信息安全管理体系审核指南

发布 中华人民共和国国家质量监督检验检疫总局 中 国 国 家 标 准 化 管 理 委 员 会 ××××-××-××实施 ××××-××-××发布 信息安全管理体系审核指南 Guidelines for Information Security Management Systems Auditing （征求稿） GB/T ××××—×××× 中华人民共和国国家标准 ICS 35，040 L 80 目    次 前    言 本标准由全国信息安全标准化技术委员会提出并归口； 本标准起草单位： 本标准主要起草人：。 引    言 GB/T22080-2008/ISO/IEC 27001:2005是基于过程的。标准的4 - 8章规定了一组ISMS过程。过程可有简单过程和复杂过程。复杂过程又可包含许多较为简单的过程。例如，GB/T22080-2008/ISO/IEC 27001:2005标准的5-8章：“管理职责”、“内部ISMS审核”、“ISMS的管理评审”和“ISMS改进”，可以看作构成ISMS管理体系的相互关系的４大主要过程。而每一个大过程又包含许多较小的过程。GB/T22080-2008/ISO/IEC 27001:2005标准建议:组织使用PDCA模型，构建ISMS过程。这意味着，每一个过程都应有P(即),D(即实施、运行与维护)，C(即监视、审核和评审)和A(即保持和改进)阶段。本指南旨在为信息安全管理体系(简称ISMS)审核员 (包括内部审核员和外部审核员)执行ISMS审核提供指南，以确保ISMS审核： ● 既能符合GB/T 22080-2008/ISO/IEC 27001:2005标准的要求，又能与GB/T19011 -2003/ISO 19011：2002和ISO/IEC 27006标准保持一致； ● 成为帮助受审核的组织完成其目标、改进其工作的一个增值活动。 本标准为审核管理、内部和外部ISMS 审核的实施以及审核员的能力评价提供了指南。本标准旨在适用于广泛的潜在使用者，包括审核员、实施ISMS 的组织，因合同原因需要对ISMS 实施审核的组织以及合格评定领域中与审核员注册或培训、管理体系认证注册、认可或标准化有关组织。 本标准旨在提供能够灵活运用的指南。如标准中多处所述，这些指南的使用可根据受审核方的规模、性质以及实施审核的目的和范围的不同而不同。本标准方框中的内容以实用帮助方式，针对特定的问题提供了补充指南或示例。在某些情况下，这些内容旨在为小型组织使用本标准提供支持。 第4章描述了审核的原则，这些原则帮助使用者认识审核的基本性质，是第5，6，7 章所必要的序言。 第5章提供了管理审核方案的指南，覆盖了诸如为审核方案的管理分配职责、建立审核方案目的、协调审核活动和提供充分审核组所需资源等内容。  第6章提供了ISMS审核的指南，包括审核组的选择。 第7章提供了审核员所需能力的指南，描述了评价审核员的过程。 附录还提供了基于业务流程审核的指南和针对27001具体条款的审核指南。 当ISMS 与其他管理体系一起实施时，由本标准使用者决定这些管理体系审核是分别进行还是一起进行。 本标准仅提供指南，但使用者可以应用该指南制定自己与审核有关的要求。 此外，在监视与要求（如产品或法律法规）的符合性方面感兴趣的任何其他个人或组织，可以发现本标准中的指南是有用的。 信息安全管理体系审核指南 1.范围 本标准为审核原则、审核方案管理、信息安全管理体系（ISMS）审核的实施提供了指南，也对审核员的能力提供了指南。 本标准适用于需要实施信息安全管理体系内部审核和外部审核或需要管理审核的所有组织。 2. 规范性引用文件 下列参考文件对于本文件的应用是必不可少的，其中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，只有引用的版本适用于本标准；凡是不注日期的引用文件，其最新版本（包括任何修改）适用于本标准。 GB/T 22080-2008/ISO/IEC 27001:2005, 信息技术 — 安全技术 — 信息安全管理体系要求 GB/T 22081-2008/ISO/IEC 27002:2005, 信息技术 — 安全技术 — 信息安全管理实用规则 ISO/IEC 27006:2005, 信息技术 — 安全技术 — 信息安全管理体系审核认证机构要求 GB/T 27021-2007/ISO/IEC 17021:2005， 合格评定—管理体系审核认证机构的要求 GB/T 19000-2005/ISO 9000：2005  质量管理体系  基础和术语 GB/T 19011-2003/ISO 19011:2002质量和（或）环境管理体系审核指南 3. 