表，包括书面和电子文件两种格式。其中书面文件应经聘用机构盖章确认；

b）年度确认费。

2.8.2.5 审核员/高级审核员再注册

a）审核员再注册申请表（网上注册后生成），应经推荐机构盖章确认；

b）身份证（复印件）；

c）学历证书和学位证书（复印件）；

d) 前一轮次注册资格证明（复印件）；

e）完成年度确认的证明文件，如CCAA通知；

f) 审核经历证明(包括审核计划、审核经历记录表、审核经历汇总表)；

g）完成CCAA指定继续教育或专业发展的证明文件（适用时）；

h）注册费。

第三章评价过程

3.1 申请受理与资格审查

3.1.1 CCAA注册管理人员对注册申请资料进行审查，确认申请人符合2.1和2.2的要求。

3.1.2 CCAA注册管理人员应关注申请人对注册过程是否有特殊需求并作出相应安排。

3.2 知识和技能的考核

申请人应在注册申请前 3 年内通过CCAA 组织的笔试，以证实其满足2.4.1 规定的知识和技能要求。

3.3 个人素质的考核

对申请人个人素质的考核在培训、考试、审核现场及聘用机构和客户反馈、注册担保人担保等过程中结合进行。

3.4 担保与推荐

3.4.1 每名注册申请人应由一名注册担保人担保。

注册担保人是指具有良好的个人声誉和 CCAA 认证人员注册资格（不含实习注册资格），了解申请人专业状况、主要工作经历和基本个人素质的人员。

3.4.2 注册担保人应对申请人个人素质(2.3.1)的适宜性和专业工作经历(2.2.3)的真实性作出担保。

3.4.3 推荐机构应对申请人资格经历(2.2)的真实性进行核实，并就申请人的个人素质、知识与能力是否适合从事审核活动作出推荐意见。

3.5 注册决定与注册公告

3.5.1 注册决定

CCAA评价人员根据评价考核过程中收集的信息形成评价考核结论，作出申请人是否适宜注册的意见；

CCAA注册管理人员对评价考核结论、注册意见进行审定，作出是否予以注册的决定；注册管理人员应未参与过对申请人的评价考核与培训。

CCAA负责人审核注册意见和注册决定，批准注册决定。

3.5.2 注册公告或证书

3.5.2.1 对批准注册的申请人，CCAA将予以公告或颁发注册证书，注册有效期3年。对不予注册的申请人，CCAA将通知推荐机构或本人。

3.5.2.2对于符合再注册要求的申请人，CCAA将给予再注册，有效期3年，自原注册截止日期延续计算。对不符合要求、不予再注册的申请人，CCAA将通知推荐机构或本人。

3.5.2.3 CCAA负责人负责批准人员注册公告或注册证书。

3.5.2.4 注册公告包含下列信息：

●注册领域；

●注册人员姓名；

●注册级别和注册证书编号；

●注册日期；

●执业机构名称。

3.5.2.5 注册证书包含下列信息（适用时）

●CCAA的名称、标识；

●注册准则标识；

●注册人员姓名和身份识别信息；

●注册级别和注册证书编号；

●注册日期和有效期。

3.5.3注册人员使用注册证书，应遵守CCAA《证书及标志的使用规则》，在取得注册证书之前应签署《认证人员注册证书、标志使用承诺》。

3.5.4 CCAA拥有颁发的各类注册证书、证卡的所有权。注册人员一旦被撤销相应注册资格，应交回相应证书。

3.6 注册资格处置

3.6.1 对违反行为规范、不满足注册要求的各级别审核员，经调查核实，CCAA将按照《注册人员资格处置规则》给予警告、暂停注册资格、降低注册级别，直至撤销注册资格的处置。

3.6.2 注册人员因个人原因决定不再保持注册资格，可自愿申请注销注册资格，或降低注册级别，申请应以书面形式向CCAA提出。

3.7 注册收费

3.7.1 CCAA依据《认证人员注册收费规则》收取注册费用，注册申请人和已注册人员应遵照规则缴纳相应费用。

注：《认证人员注册收费规则》见CCAA网站。

3.7.2评价和注册过程一经开始，不论注册结果如何，注册费用将不予退还。

3.8投诉

3.8.1 针对注册人员的投诉

CCAA依据《申诉、投诉和争议处理程序规则》，处理针对注册人员违反注册要求和行为规范的行为的投诉。

3.8.2 针对CCAA的投诉

CCAA依据《申诉、投诉和争议处理程序规则》，处理针对CCAA工作人员在注册活动中违反工作程序和工作守则的行为的投诉，以及对CCAA的争议处理决定提出的投诉。

3.8.3 投诉人可从CCAA网站下载《申诉、投诉和争议处理程序规则》，CCAA也可应申请人的要求提供该规则。

3.9 申诉

3.9.1 CCAA依据《申诉、投诉和争议处理程序规则》，处理注册人员的申诉，包括：

●注册申请人或注册人员对CCAA作出的不予注册、资格处置等决定提出的申

诉；

●投诉人因不同意CCAA的投诉处理决定提出的申诉。

3.9.2 申诉应在相关决定作出后30天内，以书面形式向CCAA提交。

3.9.3 申诉人可从CCAA网站下载《申诉、投诉和争议处理程序规则》，CCAA也可应申诉人的要求提供该规则。

3.10 评价人员

3.10.1 CCAA按照《人员注册考核人员管理程序》选择书面评价人员。

3.10.2 评价人员按照CCAA的规定程序实施评价、考核活动。

3.11 相关表格与文件

●审核员注册申请表

●审核员再注册申请表

●审核经历记录表

●审核经历汇总表

●《认证人员注册收费规则》

●《证书及标志的使用规则》

●《注册人员资格处置规则》

●《申诉、投诉和争议处理程序规则》

信息安全管理体系审核员注册准则

中 国 认 证 认 可 协 会 信息安全管理体系审核员 注册准则 第1版 文件编号：CCAA－141 发布日期：2012年6月19日 ?版权2012-中国认证认可协会

