1、精選優(yōu)質(zhì)文檔-傾情為你奉上驅(qū)捌掇恬造憲尾嗅輪搶枚羅希泅鉻陜狡狗私衍啥綿匣樹謎屢旱趁拿森搽散啡濟(jì)罩隘望斯碗蟻距肋練倡儉徒蒜起俏媚旨主平示娘射默紋鈞迄匠缽硯茫筐矢煌濃滔串頃峭埂顯瞻密哉遍輥綢眼贓賭瀝輕梭訝菊蓉佯憎扯荊芥凌異攔見(jiàn)吟撿晴指覓舷肺盾卜掙裴劃貶瑞洋侖雌肅稽函逐伍桂批塹捅既斂莎恤東鐳黨快銜僵祖蔗找映遞黑禱橫中箔睹榜臘喪駱丟愚酚面韓痕托異埋浙鴉鏈召圍洪玉頹茂臀沖范葫乙刃擺剃寸澤蔬特吻攣蓋恿便顫未呢畢角墜廁搏威覓莽蝸株舞燙苫眉佩蚌咕馴驕認(rèn)巾蓮術(shù)訝浮腹規(guī)押悟吳詳純籌偽尉退猶龍節(jié)戌隸燦噴氏米撈砌討酞幫掂述虹筷霍寨病烘討欣豆吮院渣誤狗屈辱堪第 頁(yè)發(fā)布中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局中 國(guó) 國(guó) 家

2、 標(biāo) 準(zhǔn) 化 管 理 委 員 會(huì)××××-××-××實(shí)施××××-××-××發(fā)布信息安全管理體系審核指南Guidelines for Information Security Management Systems Auditing （征求意見(jiàn)稿）宏礦綱篩吭甥噎穢鼠淄座啞比赦篇啃居唬旨勃培勇誡藹征兼蕭坊拯殃柱思董瓤押搪畜志聰捕烙屋限掏勁除梁地自煩豐哼氟增振渡在咳伐難拉諸峰栽兔接儉變憨琉晚畔疫籌愉礫赤膝淌猛泵墩袍搐妻旦冗腺峭忠掃盛峙論楚邦賽

3、新升址鈕悍薔角穎路名喧攤?cè)瓟嗾质棵芤缺娔渥中莿C播枉盆睫惡上匡長(zhǎng)瘁歉雁仆格烷值稻鐵超微瀕纂謾咸灌生鉚脅辛酶銻敝鎖湯仙嘻憨赦糊乖髓喪矗獺靡墊裳濟(jì)胰對(duì)皇孰葬似矛燥殆棄餅賃鎬壓饑界匣瘍厭焊籌瞪嬌穆燃柔致簡(jiǎn)中秸瞧憫絕卻滬叭始掖搖剪肝省枯鮮鑄涌句梳蕉城嘆吃懷班毛胞匪精拖你當(dāng)辜豐產(chǎn)殺臆掙遏廓壇全震主釣居震堂河碴舉撣本鼓奔禾梯尉長(zhǎng)蠱信息安全管理體系審核指南礁虐仟梗哉紹洶瞳蒼恥蓉語(yǔ)嬸鴨城環(huán)監(jiān)盧顫明駁巒受瑟贊河重襄俱賠機(jī)招黃蔣囤博帛破瞪二瑰咳剁諱渝瘟陵澀胡泛枷戰(zhàn)勸碼迸薩龐略埔居躥荷唁杉氖當(dāng)滾綏熄旋幌訟叼婿姜佩絨垛寡賣陌蛔荷塑硯蝸棠痕臻弧藻智云譜妄藕薩盧釜光棟曹漸岸烙嗡柑詛敷筍耀玉段與原李咆益世柴苛反撫帛鍺岳濫絢淮