术语和定义 本标准接受包括GB/T 19000-2000/ISO9000；GB/T 19011-2003/ ISO 19011:2002、GB/T  22080-2008/ ISO/IEC 27001:2005和GB/T 22081-2008/ ISO/IEC 27002:2005标准的相关术语和定义。 4. 审核原则 4.1  审核原则 直接采用GB/T 19011-2003/ISO19011：2002的第4章。 5.审核方案的管理 5.1  总则 在采用GB/T 19011-2003/ISO19011:2002的第5章5.1的基础上，补充如下。    审核方案的权限 (5.1)   审核方案的制定 （5.2 5.3） ——目标和内容 策划 ——职责 ——资源 ——程序   审核员能力和 评价（7） 审核活动（6） 审核方案的改进 (5.6) 审核方案的实施 处置 （5.4， 5.5） ——安排审核日程 实施 ——评价审核员 ——选择审核组 ——指导审核活动 ——保持   审核方案的监视和评审 （5.6） ——监视和评审 ——识别纠正和预防措施的需求 ——识别改进的机会   图1—审核方案管理流程示图 注1：图1说明了策划—实施—检查—处置（PDCA）方法在本条准的应用。 注2：图中及下文图表中的数字指的是本标准的相关条款。 实用帮助——审核方案的示例 审核方案的例子包括： a）  覆盖组织信息安全管理管理体系的当年的一系列的内部审核; b）在六个月内对存在信息安全高风险的潜在供方的信息安全管理管理体系进行的第二方审核。 c)  在认证机构和委托方之间合同规定的时间周期内，由第三方认证/注册机构对组织的信息安全管理体系进行的认证/注册和监督审核。 审核方案还包括为实施审核方案中的审核进行适当的策划、提供资源和制定程序。 5.1.1  IS 5.1  总则 针对信息安全管理体系的审核需要考虑组织的基于业务的信息安全风险和该类组织的审核风险级别（参见附件：业务范围风险级别表）。 5.2  审核方案的目的和内容 5.2.1  审核方案的目的 在采用GB/T 19011-2003/ISO19011:2002的第5章5.2.1的基础上，补充如下。 5.2.1.1  IS 5.2.1  审核方案的目的 针对信息安全管理体系审核方案的目的还需要特别考虑： a）  信息安全的要求； (a）  来自组织业务风险评估结果的要求； (b）  来自法律法规和合同的要求； (c)  来自新技术、新措施的应用的要求； b） 信息安全测量； c）  信息安全的监视与评审； d）  以往的审核结果； e）  组织的确定的方针、策略和过程。 5.2.2  审核方案的内容 在采用GB/T 19011-2003/ISO19011:2002的第5章5.2.2的基础上，补充如下。 5.2.2.1  IS 5.2.2  审核方案的内容 针对信息安全管理体系审核方案的内容还需要特别考虑： a）  信息安全风险管理的要求； (a）  风险处理的优先秩序； (b）  风险的潜在原因； b） 信息安全相关法律、法规的特殊要求； (a）  密码管理的要求； (b）  保密管理的要求； (c)  等级保护的要求； (d)  知识产权保护的要求； (e)  行业管理的特殊要求。 c） 组织信息安全管理体系认证的风险级别。 5.3  审核方案的职责、资源和程序 5.3.1  审核方案的职责 在采用GB/T 19011-2003/ISO19011:2002的第5章5.3.1的基础上，补充如下。 5.3.1.1  IS 5.3.1  审核方案的职责 针对信息安全管理体系审核方案的职责还需要特别考虑管理审核方案人员应具有必要的信息安全相关知识，特别是对信息安全风险管理有深入了解。 a） 考虑组织的业务连续性要求； b） 注意组织对保密方面的要求； 5.3.2  审核方案的资源 在采用GB/T 19011-2003/ISO19011:2002的第5章5.3.2的基础上，补充如下。 