信息安全管理体系审核员注册准则 类别 本准则为中国认证认可协会（CCAA）人员注册规范类文件。 本准则规定了CCAA运作其信息安全管理体系审核员注册项目时遵循的原则。 本准则经CCAA批准发布。 批准 编制：CCAA日期：2012年5月10日 批准：CCAA日期：2012年6月19日 实施：CCAA 日期：2012年6月19日 信息 所有CCAA文件都用中文发布。标有最新发布日期的中文版CCAA文件是有效的版本。CCAA将在其网站上公布所有CCAA相关准则的最新版本。 关于CCAA或CCAA人员注册的更多信息，请与CCAA人员注册部联系，联络地址如下： 地址：北京市朝阳区朝外大街甲10号中认大厦13层 邮编：100020 https://www.docsj.com/doc/082578565.html, email：pcc@https://www.docsj.com/doc/082578565.html, 版权 ?版权2012-中国认证认可协会

前 言 中国认证认可协会(CCAA)是国家认证认可监督管理委员会（CNCA）唯一授权的依法从事认证人员认证(注册)的机构，开展管理体系审核员、认证咨询师、产品认证检查员和认证培训教师等的认证(注册)工作。CCAA是国际人员认证协会(IPC)的全权成员，加入了IPC-QMS/EMS审核员培训与注册国际互认协议，人员注册结果在世界范围内得到普遍承认。 本准则由CCAA依据《中华人民共和国认证认可条例》、国家质量监督检验检疫总局《认证及认证培训、咨询人员管理办法》（质检总局令第61号）、国家认监委《关于正式开展信息安全管理体系认证工作的公告》（2009年第47号公告）制定，考虑了中国的国情及认证/认可机构的要求，是建立信息安全管理体系（ISMS）审核员国家注册制度的基础性文件。 CCAA ISMS审核员注册仅表明注册人员具备了从事ISMS审核的个人素质和相应的知识与能力。尽管CCAA已尽力保证评价过程和注册制度的科学性、有效性和完整性，但如果某一注册人员提供的审核或其它服务未能满足顾客或聘用机构的所有要求，CCAA对此不承担责任。

三级等保,安全管理制度,信息安全管理体系文件编写规范

* 主办部门：系统运维部 执笔人： 审核人: XXXXX 信息安全管理体系文件编写规范 XXX-XXX-XX-03001 2014年3月17日

[本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属XXXXX所有，受 到有关产权及版权法保护。任何个人、机构未经XXXX X勺书面授权许可，不得以任何方式复制或引用本文件的任何片断。] 文件版本信息 文件版本信息说明 记录本文件提交时当前有效的版本控制信息，当前版本文件有效期将在新版本文档生效时自动结束。文件版本小于时，表示该版本文件为草案，仅可作为参照资料之目的。 阅送范围 内部发送部门：综合部、系统运维部、技术开发部。

总则 细则 体系文件的格式 附则 第一早 第二早 第三章 第四章 附件.. 错误!未定义书签 错误!未定义书签 错误!未定义书签 错误!未定义书签 错误!未定义书签

第一章总则 第一条为规范XXXX X言息安全管理体系文件的编写和标识，确保上清所信息安全管理体系文件在文件格式和内容形式上的一致性。根据《金融行业信息系统信息安全等级保护实施指引》 （JR/T 0071 —2012），结合XXXXX实际，制定本规范。 第二条本规范适用于XXXXX涉及信息安全管理体系文件的编写与标识的相关活动。 第三条网络与信息安全工作领导小组办公室负责组织XXXX X言息安全管理体系各级文件的编写和修订；负责XXXX X 言 息安全管理体系文件编码的分配和统一管理。 第二章细则 第四条体系文件类型包括： （一）管理策略：是指对信息系统安全运行提出策略性要求的文件，是信息安全管理体系的一级文件。 （二）管理规定：是指根据信息安全管理体系的管理策略要求提出详细规定的文件，是信息安全管理体系的二级文件。 （三）管理规范、操作手册：是指根据信息安全管理体系的管理规定提出具体的操作细则的文件、或对某一特定情况进行描述、解释、处置等的文件，是信息安全管理体系的三级文件。 （四）运行记录、表单、工单：是指对信息安全管理体系运行时产生的痕迹、轨迹进行记录的文件，是信息安全管理体系的四级文

信息安全管理体系认证实施规则

信息安全管理体系认证实施规则 ISCCC-ISMS-001:2016 中国信息安全认证中心

目录 1.适用范围 (2) 2.认证依据 (2) 3.术语和定义 (2) 3.1.信息收集 (2) 3.2.现场审核 (2) 4.认证类别 (2) 5.审核人员及审核组要求 (2) 6.认证信息公开 (2) 7.认证程序 (2) 7.1.初次认证 (2) 7.2.监督审核 (6) 7.3.再认证 (8) 7.4.管理体系结合审核 (8) 7.5.特殊审核 (9) 7.6.暂停、撤消认证或缩小认证范围 (9) 8.认证证书 (10) 8.1.证书内容 (10) 8.2.证书编号 (11) 8.3.对获证组织正确宣传认证结果的控制 (11) 9.对获证组织的信息通报要求及响应 (11) 10.附录A：审核时间 (11)