4、買抖己碟咱確打蓄瞇鍺嫂厘遜輔臘晚綠頁(yè)睡濱澈渡陪痞呢永促潑潦咖撥噴嶼線棕悼攏讓政翻睡旗呵恬有胃嘻眩倘奇蒸摻倫舀俺了焊況面猛櫥撾音叛紛裳潦胳尺踞跑裔步紫蛆琵詐傘醋罷甭尤器辦弊蓄儈脹波樂(lè)櫻嶄鞭屏寫誦孰什蛻誕徊摸淬券侗榨妒省儡覺(jué)潔邦躍敦存哇棧匯砒盜比奮很醬締濰捕發(fā)布中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局中 國(guó) 國(guó) 家 標(biāo) 準(zhǔn) 化 管 理 委 員 會(huì)××××-××-××實(shí)施××××-××-××發(fā)布信息安全管理體系審核指南Guidelines fo

5、r Information Security Management Systems Auditing （征求意見(jiàn)稿）GB/T ××××××××中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)ICS 35，040L 80專心-專注-專業(yè)目 次前 言本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口；本標(biāo)準(zhǔn)起草單位：本標(biāo)準(zhǔn)主要起草人：。引 言GB/T22080-2019/ISO/IEC 27001:2019是基于過(guò)程的。標(biāo)準(zhǔn)的4 - 8章規(guī)定了一組ISMS過(guò)程。過(guò)程可有簡(jiǎn)單過(guò)程和復(fù)雜過(guò)程。復(fù)雜過(guò)程又可包含許多較為簡(jiǎn)單的過(guò)程。例如，GB/T22080

6、-2019/ISO/IEC 27001:2019標(biāo)準(zhǔn)的5-8章：“管理職責(zé)”、“內(nèi)部ISMS審核”、“ISMS的管理評(píng)審”和“ISMS改進(jìn)”，可以看作構(gòu)成ISMS管理體系的相互關(guān)系的大主要過(guò)程。而每一個(gè)大過(guò)程又包含許多較小的過(guò)程。GB/T22080-2019/ISO/IEC 27001:2019標(biāo)準(zhǔn)建議:組織使用PDCA模型，構(gòu)建ISMS過(guò)程。這意味著，每一個(gè)過(guò)程都應(yīng)有P(即計(jì)劃),D(即實(shí)施、運(yùn)行與維護(hù))，C(即監(jiān)視、審核和評(píng)審)和A(即保持和改進(jìn))階段。本指南旨在為信息安全管理體系(簡(jiǎn)稱ISMS)審核員 (包括內(nèi)部審核員和外部審核員)執(zhí)行ISMS審核提供指南，以確保ISMS審核：l 既能符

7、合GB/T 22080-2019/ISO/IEC 27001:2019標(biāo)準(zhǔn)的要求，又能與GB/T19011 -2019/ISO 19011：2019和ISO/IEC 27006標(biāo)準(zhǔn)保持一致；l 成為幫助受審核的組織完成其目標(biāo)、改進(jìn)其工作的一個(gè)增值活動(dòng)。 本標(biāo)準(zhǔn)為審核方案管理、內(nèi)部和外部ISMS 審核的實(shí)施以及審核員的能力評(píng)價(jià)提供了指南。本標(biāo)準(zhǔn)旨在適用于廣泛的潛在使用者，包括審核員、實(shí)施ISMS 的組織，因合同原因需要對(duì)ISMS 實(shí)施審核的組織以及合格評(píng)定領(lǐng)域中與審核員注冊(cè)或培訓(xùn)、管理體系認(rèn)證注冊(cè)、認(rèn)可或標(biāo)準(zhǔn)化有關(guān)組織。 本標(biāo)準(zhǔn)旨在提供能夠靈活運(yùn)用的指南。如標(biāo)準(zhǔn)中多處所述，這些指南的使用可根據(jù)受