5.3.2.1  IS 5.3.2  审核方案的资源 针对信息安全管理体系审核方案的资源还需要特别考虑审核人员应具有必要的信息安全相关知识，特别是对信息安全风险管理有深入了解，即审核员可以信任审核专家工作。 a） 必要的信息安全审核专用工具的准备； b） 被审核组织的信息安全要求带来的相关对审核人员能力要求； 5.3.3  审核方案的程序 在采用GB/T 19011-2003/ISO19011:2002的第5章5.3.3的基础上，补充如下。 5.3.3.1  IS 5.3.3  审核方案的程序 针对信息安全管理体系审核方案的程序还需要特别考虑审核员和审核组长应具有必要的信息安全相关知识，特别是对信息安全风险管理有深入了解。 a） 审核组成员的选择需要充分考虑其专业领域的背景情况； b） 实施审核要充分注意被审核方的业务特性； 5.4  审核方案的实施 在采用GB/T 19011-2003/ISO19011:2002的第5章5.4的基础上，补充如下。 5.4. 1  IS 5.4 审核方案的实施 针对信息安全管理体系审核方案的实施还需要特别考虑在审核方案的维护过程中应考虑信息安全风险评估的变化。 5.5  审核方案的记录 直接采用GB/T 19011-2003/ISO19011：2002的第5章的5.5节。 5.6  审核方案的监视和评审 直接采用GB/T 19011-2003/ISO19011：2002的第5章的5.6节。 6.  审核活动 6.1  总则 在采用GB/T 19011-2003/ISO19011:2002的第6章6.1的基础上，补充如下。 6.1.1  IS 6.1 总则 针对信息安全管理体系审核活动的总则还需要特别考虑被审核组织的业务流程和连续性要求。 6.2  审核的启动 6.2.1  指定审核组长 在采用GB/T 19011-2003/ISO19011:2002的第6章6.2.1的基础上，补充如下。 6.2.1.1  IS 6.2.1 指定审核组长 针对信息安全管理体系审核活动的中指定审核组长需要特别提出制定的审核组长需要有相应的能力，特别是对新的应用领域，其应该是该领域有经验的审核员。 6.2.2  确定审核目的、范围和准则 在采用GB/T 19011-2003/ISO19011:2002的第6章6.2.2的基础上，补充如下。 6.2.2.1  IS 6.2.2 确定审核目的、范围和准则 针对信息安全管理体系审核活动的中确定审核目的需要特别注意： a）  确定受审核方依据其适用性声明落实控制措施的有效性； b）  确定受审核方风险处理计划是否按计划完全落实。 针对信息安全管理体系审核活动的中确定审核范围需要特别注意： a)  确定物理范围时需要注意注册地址和经营地址不同，需要特别关注的地方有机房、电源放置处、监控室、测试室、开发场所等； b）  确定业务范围时需要注意申请范围应在经营许可范围之内，对于特许经营业务要确定是否有经营权； c)  一个组织部分申请信息安全管理体系认证的需要注意主营业务必须包含，人事保障、财务保障必须包含。 6.2.3  确定审核的可行性 直接采用GB/T 19011-2003/ISO19011：2002的第6章的6.2.3节。 6.2.4  选择审核组 直接采用GB/T 19011-2003/ISO19011：2002的第6章的6.2.4节。 6.2.5  下达审核任务 直接采用GB/T 19011-2003/ISO19011：2002的第6章的6.2.5节。 6.2.6  与受审核方的初始接触 直接采用GB/T 19011-2003/ISO19011：2002的第6章的6.2.6节。 6.3  文件评审 在采用GB/T 19011-2003/ISO19011:2002的第6章6.3的基础上，补充如下。 6.3. 1  IS 6.3.1 文件评审 针对信息安全管理体系审核活动的中的文件评审的需要特别注意： a）  文件体系的完整性； b）  风险评估程序与风险评估报告的一致性； c)  风险处理程序与风险处理计划的一致性； d)  适用性声明的完备性和合理性。 6.4  现场审核的准备 6.4.1  编制审核计划 在采用GB/T 19011-2003/ISO19011:2002的第6章6.4.1的基础上，补充如下。 