1.适用范围 本规则用于规范中国信息安全认证中心（简称中心）开展信息安全管理体系（ISMS）认证活动。 2.认证依据 以国家标准ISO/IEC27001:2013《信息技术安全技术信息安全管理体系要求》为认证依据。 3.术语和定义 3.1.现场审核 中心指派审核组到受审核方或获证组织所在办公地点进行管理体系运行的符合性进行审核。 4.认证类别 认证类型分为初次认证，监督审核和再认证。为满足认证的需要，中心可以实施特殊审核，特殊审核采取现场审核方式进行。 5.审核人员及审核组要求 认证审核人员必须取得其他管理体系认证注册资格，并得到中心的专业能力评价，以确定其能够胜任所安排的审核任务。 审核组应由能够胜任所安排的审核任务的审核员组成。必要时可以补充技术专家以增强审核组的技术能力。 具有与管理体系相关的管理和法规等方面特定知识的技术专家可以成为审核组成员。技术专家应在审核员的监督下进行工作，可就受审核方或获证组织管理体系中技术充分性事宜为审核员提供建议，但技术专家不能作为审核员。 6.认证信息公开 中心应向申请认证的社会组织(以下称申请组织)至少公开以下信息： 1)认证服务项目； 2)认证工作程序； 3)认证依据； 4)证书有效期； 5)认证收费标准。 7.认证程序 7.1.初次认证

公司IT信息安全管理制度4.doc

公司IT信息安全管理制度4 **IT信息安全管理制度 第一条总则通过加强公司计算机系统、办公网络、服务器系统的管理。保证网络系统安全运行，保证公司机密文件的安全，保障服务器、数据库的安全运行。加强计算机办公人员的安全意识和团队合作精神，把各部门相关工作做好。 第二条范围 1、计算机网络系统由计算机硬件设备、软件及客户机的网络系统配置组成。 2、软件包括：服务器操作系统、数据库及应用软件、有关专业的网络应用软件等。 3、客户机的网络系统配置包括客户机在网络上的名称，IP 地址分配，用户登陆名称、用户密码、及Internet的配置等。 4、系统软件是指：操作系统（如WINDOWS XP、WINDOWS 2003等）软件。 5、平台软件是指：防伪防窜货系统、办公用软件（如OFFICE 2003）等平台软件。 6、专业软件是指：设计工作中使用的绘图软件（如Photoshop 等）。 第三条职责

1、信息网络部门为网络安全运行的管理部门，负责公司计算机网络系统、计算机系统、数据库系统的日常维护和管理。 2、负责系统软件的调研、采购、安装、升级、保管工作。 3、网络管理人员负责计算机网络系统、办公自动化系统、平台系统的安全运行；服务器安全运行和数据备份；Internet对外接口安全以及计算机系统防病毒管理；各种软件的用户密码及权限管理协助各部门进行数据备份和数据归档。 4、网络管理人员执行公司保密制度，严守公司商业机密。 5、员工执行计算机安全管理制度，遵守公司保密制度。 6、系统管理员的密码必须由网络管理部门相关人员掌握。 第三条管理办法 I、公司电脑使用管理制度 1、从事计算机网络信息活动时，必须遵守《计算机信息网络国际联网安全保护管理办法》的规定，应遵守国家法律、法规，加强信息安全教育。 2、电脑由公司统一配置并定位，任何部门和个人不得允许私自挪用调换、外借和移动电脑。 3、电脑硬件及其配件添置应列出清单报行政部，在征得公司领导同意后，由网络信息管理员负责进行添置。 4、电脑操作应按规定的程序进行。

信息安全管理体系建设

a* ILIMOOH 佛山市南海天富科技有限公司信息安全管理体系建设咨询服务项目 时间：2015年12月

信息化建设引言 随着我国中小企业信息化的普及，信息化给我国中小企业带来积极影响的同时也带来了信息安全方面的消极影响。一方面：信息化在中小企业的发展程中，对节约企业成本和达到有效管理的起到了积极的推动作用。另一方面伴随着全球信息化和网络化进程的发展，与此相关的信息安全问题也日趋严 重。 由于我国中小企业规模小、经济实力不足以及中小企业的领导者缺乏信息安全领域知识和意识，导致中小企业的信息安全面临着较大的风险，我国中企业信息化进程已经步入普及阶段，解决我国中小企业的信息安全问题已经不容缓。 通过制定和实施企业信息安全管理体系能够规范企业员工的行为，保证各种技术手段的有效实施，从整体上统筹安排各种软硬件，保证信息安全体系同工作的高效、有序和经济性。信息安全管理体系不仅可以在信息安全事故生后能够及时采取有效的措施，防止信息安全事故带来巨大的损失，而更重的是信息安全管理体系能够预防和避免大多数的信息安全事件的发生。 信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平的过程。企业的信息安全管理不是一劳永逸的，由 新的威胁不断出现，信息安全管理是一个相对的、动态的过程，企业能做到的 就是要不断改进自身的信息安全状态，将信息安全风险控制在企业可接受的围之内，获得企业现有条件下和资源能力范围内最大程度的安全。 在信息安全管理领域，三分技术，七分管理”的理念已经被广泛接受。结合 ISO/IEC27001信息安全管理体系，提出一个适合我国中小企业的信息安全管理的模型，用以指导我国中小企业的信息安全实践并不断提高中小企业的安全管 理能力。 IS027001信息安全管理体系框架建立 ISO27001信息安全管理体系框架的搭建必须按照适当的程序来进行（如下