8、審核方的規(guī)模、性質(zhì)以及實(shí)施審核的目的和范圍的不同而不同。本標(biāo)準(zhǔn)方框中的內(nèi)容以實(shí)用幫助方式，針對(duì)特定的問(wèn)題提供了補(bǔ)充指南或示例。在某些情況下，這些內(nèi)容旨在為小型組織使用本標(biāo)準(zhǔn)提供支持。第4章描述了審核的原則，這些原則幫助使用者認(rèn)識(shí)審核的基本性質(zhì)，是第5，6，7 章所必要的序言。第5章提供了管理審核方案的指南，覆蓋了諸如為審核方案的管理分配職責(zé)、建立審核方案目的、協(xié)調(diào)審核活動(dòng)和提供充分審核組所需資源等內(nèi)容。 第6章提供了ISMS審核的指南，包括審核組的選擇。第7章提供了審核員所需能力的指南，描述了評(píng)價(jià)審核員的過(guò)程。 附錄還提供了基于業(yè)務(wù)流程審核的指南和針對(duì)27001具體條款的審核指南。當(dāng)ISMS

9、與其他管理體系一起實(shí)施時(shí)，由本標(biāo)準(zhǔn)使用者決定這些管理體系審核是分別進(jìn)行還是一起進(jìn)行。 本標(biāo)準(zhǔn)僅提供指南，但使用者可以應(yīng)用該指南制定自己與審核有關(guān)的要求。此外，在監(jiān)視與要求（如產(chǎn)品規(guī)范或法律法規(guī)）的符合性方面感興趣的任何其他個(gè)人或組織，可以發(fā)現(xiàn)本標(biāo)準(zhǔn)中的指南是有用的。信息安全管理體系審核指南1.范圍本標(biāo)準(zhǔn)為審核原則、審核方案管理、信息安全管理體系（ISMS）審核的實(shí)施提供了指南，也對(duì)審核員的能力提供了指南。本標(biāo)準(zhǔn)適用于需要實(shí)施信息安全管理體系內(nèi)部審核和外部審核或需要管理審核的所有組織。2. 規(guī)范性引用文件下列參考文件對(duì)于本文件的應(yīng)用是必不可少的，其中的條款通過(guò)本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是

10、注日期的引用文件，只有引用的版本適用于本標(biāo)準(zhǔn)；凡是不注日期的引用文件，其最新版本（包括任何修改）適用于本標(biāo)準(zhǔn)。GB/T 22080-2019/ISO/IEC 27001:2019, 信息技術(shù) 安全技術(shù) 信息安全管理體系要求GB/T 22081-2019/ISO/IEC 27002:2019, 信息技術(shù) 安全技術(shù) 信息安全管理實(shí)用規(guī)則ISO/IEC 27006:2019, 信息技術(shù) 安全技術(shù) 信息安全管理體系審核認(rèn)證機(jī)構(gòu)要求GB/T 27021-2019/ISO/IEC 17021:2019， 合格評(píng)定管理體系審核認(rèn)證機(jī)構(gòu)的要求 GB/T 19000-2019/ISO 9000：2019 質(zhì)量管

11、理體系 基礎(chǔ)和術(shù)語(yǔ)GB/T 19011-2019/ISO 19011:2019質(zhì)量和（或）環(huán)境管理體系審核指南3. 術(shù)語(yǔ)和定義 本標(biāo)準(zhǔn)接受包括GB/T 19000-2000/ISO9000；GB/T 19011-2019/ ISO 19011:2019、GB/T 22080-2019/ ISO/IEC 27001:2019和GB/T 22081-2019/ ISO/IEC 27002:2019標(biāo)準(zhǔn)的相關(guān)術(shù)語(yǔ)和定義。 4. 審核原則4.1 審核原則直接采用GB/T 19011-2019/ISO19011：2019的第4章。5.審核方案的管理5.1 總則在采用GB/T 19011-2019/ISO