6.4.1.1  IS 6.4.1 编制审核计划 针对信息安全管理体系审核活动的中编制审核计划需要特别注意： a）  使受审核方能够依据审核计划合理安排受审核工作； b）  编制审核计划应充分考虑组织的业务流程。 6.4.1.2  IS 6.4.2 审核组长研读审核方案 审核组长应当充分研读审核方案以了解整个审核的要求、计划和进程。 特别要注意： a) 人员派遣要求； b) 组织资源保障程度； c) 需要的技术与工具准备； d) 前期抽样情况，和本期抽样原则； e) 受审核方的业务性质和涉及的标准、法律法规资质的要求； f) 受审核方业务的复杂度分析； g) 本次审核的风险分析。 6.4.1.3  IS 6.4.3 审核组成员研读审核相关材料 审核组成员在实施审核前，应当充分了解受审核方的情况。 特别要注意： a) 受审核方的基本情况； b) 受审核方的主营业务； c) 受审核方的体系建设与运行情况； d) 前期审核的有关情况（如果有，特别是不符合和观察项）； e) 上次审核到本次审核组织的变化情况（如果有）； f) 需要的技术与工具准备； g) 组织的业务性质和涉及的标准、法律法规资质的要求。 6.4.2  审核组工作分配 在采用GB/T 19011-2003/ISO19011:2002的第6章6.4.2的基础上，补充如下。 6.4.2.1  IS 6.4.2审核组工作分配 针对信息安全管理体系审核活动的中审核组工作分配需要特别注意： a）  应以会议的形式分配工作可以更让审核组成员明确自己的责任； b）  应讨论作业指导书或检查表。 6.4.3  准备工作文件 直接采用GB/T 19011-2003/ISO19011：2002的第6章的6.4.3节。 6.5  现场审核的实施                                                                                                                                                                                                                                                                                                                                                                                                                                                                            6.5.1 举行首次会议                                                                                                                                                                                                                                                                                直接采用GB/T 19011-2003/ISO19011：2002的第6章的6.5.1节 实用帮助-首次会议注意事项 首次会议应该以局审核的类型和阶段不同而有所侧重，不要只是一种形式。 信息安全管理体系有如下典型的现场审核阶段： a) 初次认证第一阶段； b) 初次认证第二阶段； c) 监督审核； d) 飞行检查； e) 特殊审核； f) 再认证第一阶段； g) 再认证第二阶段。 通常首次会议组织的最高管理层、信息安全管理委员会或信息安全管理的主要部门成员、信息安全管理体系建设与工作的协调人员、内审员和审核员应该参加会议。 在许多情况下，例如小型组织中的内部审核，首次会议可简单地包括对即将实施的审核的沟通和对审核性质的解释。 对于其他审核情况，会议应当是正式的，并保存出席人员的记录。会议应当由审核组长主持。 