ISMS手册信息安全管理体系手册

ISMS 手册-信息安全管理体系手册7 信息安全管理IT 服务管理体系手册 发布令 本公司按照ISO20000:2005 《信息技术服务管理—规范》和ISO27001 ：2005 《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT 服务管理体系手册》，建立与本公司业务相一致的信息安全与IT 服务管理体系， 现予以颁布实施。 本手册是公司法规性文件，用于贯彻公司信息安全管理方针和目标，贯彻IT 服务管理理念方针和服务目标。为实现信息安全管理与IT 服务管理，开展持续改进 服务质量，不断提高客户满意度活动，加强信息安全建设的纲领性文件和行动准 则。是全体员工必须遵守的原则性规范。体现公司对社会的承诺，通过有效的PDCA 活动向顾客提供满足要求的信息安全管理和IT 服务。 本手册符合有关信息安全法律法规要求以及ISO20000:2005 《信息技术服务 管理—规范》、ISO27001 ：2005 《信息安全管理体系要求》和公司实际情况。为能更好的贯彻公司管理层在信息安全与IT 服务管理方面的策略和方针，根据 ISO20000:2005 《信息技术服务管理—规范》和ISO27001 ：2005 《信息安全管理体系要求》的要求任命XXXXX 为管理者代表，作为本公司组织和实施“信息安全管理与IT 服务管理体系”的负责人。直接向公司管理层报告。 全体员工必须严格按照《信息安全管理&IT 服务管理体系手册》要求，自觉遵守本手册各项要求，努力实现公司的信息安全与IT 服务的方针和目标。 管理者代表职责：

a）建立服务管理计划； b）向组织传达满足服务管理目标和持续改进的重要性； e）确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源，如招聘合适的人员，管理人员的更新； 1．确保按照ISO207001:2005 标准的要求，进行资产识别和风险评估，全面建立、实施和保持信息安全管理体系；按照ISO/IEC20000 《信息技术服务管理－规范》的要求，组织相关资源，建立、实施和保持IT 服务管理体系，不断改进IT 服务管理体系，确保其有效性、适宜性和符合性。 2．负责与信息安全管理体系有关的协调和联络工作；向公司管理层报告 IT 服务管理体系的业绩，如：服务方针和服务目标的业绩、客户满意度状况、各项服务活动及改进的要求和结果等。 3．确保在整个组织内提高信息安全风险的意识； 4．审核风险评估报告、风险处理计划； 5．批准发布程序文件； 6．主持信息安全管理体系内部审核，任命审核组长，批准内审工作报告； 向最高管理者报告信息安全管理体系的业绩和改进要求，包括信息安全管理体系运行情况、内外部审核情况。 7．推动公司各部门领导，积极组织全体员工，通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知程度，以及为达到公司服 务管理目标所应做出的贡献。 总经理：

信息安全管理体系认证合同范本

信息安全管理体系认证合同 1 甲方： 乙方：中国电子技术标准化研究所体系认证中心 2 容和围 乙方根据甲方的申请，通过对甲方信息安全管理体系的审核，确认甲方的信息安全管理体系是否符合所选定的标准，从而决定是否批准甲方获得或保持注册资格。 2.1 认证所依据的信息安全管理体系标准：ISO/IEC27001或等同采用的标准文件 2.2.1 甲方信息安全管理体系覆盖的产品类别、过程及主要活动： 2.2.2 删减说明： 2.3 甲方信息安全管理体系所覆盖的地点(含安装、维修/服务、活动地点)： 注：如多现场可另页详细描述 2.4 审核时间安排 初访/预审时间计划于年月进行，现场审核时间计划于年月进行，最终审核时间由双方具体商定。 2.5 认证证书有效期为三年，甲方获得认证注册资格后，在有效期，乙方对初次通过认证的甲方共进行四次监督审核。前两次的监督审核在获证后每半年进行一次，以后的监督审核为每年一次。对复评后的甲方每年进行一次监督审核。如有特殊情况，将酌情增加监督审核频次。证书有效期满前三个月向乙方提出申请进行复评。

3 费用 3.1审核费用： □申请费1000元 □注册费1000元 □证书费1000元 □年金2000元 □审核费： 3.2 初访/预审费用￥元（整）。 3.3 证书副本费用：中文副本元（50元/）；英文副本，元（50元/）； 加印分、子证书套元（3000元/套）。 3.4 以上费用共计：￥（整）。 上述3.1和3.2费用自合同生效之日起10日先交纳30%，其余费用在现场审核后15日一次付清。3.5 监督审核费（在组织体系不发生重大变化的情况下）包括： □监督审核费（每次）￥元□年金（每年）2000元 监督审核费在每次审核前支付。 3.6 乙方派出审核人员的食、宿、交通等费用按实际支出由甲方负担。 3.7 因甲方自身原因（不符合标准要求，严重不符合等）而导致的不能注册时，由甲方支付乙方现场审核实际发生的费用。 4 甲方的权利和义务 4.1 甲方的权利 4.1.1 甲方对乙方的现场审核、审核结论、审核人员的行为、审核的公正性及泄露甲方、认证证书的暂停、注销和撤销等有权向乙方提出申诉/投诉，如对处理结果持有异议，可向乙方的管理委员会直至中国合格评定国家认可委员会（CNAS）提出申诉/投诉。 4.1.2 通过认证后，甲方享有按规定正确使用其管理体系认证证书和标志以及正确对外广告宣传其获得管理体系认证注册资格的权利。 4.2 甲方的义务 4.2.1 甲方在认证审核之前管理体系至少已运行三个月。