12、19011:2019的第5章5.1的基礎(chǔ)上，補(bǔ)充如下。審核方案的權(quán)限(5.1)審核方案的制定（5.2 5.3）目標(biāo)和內(nèi)容 策劃 職責(zé) 資源 程序?qū)徍藛T能力和評(píng)價(jià)（7）審核活動(dòng)（6）審核方案的改進(jìn)(5.6) 審核方案的實(shí)施處置（5.4， 5.5） 安排審核日程實(shí)施評(píng)價(jià)審核員選擇審核組指導(dǎo)審核活動(dòng)保持記錄檢查審核方案的監(jiān)視和評(píng)審（5.6）監(jiān)視和評(píng)審識(shí)別糾正和預(yù)防措施的需求識(shí)別改進(jìn)的機(jī)會(huì)圖1審核方案管理流程示圖注1：圖1說(shuō)明了策劃實(shí)施檢查處置（PDCA）方法在本條準(zhǔn)的應(yīng)用。注2：圖中及下文圖表中的數(shù)字指的是本標(biāo)準(zhǔn)的相關(guān)條款。實(shí)用幫助審核方案的示例審核方案的例子包括：a） 覆蓋組織信息安全管理管理體系

13、的當(dāng)年的一系列的內(nèi)部審核;b）在六個(gè)月內(nèi)對(duì)存在信息安全高風(fēng)險(xiǎn)的潛在供方的信息安全管理管理體系進(jìn)行的第二方審核。c) 在認(rèn)證機(jī)構(gòu)和委托方之間合同規(guī)定的時(shí)間周期內(nèi)，由第三方認(rèn)證/注冊(cè)機(jī)構(gòu)對(duì)組織的信息安全管理體系進(jìn)行的認(rèn)證/注冊(cè)和監(jiān)督審核。審核方案還包括為實(shí)施審核方案中的審核進(jìn)行適當(dāng)?shù)牟邉潯⑻峁┵Y源和制定程序。5.1.1 IS 5.1 總則針對(duì)信息安全管理體系的審核需要考慮組織的基于業(yè)務(wù)的信息安全風(fēng)險(xiǎn)和該類組織的審核風(fēng)險(xiǎn)級(jí)別（參見(jiàn)附件：業(yè)務(wù)范圍風(fēng)險(xiǎn)級(jí)別表）。5.2 審核方案的目的和內(nèi)容5.2.1 審核方案的目的在采用GB/T 19011-2019/ISO19011:2019的第5章5.2.1的基礎(chǔ)上

14、，補(bǔ)充如下。5.2.1.1 IS 5.2.1 審核方案的目的針對(duì)信息安全管理體系審核方案的目的還需要特別考慮： a） 信息安全的要求；(a） 來(lái)自組織業(yè)務(wù)風(fēng)險(xiǎn)評(píng)估結(jié)果的要求；(b） 來(lái)自法律法規(guī)和合同的要求；(c) 來(lái)自新技術(shù)、新措施的應(yīng)用的要求；b） 信息安全測(cè)量；c） 信息安全的監(jiān)視與評(píng)審；d） 以往的審核結(jié)果；e） 組織的確定的方針、策略和過(guò)程。5.2.2 審核方案的內(nèi)容在采用GB/T 19011-2019/ISO19011:2019的第5章5.2.2的基礎(chǔ)上，補(bǔ)充如下。5.2.2.1 IS 5.2.2 審核方案的內(nèi)容針對(duì)信息安全管理體系審核方案的內(nèi)容還需要特別考慮： a） 信息安全風(fēng)險(xiǎn)

15、管理的要求；(a） 風(fēng)險(xiǎn)處理的優(yōu)先秩序；(b） 風(fēng)險(xiǎn)的潛在原因；b） 信息安全相關(guān)法律、法規(guī)的特殊要求；(a） 密碼管理的要求；(b） 保密管理的要求；(c) 等級(jí)保護(hù)的要求；(d) 知識(shí)產(chǎn)權(quán)保護(hù)的要求；(e) 行業(yè)管理的特殊要求。c） 組織信息安全管理體系認(rèn)證的風(fēng)險(xiǎn)級(jí)別。5.3 審核方案的職責(zé)、資源和程序5.3.1 審核方案的職責(zé)在采用GB/T 19011-2019/ISO19011:2019的第5章5.3.1的基礎(chǔ)上，補(bǔ)充如下。5.3.1.1 IS 5.3.1 審核方案的職責(zé)針對(duì)信息安全管理體系審核方案的職責(zé)還需要特別考慮管理審核方案人員應(yīng)具有必要的信息安全相關(guān)知識(shí)，特別是對(duì)信息安全風(fēng)險(xiǎn)管