适当时，首次会议应当包括以下内容： a）介绍与会者，包括概述其职责； b）确认审核目的，范围和准则； c）与受审核方确认审核日程以及相关的其他安排，例如：末次会议的日期和时间，审核组和受审核方管理层之间的中间会议以及任何新的变动。 d）实施审核所用的方法和程序，包括告知受审核方审核证据只是基于可获得的信息样本，因此，在审核中存在不确定因素。 e）确认审核组和受审核方之间的正式沟通渠道； f）确认审核所使用的语言； g）确认在审核中将及时向受审核方通报审核进展情况； h）确认已具备审核组所需的资源和设施； i）确认有关保密事宜； j）确认审核组工作时的安全事项、应急和安全程序； k）确认向导的安排、作用和身份； l）报告的方法，包括不符合的分级； m）有关审核可能被终止的条件的信息； n）对于审核的实施或结论的申诉系统的信息。   6.5.2 审核中的沟通 在采用GB/T 19011-2003/ISO19011:2002的第6章6.5.2的基础上，补充如下。 6.5.2.1  IS 6.5.2审核中的沟通 针对信息安全管理体系审核活动的中审核中的与受审核组织的沟通需要特别注意： a）  应依据审核计划的安排进行沟通； b）  应注意敏感信息的保密。 针对信息安全管理体系审核活动的中审核中审核组内部的沟通需要特别注意： a) 审核组内部在每个审核环节，通常为半天或一天，应进行有效沟通，以保证审核证据收集的完整性。 b) 审核组在准备末次会议前应进行充分沟通，形成一致意见。 c) 再末次会议前安排与相关部门负责人、管理者代表的沟通应充分。 d) 出现异常情况及时进行沟通。 6.5.3  向导和观察员的作用和职责 直接采用GB/T 19011-2003/ISO19011：2002的第6章的6.5.3节。 6.5.4 信息的收集和验证 在采用GB/T 19011-2003/ISO19011:2002的第6章6.5.4的基础上，补充如下。 6.5.4.1  IS 6. 5. 4信息的收集和验证 针对信息安全管理体系审核活动的中审核中的信息的收集和验证需要特别注意： a）  检查组织资产收集的完整性； b）  风险评估结果的准确性； c)  风险控制措施落实程度。 实用帮助-信息收集注意事项 信息源根据审核的范围和复杂程度而不同，在信息源选择上应注意抽样要求，特别对部门和关键岗位需要覆盖，通常可以可包括： a） 与员工及其他人员的面谈； b） 对活动、周围工作环境和条件的观察； c） 对信息系统及支撑环境的了解； a) 对业务的了解； b) 对风险评估的情况了解和分析； c) 对风险处理计划的验证； d) 对适用性声明的分析； e) 对控制措施验证； d） 文件，例如：方针、目标、计划、程序、标准、指导书、执照和许可证、规范、图样、合同和订单； e） 记录，例如：检验记录、会议纪要、审核报告、方案监视的记录和测量结果； f） 数据的汇总、分析和绩效指标； g） 受审核方抽样方案的信息，抽样和测量过程控制程序的信息； h) 其他方面的报告，例如：顾客反馈、来自外部和供方等级的相关信息； h） 计算机数据库和网站。 面谈是收集信息的一个重要手段，应当在条件许可并以适合于被面谈人的方式进行。但审核员应当考虑： a）面谈人员应当来自审核范围内实施活动或任务的适当的层次和职能； b）面谈应当在被面谈人正常工作时间和（可行时）正常工作地点进行； c）在面谈前和面谈过程中应当努力使被面谈人放松； d）应当解释面谈和作记录的原因； e）面谈可通过请对方描述其工作开始； f）应当避免提出有倾向性答案的问题（如引导性提问）； g）应当与对方总结和评审面谈的结果； h）应当感谢对方的参与和合作。   6.5.5 形成审核发现 在采用GB/T 19011-2003/ISO19011:2002的第6章6.5.5的基础上，补充如下。 6.5.5.1  IS 6.5.5形成审核发现 针对信息安全管理体系审核活动的中形成审核发现需要特别注意： a） 适用性声明的落实； b)  风险控制措施落实程度。 6.5.6  准备审核结论 直接采用GB/T 19011-2003/ISO19011：2002的第6章的6.5.6节。 6.5.7 举行末次会议 直接采用GB/T 19011-2003/ISO19011：2002的第6章的6.5.7节。 