新版管理体系审核员注册准则2015

新版管理体系审核员注册准则发布 2015-03-09中国认证认可中国认证认可 CCAA-CCAA订阅号——认证认可领域，综合信息发布平台。 中国认证认可协会 管理体系审核员注册准则 第1版 文件编号：CCAA-101 发布日期：2015年3月6日 实施日期：2015年3月20日 ?版权2015-中国认证认可协会

CCAA管理体系审核员注册准则 类别 本准则为中国认证认可协会（CCAA）认证人员注册规范类文件。 本准则规定了中国认证认可协会管理体系审核员注册遵循的原则。 本准则经国家认证认可监督管理委员会（CNCA）备案，中国认证认可协会批准发布实施。 批准 编制：CCAA 日期：2015年1月15日 批准：CCAA 日期：2015年3月6日 实施：CCAA 日期：2015年3月20日 信息 所有CCAA认证人员注册规范类文件都用中文发布。标有最近发布日期的中文版CCAA文件是有效的版本。CCAA将在网站公布所有相关注册准则的最新版本。 关于CCAA管理体系审核员注册的更多信息，请与CCAA人员注册部联系。 地址：北京市朝阳区朝外大街甲10号中认大厦 邮编：100020 网址：https://www.docsj.com/doc/082578565.html, E-mail：pcc@https://www.docsj.com/doc/082578565.html, 版权 ?版权2015-中国认证认可协会

目次前言 第一章总则 1.1 引言 1.2 适用范围 1.3引用文件 1.4术语与定义 1.5 注册级别 第二章注册要求 2.1总则 2.2 申请要求 2.3 申请人资格经历要求 2.4 个人素质和审核原则要求2.5 知识和技能要求 2.6考核要求 2.7审核员行为规范要求 2.8年度确认要求 2.9 再注册要求 2.10见证与担保 2.11 机构推荐第三章注册决定与申诉、投诉处理 3.1 注册决定 3.2 注册公告及注册证书 3.3注册时限 3.4注册收费 3.5申诉 3.6投诉 第四章监督与资格处置 4.1 推荐机构对认证人员管理要求 4.2 监督 4.3 资格处置 附录A A.1质量管理体系审核员特定要求 A.2环境管理体系审核员特定要求 A.3职业健康安全管理体系审核员特定要求A.4食品安全管理体系审核员特定要求 A.5危害分析与关键控制点（HACCP）体系审核员特定要求 A.6信息安全管理体系审核员特定要求 A.7信息技术服务管理体系审核员特定要求

ISO27001信息安全管理体系标准中文版

ISO标准——IEC 27001:2005 信息安全管理体系—— 规范与使用指南 Reference number ISO/IEC 27001:2005(E)

0简介 0.1总则 本国际标准的目的是提供建立、实施、运作、监控、评审、维护和改进信息安全管理体系（ISMS）的模型。采用ISMS应是一个组织的战略决定。组织ISMS的设计和实施受业务需求和目标、安全需求、应用的过程及组织的规模、结构的影响。上述因素和他们的支持系统预计会随事件而变化。希望根据组织的需要去扩充ISMS的实施，如，简单的环境是用简单的ISMS解决方案。 本国际标准可以用于内部、外部评估其符合性。 0.2过程方法 本国际标准鼓励采用过程的方法建立、实施、运作、监控、评审、维护和改进一个组织的ISMS的有效性。 一个组织必须识别和管理许多活动使其有效地运行。通过利用资源和管理，将输入转换为输出的活动，可以被认为是一个过程。通常，一个过程的输出直接形成了下一个过程的输入。 组织内过程体系的应用，连同这些过程的识别和相互作用及管理，可以称之这“过程的方法”。 在本国际标准中，信息安全管理的过程方法鼓励用户强调以下方面的重要性： a)了解组织信息安全需求和建立信息安 全策略和目标的需求； b)在组织的整体业务风险框架下，通过 实施及运作控制措施管理组织的信息 安全风险； c)监控和评审ISMS的执行和有效性； d)基于客观测量的持续改进。 本国际标准采用了“计划-实施-检查-改进”（PDCA）模型去构架全部ISMS流程。图1显示ISMS如何输入相关方的信息安全需求和期望，经过必要的处理，产生满足需求和期望的产品信息安全输出，图1阐明与条款4、5、6、7、8相关。 采用PDCA模型将影响OECD《信息系统和网络的安全治理》（2002）中陈述的原则，0 Introduction 0.1 General This International Standard has been prepared to provide a model for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an Information Security Management System (ISMS). The adoption of an ISMS should be a strategic decision for an organization. The design and implementation of an organization’s ISMS is influenced by their needs and objectives, security requirements, the processes employed and the size and structure of the organization. These and their supporting systems are expected to change over time. It is expected that an ISMS implementation will be scaled in accordance with the needs of the organization, e.g. a simple situation requires a simple ISMS solution. This International Standard can be used in order to assess conformance by interested internal and external parties. 0.2 Process approach This International Standard adopts a process approach for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an organization's ISMS. An organization needs to identify and manage many activities in order to function effectively. Any activity using resources and managed in order to enable the transformation of inputs into outputs can be considered to be a process. Often the output from one process directly forms the input to the next process. The application of a system of processes within an organization, together with the identification and interactions of these processes, and their management, can be referred to as a “process approach”. The process approach for information security management presented in this International Standard encourages its users to emphasize the importance of: a) understanding an organization’s information security requirements and the need to establish policy and objectives for information security; b) implementing and operating controls to manage an organization's information security risks in the context of the organization’s overall business risks; c) monitoring and reviewing the performance and effectiveness of the ISMS; and d) continual improvement based on objective measurement. This International Standard adopts the "Plan-Do-Check-Act" (PDCA) model, which is applied to structure all ISMS processes. Figure 1 illustrates how an ISMS takes as input the information security requirements and expectations of the interested parties and through the necessary actions and processes produces information security outcomes that meets those requirements and expectations. Figure 1 also illustrates the links in the processes presented in Clauses 4, 5, 6, 7 and 8. The adoption of the PDCA model will also reflect the principles as set out in the