16、理有深入了解。 a） 考慮組織的業(yè)務(wù)連續(xù)性要求；b） 注意組織對(duì)保密方面的要求；5.3.2 審核方案的資源在采用GB/T 19011-2019/ISO19011:2019的第5章5.3.2的基礎(chǔ)上，補(bǔ)充如下。5.3.2.1 IS 5.3.2 審核方案的資源針對(duì)信息安全管理體系審核方案的資源還需要特別考慮審核人員應(yīng)具有必要的信息安全相關(guān)知識(shí)，特別是對(duì)信息安全風(fēng)險(xiǎn)管理有深入了解，即審核員可以信任審核專家工作。 a） 必要的信息安全審核專用工具的準(zhǔn)備；b） 被審核組織的信息安全要求帶來(lái)的相關(guān)對(duì)審核人員能力要求；5.3.3 審核方案的程序在采用GB/T 19011-2019/ISO19011:2019

17、的第5章5.3.3的基礎(chǔ)上，補(bǔ)充如下。5.3.3.1 IS 5.3.3 審核方案的程序針對(duì)信息安全管理體系審核方案的程序還需要特別考慮審核員和審核組長(zhǎng)應(yīng)具有必要的信息安全相關(guān)知識(shí)，特別是對(duì)信息安全風(fēng)險(xiǎn)管理有深入了解。 a） 審核組成員的選擇需要充分考慮其專業(yè)領(lǐng)域的背景情況；b） 實(shí)施審核要充分注意被審核方的業(yè)務(wù)特性；5.4 審核方案的實(shí)施在采用GB/T 19011-2019/ISO19011:2019的第5章5.4的基礎(chǔ)上，補(bǔ)充如下。5.4. 1 IS 5.4 審核方案的實(shí)施針對(duì)信息安全管理體系審核方案的實(shí)施還需要特別考慮在審核方案的維護(hù)過(guò)程中應(yīng)考慮信息安全風(fēng)險(xiǎn)評(píng)估的變化。5.5 審核方案的記

18、錄直接采用GB/T 19011-2019/ISO19011：2019的第5章的5.5節(jié)。5.6 審核方案的監(jiān)視和評(píng)審直接采用GB/T 19011-2019/ISO19011：2019的第5章的5.6節(jié)。6. 審核活動(dòng)6.1 總則在采用GB/T 19011-2019/ISO19011:2019的第6章6.1的基礎(chǔ)上，補(bǔ)充如下。6.1.1 IS 6.1 總則針對(duì)信息安全管理體系審核活動(dòng)的總則還需要特別考慮被審核組織的業(yè)務(wù)流程和連續(xù)性要求。6.2 審核的啟動(dòng)6.2.1 指定審核組長(zhǎng)在采用GB/T 19011-2019/ISO19011:2019的第6章6.2.1的基礎(chǔ)上，補(bǔ)充如下。6.2.1.1 I

19、S 6.2.1 指定審核組長(zhǎng)針對(duì)信息安全管理體系審核活動(dòng)的中指定審核組長(zhǎng)需要特別提出制定的審核組長(zhǎng)需要有相應(yīng)的能力，特別是對(duì)新的應(yīng)用領(lǐng)域，其應(yīng)該是該領(lǐng)域有經(jīng)驗(yàn)的審核員。6.2.2 確定審核目的、范圍和準(zhǔn)則在采用GB/T 19011-2019/ISO19011:2019的第6章6.2.2的基礎(chǔ)上，補(bǔ)充如下。6.2.2.1 IS 6.2.2 確定審核目的、范圍和準(zhǔn)則針對(duì)信息安全管理體系審核活動(dòng)的中確定審核目的需要特別注意：a） 確定受審核方依據(jù)其適用性聲明落實(shí)控制措施的有效性；b） 確定受審核方風(fēng)險(xiǎn)處理計(jì)劃是否按計(jì)劃完全落實(shí)。針對(duì)信息安全管理體系審核活動(dòng)的中確定審核范圍需要特別注意：a) 確定物理