6.6  审核报告的编制、批准和分发 6.6.1  审核报告的编制 在采用GB/T 19011-2003/ISO19011:2002的第6章6.6.1的基础上，补充如下。 6.6.6.1  IS 6.6.1审核报告的编制 针对信息安全管理体系审核活动的中审核报告的编制需要特别注意： a） 适用性声明中控制措施删减的合理性； b) 组织定期对法律法规符合性评价的实施状况。 6.6.2  审核报告的批准和分发 直接采用GB/T 19011-2003/ISO19011：2002的第6章的6.6.2节。 6．7 审核的完成 直接采用GB/T 19011-2003/ISO19011：2002的第6章的6.7节。 6.8  审核后续活动的实施 直接采用GB/T 19011-2003/ISO19011：2002的第6章的6.8节。 7  审核员的能力与评价 7.1  总则 审核过程的信心和可信程度取决于进行审核的人员的能力。这种能力通过以下方面予以证实： ----具有7.2条款所述的个人素质； ----具有7.3条款所述的知识和技能的应用能力，这些知识和技能通过7.4条款所描述的教育、工作经历、审核员培训和审核经历获得。 图5描述了审核员能力的概念。7.3条款描述的知识和技能有一些是对管理体系审核员通用的，有一些是特别针对信息安全管理体系审核员的。 审核员通过持续的专业发展和不断地参加审核来获得、保持和提高其能力（见7.5）。 7.6条款描述了对审核员和审核组长的评价过程。 专业技术知识和技能(7.3.3，7.3.4) 通用的知识和技能（7.3.1，7.3.2） 图5：能力的概念 7.2 个人素质 审核员应当具备个人素质，使其能够按照第4章所描述的审核原则进行工作。 审核员应当： a） 有道德，即公正、可靠、忠诚、诚实和谨慎； b） 思想开明，即愿意考虑不同意见或观点；    c） 善于交往，即灵活地与人交往； d） 善于观察，即主动地认识周围环境和活动； e） 有感知力，即能本能地了解和理解环境； f） 适应能力强，即容易适应不同情况； g） 坚韧不拔，即对实现目标坚持不懈； h） 明断，即根据逻辑推理和分析及时得出结论； i） 自立，即在同其他人有效交往中独立工作并发挥作用。 7．3 知识和技能 7.3.1  审核员通用的知识和技能 审核员应当具有下列方面的知识和技能： a） 审核原则、程序和技术：使审核员能恰当地将其应用于不同的审核并保证审核实施的一致性和系统性。审核员应当能够： ----运用审核原则、程序和技术； ----对工作进行有效地策划和组织； ----按商定的时间表进行审核， ----优先关注重要问题； ----通过有效地面谈、倾听、观察和对文件、记录和数据的评审来收集信息； ----理解审核中运用抽样技术的适宜性和后果； ----验证所收集信息的准确性； ----确认审核证据的充分性和适宜性以支持审核发现和结论； ----评定影响审核发现和结论可靠性的因素； ----使用工作文件记录审核活动； ----编制审核报告； ----维护信息的保密性和安全性， ----通过个人的语言技能或通过翻译人员有效地沟通； b） 管理体系和引用文件：使审核员能理解审核范围并运用审核准则。这方面的知识和技能应当包括： ----管理体系在不同组织中的应用； ----管理体系各组成部分之间的相互作用； ----质量或环境管理体系标准、适用的程序或其它用做审核准则的管理体系文件； ----认识引用文件之间的区别及优先顺序； ----引用文件在不同审核情况下的应用； ----用于文件、数据和记录的授权、安全、发放、控制的信息系统和技术。 c） 组织状况：使审核员能理解组织的运作情况。这方面的知识和技能应当包括： ----组织的规模、结构、职能和关系， ----总体运营过程和相关术语， ----受审核方的文化和社会习俗。 d)  适用的法律、法规和相关领域的其他要求：使审核员能了解并在适用于受审核方的这些要求的范围内开展工作。这方面的知识和技能包括： ----国家的、区域的和地方的法律、法规和规章； ----合同和协议， ----国际条约和公约， ----组织遵守的其他要求。 7.3.2  审核组长的通用知识和技能 审核组组长还应当具有关于领导审核方面的知识和技能，以便审核能有效地和高效地进行。