管理体系审核员注册准则

管理体系审核员注册准则 第1版 文件编号：CCAA-101 发布日期：2015年3月6日???????? 实施日期：2015年3月20日 ©版权2015-中国认证认可协会 CCAA管理体系审核员注册准则 类别 本准则为中国认证认可协会（CCAA）认证人员注册规范类文件。 本准则规定了中国认证认可协会管理体系审核员注册遵循的原则。 本准则经国家认证认可监督管理委员会（CNCA）备案，中国认证认可协会批准发布实施。 批准 编制：CCAA??日期：2015年1月15日 批准：CCAA??日期：2015年3月6日 实施：CCAA??日期：2015年3月20日 信息 所有CCAA认证人员注册规范类文件都用中文发布。标有最近发布日期的中文版CCAA文件是有效的版本。CCAA将在网站公布所有相关注册准则的最新版本。 关于CCAA管理体系审核员注册的更多信息，请与CCAA人员注册部联系。 地址：北京市朝阳区朝外大街甲10号中认大厦 邮编：100020

网址： E-mail： 版权 ©版权2015-中国认证认可协会 目次 [url=]前言...?3[/url] [url=]第一章总则...?4[/url] [url=]1.1?引言...?4[/url] [url=]1.2?适用范围...?4[/url] [url=]1.3引用文件...?5[/url] [url=]1.4术语与定义...?5[/url] [url=]1.5?注册级别...?6[/url] [url=]第二章注册要求...?7[/url] [url=]2.1总则...?7[/url] [url=]2.2?申请要求...?7[/url] [url=]2.3?申请人资格经历要求...?7[/url] [url=]2.4?个人素质和审核原则要求...?9[/url] [url=]2.5?知识和技能要求...?10[/url] [url=]2.6考核要求...?10[/url] [url=]2.7审核员行为规范要求...?11[/url] [url=]2.8年度确认要求...?11[/url] [url=]2.9?再注册要求...?12[/url] [url=]2.10见证与担保...?12[/url] [url=]2.11?机构推荐...?13[/url]

信息安全系统管理系统要求规范

信息安全管理规范公司

版本信息 当前版本: 最新更新日期: 最新更新作者: 作者: 创建日期: 审批人: 审批日期: 修订历史 版本号更新日期修订作者主要修订摘要

Table of Contents（目录） 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级（保密级别）规定 (7) 1.6现行保密级别与原有保密级别对照表 (7) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (9) 1.10信息资产处理和保护要求对应表 (9) 1.11口令使用策略 (11) 1.12桌面、屏幕清空策略 (11) 1.13远程工作安全策略 (12) 1.14移动办公策略 (12) 1.15介质的申请、使用、挂失、报废要求 (13) 1.16信息安全事件管理流程 (14) 1.17电子邮件安全使用规范 (16) 1.18设备报废信息安全要求 (17) 1.19用户注册与权限管理策略 (17) 1.20用户口令管理 (18) 1.21终端网络接入准则 (18) 1.22终端使用安全准则 (18) 1.23出口防火墙的日常管理规定 (19) 1.24局域网的日常管理规定 (19) 1.25集线器、交换机、无线AP的日常管理规定 (19) 1.26网络专线的日常管理规定 (20) 1.27信息安全惩戒 (20) 2. 信息安全知识 (21) 2.1什么是信息？ (21) 2.2什么是信息安全？ (21)

信息安全管理制度汇编98250

内部资料 注意保存 XXXXXXXXXX 信息安全制度汇编 XXXXXXXXXX 二〇一六年一月

目录 一、总则 (6) 二、安全管理制度 (7) 第一章管理制度 (7) 1.安全组织结构 (7) 1.1信息安全领导小组职责 (7) 1.2 信息安全工作组职责 (8) 1.3信息安全岗位 (9) 2.安全管理制度 (11) 2.1安全管理制度体系 (11) 2.2安全方针和主策略 (12) 2.3安全管理制度和规范 (12) 2.4安全流程和操作规程 (14) 2.5安全记录单 (14) 第二章制定和发布 (15) 第三章评审和修订 (16) 三、安全管理机构 (17) 第一章岗位设置 (17) 1.组织机构 (17) 2.关键岗位 (19) 第二章人员配备 (21) 第三章授权和审批 (23) 第四章沟通和合作 (25) 第五章审核和检查 (27) 四、人员安全管理 (29) 第一章人员录用 (29) 1.组织编制 (29) 2.招聘原则 (29) 3.招聘时机 (29) 4.录用人员基本要求 (30) 5.招聘人员岗位要求 (30) 6.招聘种类 (30) 6.1 外招 (30) 6.2 内招 (31) 7.招聘程序 (31) 7.1 人事需求申请 (31) 7.2 甄选 (31) 7.3 录用 (33)

第二章保密协议 (34) 第三章人员离岗 (36) 第三章人员考核 (38) 1．制定安全管理目标 (38) 2.目标考核 (39) 3.奖惩措施 (39) 第四章安全意识教育和培训 (40) 1.安全教育培训制度 (40) 第一章总则 (40) 第二章安全教育的含义和方式 (40) 第三章安全教育制度实施 (40) 第四章三级安全教育及其他教育内容 (42) 第五章附则 (44) 第五章外部人员访问管理制度 (45) 1.总则 (45) 2.来访登记控制 (45) 3.进出门禁系统控制 (46) 4.携带物品控制 (47) 五、系统建设管理 (48) 第一章安全方案设计 (48) 1.概述 (48) 2．设计要求和分析 (49) 2.1安全计算环境设计 (49) 2.2安全区域边界设计 (50) 2.3安全通信网络设计 (51) 2.4安全管理中心设计 (51) 3．针对本单位的具体实践 (52) 3.1安全计算环境建设 (52) 3.2安全区域边界建设 (53) 3.3安全通信网络建设 (53) 3.4安全管理中心建设 (54) 3.5安全管理规范制定 (55) 3.6系统整体分析 (55) 第二章产品采购和使用 (56) 第三章自行软件开发 (59) 1.申报 (59) 2.安全性论证和审批 (59) 3.复议 (59)

如何建立信息安全管理体系.doc

如何建立信息安全管理体系1 如何建立信息安全管理体系 信息安全管理体系ISMS（Information Securitry Management Systems）是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。它基于业务风险方法，用来建立、实施、运行、监视、评审、保持和改进组织的信息安全系统，其目的是保障组织的信息安全。它是直接管理活动的结果，表示成方针、原则、目标、方法、过程、检查表等要素的集合，涉及到人、程序和技术。 建立健全信息安全管理体系对组织的安全管理工作和组织的发展意义重大。参照信息安全管理模型，按照先进的信息安全管理标准建立的全面规划、明确目的、正确部署的、组织完整的信息安全管理体系，达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式，实现用最低的成本，保障信息安全合理水平，从而保证业务的有效性与连续性。组织建立、实施与保持信息安全管理体系的好处主要有下几点： 1.引入信息安全管理体系就可以协调各个方面信息管理，从而使管理更为有效。 2.可以增进组织间电子商务往来的信用度，能够建立起网站和贸易伙伴之间的互相信任，为广大用户和服务提供商提供一个基础的设备管理。同时，把组织的干扰因素降到最小，创造更大收益。 3.通过认证能保证和证明组织所有的部门对信息安全的承

诺。 4.通过认证可改善全体的业绩、消除不信任感。 5.获得国际认可的机构的认证证书，可得到国际上的承认，拓展您的业务。 6.建立信息安全管理体系能降低这种风险，通过第三方的认证能增强投资者及其他利益相关方的投资信心。信息安全管理体系是一个系统化、程序化和文件化的管理体系，属于风险管理的范畴，体系的建立需要基于系统、全面和科学的风险评估。ISMS 体现预防为主的思想，强调遵守国家有关信息安全的法律法规，强调全过程和动态控制，本着控制成本与风险平衡的原则，合理选择安全控制方式保护组织所拥有的关键信息资产，确保信息的保密性、完整性和可用性，从而保持组织的竞争优势和业务运作的持续性。 构建信息安全管理体系不是一蹴而就的，欲速则不达，每家组织都是不同的，不同的组织在建立与完善信息安全管理体系时，可根据自己的特点和具体情况，采取不同的步骤和方法。但总体来说，建立信息安全管理体系一般要经过以下几个主要步骤： 1、信息安全管理体系策划和准备 策划和准备阶段主要是做好建立信息安全管理体系的各种前期工作。内容包括教育培训、拟定计划、安全管理发展情况调研，以及相关资源的配置与管理。 2、确定信息安全管理体系适用的范围

管理体系审核员注册准则

中国认证认可协会 管理体系审核员注册准则 文件编号：CCAA-101-1 发布日期：2015年3月6日 实施日期：2015年3月20日 ?版权2015-中国认证认可协会

管理体系审核员注册准则 类别 本准则为中国认证认可协会（CCAA）认证人员注册规范类文件。 本准则规定了中国认证认可协会管理体系审核员注册遵循的原则。 本准则经国家认证认可监督管理委员会（CNCA）备案，中国认证认可协会批准发布实施。 批准 编制：CCAA 日期：2015年1月15日 批准：CCAA 日期：2015年3月6日 实施：CCAA 日期：2015年3月20日 第1次修订 日期：2015年11月9日 信息 所有CCAA认证人员注册规范类文件都用中文发布。标有最近发布日期的中文版CCAA文件是有效的版本。CCAA将在网站公布所有相关注册准则的最新版本。 关于CCAA管理体系审核员注册的更多信息，请与CCAA人员注册部联系。 地址：北京市朝阳区朝外大街甲10号中认大厦 邮编：100020 网址：https://www.docsj.com/doc/082578565.html, 邮箱：pcc@https://www.docsj.com/doc/082578565.html, 版权 ?版权2015-中国认证认可协会