审核组长应当能够： ----对审核进行策划并在审核中有效地利用资源； ----代表审核组与审核委托方和受审核方进行沟通； ----组织和指导审核组成员； ----为实习审核员提供指导和指南； ----领导审核组得出审核结论； ----预防和解决冲突； ----编制和完成审核报告。 7.3.3  通用专业技术知识和技能 信息安全管理体系审核员应当具有下列知识和技能： a） 与IT 技术有关的知识和技能：使审核员能检查IT 技术对业务连续性的影响，并形成适当的审核发现和结论。这方面的知识和技能应当包括： ----网络通讯技术 ----计算机平台技术 ----软件技术 ----IT服务 ----基础应用技术， ----上述技术的运用。 b）与信息安全相关的技术，尤其是与GB/T22080-2008/ISO/IEC27001:2005附录A 所建议的控制措施有关的信息安全技术的知识和技能：使审核员能检查采取信息安全技术的控制措施的有效性，并形成适当的审核发现和结论。这方面的知识和技能应当包括：： ----风险管理， ----物理和环境安全， ----通讯与操作管理， ----边界安全， ----应用安全， ----密码与认证技术， ----安全管理与支持， ----上述技术的运用。 7.3.4  与应用领域相关的知识和技能 a） 信息安全管理体系的建设与组织的业务时密切相关，标准要求基于业务风险进行管理，组织的业务过程和产品，包括服务：使审核员能理解被审核范围内的应用技术内容。这方面的知识和技能应当包括： ----行业特定的术语， ----过程和产品包括服务的技术特性， ----行业特定的过程和惯例。 b) 与业务密切相关的关键信息系统是信息安全管理体系建设过程中需要特别关注的内容，为了正确把握采取合适的信息安全技术控制措施，对应行业领域分类中的特定信息系统应充分理解，包括但不仅限于： 表1. 典型应用系统举例 编号 名称 B2.1 电子投票 B2.2 电子签章 B2.3 庭审监控 B2.4 网上报税 B2.5 税务监管 B2.6 电子报关与通关 B2.7 海关税务关联退税 B2.8 播报监控 B2.9 用户管理与计费 B2.10 通讯网络监管 B2.11 电子出版 B2.12 电子游戏 B2.13 社会保障系统 B2.14 医院综合系统 B2.15 网上教育系统 B2.16 经销存系统 B2.17 银行业务系统 B2.18 银行服务前端 B2.19 网上银行 B2.20 银联清算系统 B2.21 个人经信系统 B2.22 电子商务网上保障与清算系统 B2.23 物流管理 B2.24 宾馆、饭店管理 B2.25 电力实时监控与控制系统 B2.26 铁路实时监控 B2.27 铁路售票系统 B2.28 民航机场综合管理 B2.29 机场离港系统 B2.30 民航电子客票管理 B2.31 化工生产过程控制系统 B2.32 水利监控 B2.33 食品安全跟踪     7.4 教育、工作经历、审核员培训和审核经历 7.4.1  ISMS审核员资格条件 a) 教育： 1) ISMS相应专业本科学历（或同等学力），包括：计算机科学技术，电子、通信和自动控制技术，数学，物理；或 2) ISMS相关专业本科学历（或同等学力），包括：G.1.4.1 a）1）以外的其他理工学科，管理。 b) 工作经历： 1) 满足7.4.1 a）1）时，至少4年信息技术方面全职实际工作经历，其中至少2年的工作经历来自与信息安全有关的职责或职能；或 2) 满足7.4.1 a）2）时，至少6年信息技术方面全职实际工作经历，其中至少3年的工作经历来自与信息安全有关的职责或职能。 c) 审核员培训：成功完成5天或40小时的ISMS审核员培训； d) 审核经历：参加至少4次ISMS审核，审核总天数不少于20天，其中包括文件评审、风险分析的评审、现场审核和审核报告。 7.4.2  特定应用领域的ISMS专业审核员和ISMS技术专家资格条件 a) 教育：满足7.4.1 a）的1）或2）； b) 该应用领域技术工作经历： 1) 满足7.4.1 b）1），且至少1年该技术领域相关工作经历，可与7.4.1 b）1）同时发生；或 2) 满足7.4.1 b）2），且至少2年该技术领域相关工作经历，可与7.4.1 b）2）同时发生。 注：7.4.2的b）可用c）或d）或e)或f)或g)或h) 代替。 