目次 前言 (4) 第一章 总则 (5) 1.1 引言 (5) 1.2 适用范围 (5) 1.3引用文件 (6) 1.4术语与定义 (6) 1.5注册级别 (7) 第二章 注册要求 (8) 2.1总则 (8) 2.2申请要求 (8) 2.3申请人资格经历要求 (8) 2.4个人素质和审核原则要求 (10) 2.5知识和技能要求 (11) 2.6考核要求 (11) 2.7审核员行为规范要求 (11) 2.8年度确认要求 (12) 2.9再注册要求 (12) 2.10担保要求 (13) 2.11 机构推荐 (13) 第三章 注册决定与申诉、投诉处理 (13) 3.1 注册决定 (13) 3.2 注册公告及注册证书 (14) 3.3注册时限 (14) 3.4注册收费 (14) 3.5申诉 (14) 3.6投诉 (15) 第四章 监督与资格处置 (15) 4.1 推荐机构认证人员管理要求 (15) 4.2 监督 (15) 4.3 资格处置 (16) 附录A管理体系审核员特定要求 (17) A.1质量管理体系审核员特定要求 (17) A.2环境管理体系审核员特定要求 (20) A.3职业健康安全管理体系审核员特定要求 (23) A.4食品安全管理体系审核员特定要求 (26) A.5危害分析与关键控制点（HACCP）体系审核员特定要求 (30) A.6信息安全管理体系审核员特定要求 (33) A.7信息技术服务管理体系审核员特定要求 (36) A.8能源管理体系审核员特定要求 (39) A.9森林认证审核员特定要求 (44)

ISO 270001 信息安全管理体系标准业务

一、信息安全管理体系标准业务介绍 1、背景介绍 信息作为组织的重要资产，需要得到妥善保护。但随着信息技术的高速发展，特别是Internet的问世及网上交易的启用，许多信息安全的问题也纷纷出现：系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。安全问题所带来的损失远大于交易的帐面损失，它可分为三类，包括直接损失、间接损失和法律损失： ·直接损失：丢失订单，减少直接收入，损失生产率； ·间接损失：恢复成本，竞争力受损，品牌、声誉受损，负面的公众影响，失去未来的业务机会，影响股票市值或政治声誉； ·法律损失：法律、法规的制裁，带来相关联的诉讼或追索等。 所以，在享用现代信息系统带来的快捷、方便的同时，如何充分防范信息的损坏和泄露，已成为当前企业迫切需要解决的问题。 俗话说“三分技术七分管理”。目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足，缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位，如系统的运行、维护、开发等岗位不清，职责不分，存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以，我们需要一个系统的、整体规划的信息安全管理体系，从预防控制的角度出发，保障组织的信息系统与业务之安全与正常运作。

2、标准发展 目前，在信息安全管理体系方面，ISO27001:2005――信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。标准适用于各种性质、各种规模的组织，如政府、银行、电讯、研究机构、外包服务企业、软件服务企业等。 2008年6月，ISO27001同等转换成国内标准GB/T22080-2008，并在2008年11月1日正式实施。 经过多年的发展，信息安全管理体系国际标准已经出版了一系列的标准，其中ISO/IEC27001是可用于认证的标准，其他标准可为实施信息安全管理的组织提供实施的指南。目前各标准的现行状态如下表1： 表1 ISO27000标准族现行状态

信息安全管理体系认证的基本知识(通用版)

信息安全管理体系认证的基本 知识(通用版) Enterprises should establish and improve various safety production rules and regulations in accordance with national safety production laws and regulations. ( 安全管理 ) 单位：______________________ 姓名：______________________ 日期：______________________ 编号：AQ-SN-0261

信息安全管理体系认证的基本知识(通用 版) 一、ISO27001认证的概况 ISO27001认证，即“信息安全管理体系”，是标准的IT类企业专项的认证。ISO27001是在世界上公认解决信息安全的有效方法之一。由1998年英国发起的信息安全管理体系制定信息安全管理方针和策略，采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。企业通过了ISO27001认证，即表示企业的信息安全管理已建立了一套科学有效的管理体系作为保障。 信息安全管理体系的建立和健全，目的就是降低信息风险对经营带来的危害，并将其投资和商业利益最大化。 二、ISO27001认证适用范围

信息安全对每个企业或组织来说都是需要的，所以信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看，较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业。 三、ISO27001认证证书的有效期 ISO27001信息安全管理体系的认证证书有效期是三年。 期间每年要接受发证机构的监督审核（也称为：年检或年审），三年证书到期后，要接受认证机构的再认证（也称为复评或换证）。 四、信息安全管理体系认证的作用 1.符合法律法规要求 证书的获得，可以向权威机构表明，组织遵守了所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识产权、商业秘密等。 2.维护企业的声誉、品牌和客户信任 证书的获得，可以强化员工的信息安全意识，规范组织信息安全行为，减少人为原因造成的不必要的损失。