c) 该应用领域技术相关培训： 1) ISMS专业审核员：满足7.4.1 c），且成功完成该技术领域相关的审核技术培训（可与7.4.1 c）同时发生）； 2) ISMS技术专家：成功完成该技术领域相关的信息技术、信息安全、法律法规等培训。 d) 该技术领域相关审核经历（ISMS专业审核员适用）：满足7.4.1 d），且在该技术领域ISMS专业审核员或技术专家指导下，参加至少4次涉及该技术领域的ISMS审核，审核总天数不少于20天（可7.1.4.1 d）同时发生）； e) 该技术领域相关技术研究经历（ISMS专业审核员适用）：从事相应的技术研究工作2年以上，且主管或主要技术负责进行了一个以上的研究课题的科研工作； f) 该技术领域相关技术开发工作经历（ISMS专业审核员适用）：从事相应的应用领域的关键信息系统（可参考7.3.4 b） 表1所列举的系统）的开发工作，至少主持或作为系统分析师参与一个系统的开发工作； g) 该技术领域相关技术维护或技术服务工作经历（ISMS专业审核员适用）：从事相应的应用领域的关键信息系统（可参考7.3.4 b） 表1所列举的系统）的维护或技术服务工作工作，至少亲自作为主管参与一个以上系统、两年以上的维护或技术服务工作； h) 该技术领域相关技术科学研究经历（ISMS专业审核员适用）：从事相应的科学研究工作3年以上，并出版学术专著一本以上，或在国家一级学术刊物或国际学术刊物发表学术论文2篇以上； i) 该技术领域的其他资格条件。 7.4.3  审核组长 审核组长应当取得附加的审核经历，以获得 7.3.2条款所述的知识和技能。这种附加的经历应当是在能胜任审核组长的另一名审核员的指导和帮助下担任组长的经历。 7.5  能力的保持和提高 7.5.1  持续的专业发展 持续的专业发展关注知识、技能和个人素质的保持和提高。这可以通过一些方法来实现，例如：更多的工作经历、培训、自学、教学、参加各种有关会议或其他相关活动。审核员应当证实其持续的专业发展。 持续的专业发展活动应当考虑个人和组织的需要、审核实践、标准及其他要求的变化。 7.5.2  审核能力的保持 审核员应当通过不断地参加信息安全管理体系的审核来保持和证实其审核能力。 7.6  审核员的评价 7.6.1  总则 应当根据审核方案程序，对审核员和审核组长的评价进行策划、实施和记录，以提供客观、一致、公正和可信的结果。评价过程应当识别培训和其它技能提高的需要。 对审核员的评价有以下不同的阶段： ----对希望成为审核员的申请人进行初始评价； ----对审核员的评价,作为6.2.3条款所描述的审核组选择过程的组成部分； ----对审核员表现的持续评价，以识别知识和技能的保持与提高的需要。 图6描述了评价阶段之间的关系。 7.6.2条款描述的过程步骤可用于每个评价阶段。 能力发展 不符合准则 初始评价 （7.6） 表现的持续评价    符合准则                            (7.6) 符合准则 审核员 不符合准则 不选择 审核组选择                          (6.2.3) 能力的保持 (7.5) 审 核 ( 6 ) 图5：评价阶段之间的关系                                7.6.2  评价过程 评价过程包括四个主要步骤。 步骤1——识别个人素质、知识和技能，以满足审核方案的需要 在确定适宜的知识和技能时，应当考虑下列内容： ----受审核组织的规模、性质和复杂程度 ----审核方案的目标和内容 ----认证认可的要求 ----审核过程在受审核组织管理中的作用 ----审核方案中所要求的可信性水平； ----受审核的管理体系的复杂程度 步骤2——设立评价准则 准则可以是定量的（如工作经历和教育的年限、审核的次数、审核培训的学时），或定性的（如在培训或工作中已经证实的个人素质、知识或技能表现）。 步骤3——选择适当的评价方法 评价可以由一人或一个小组使用从表2中选择的一种或多种方法进行。使用表2时应当注意： ----所列举的方法作为选择的范围，不一定适用所有情况； ----所列举的不同方法的可靠性可能不同； ----总的说来，应当使用综合的方法以保证结果是客观、一致、公正和可信的。 步骤4——实施评价 在这个步骤中，将收集到的有关人员信息与步骤2设立的准则进行比较。当人员不符合准则时，则要求增加培训、工作经历和（或）审核经历，并进行再评价。