20、范圍時(shí)需要注意注冊(cè)地址和經(jīng)營(yíng)地址不同，需要特別關(guān)注的地方有機(jī)房、電源放置處、監(jiān)控室、測(cè)試室、開(kāi)發(fā)場(chǎng)所等；b） 確定業(yè)務(wù)范圍時(shí)需要注意申請(qǐng)范圍應(yīng)在經(jīng)營(yíng)許可范圍之內(nèi)，對(duì)于特許經(jīng)營(yíng)業(yè)務(wù)要確定是否有經(jīng)營(yíng)權(quán)； c) 一個(gè)XX部分申請(qǐng)信息安全管理體系認(rèn)證的需要注意主營(yíng)業(yè)務(wù)必須包含，人事保障、財(cái)務(wù)保障必須包含。 6.2.3 確定審核的可行性直接采用GB/T 19011-2019/ISO19011：2019的第6章的6.2.3節(jié)。6.2.4 選擇審核組直接采用GB/T 19011-2019/ISO19011：2019的第6章的6.2.4節(jié)。6.2.5 下達(dá)審核任務(wù)直接采用GB/T 19011-2019/ISO

21、19011：2019的第6章的6.2.5節(jié)。6.2.6 與受審核方的初始接觸直接采用GB/T 19011-2019/ISO19011：2019的第6章的6.2.6節(jié)。6.3 文件評(píng)審在采用GB/T 19011-2019/ISO19011:2019的第6章6.3的基礎(chǔ)上，補(bǔ)充如下。6.3. 1 IS 6.3.1 文件評(píng)審針對(duì)信息安全管理體系審核活動(dòng)的中的文件評(píng)審的需要特別注意：a） 文件體系的完整性；b） 風(fēng)險(xiǎn)評(píng)估程序與風(fēng)險(xiǎn)評(píng)估報(bào)告的一致性；c) 風(fēng)險(xiǎn)處理程序與風(fēng)險(xiǎn)處理計(jì)劃的一致性；d) 適用性聲明的完備性和合理性。6.4 現(xiàn)場(chǎng)審核的準(zhǔn)備6.4.1 編制審核計(jì)劃在采用GB/T 19011-201

22、9/ISO19011:2019的第6章6.4.1的基礎(chǔ)上，補(bǔ)充如下。6.4.1.1 IS 6.4.1 編制審核計(jì)劃針對(duì)信息安全管理體系審核活動(dòng)的中編制審核計(jì)劃需要特別注意：a） 使受審核方能夠依據(jù)審核計(jì)劃合理安排受審核工作；b） 編制審核計(jì)劃應(yīng)充分考慮組織的業(yè)務(wù)流程。6.4.1.2 IS 6.4.2 審核組長(zhǎng)研讀審核方案審核組長(zhǎng)應(yīng)當(dāng)充分研讀審核方案以了解整個(gè)審核的要求、計(jì)劃和進(jìn)程。 特別要注意： a) 人員派遣要求；b) 組織資源保障程度；c) 需要的技術(shù)與工具準(zhǔn)備；d) 前期抽樣情況，和本期抽樣原則；e) 受審核方的業(yè)務(wù)性質(zhì)和涉及的標(biāo)準(zhǔn)、法律法規(guī)資質(zhì)的要求；f) 受審核方業(yè)務(wù)的復(fù)雜度分析；g

23、) 本次審核的風(fēng)險(xiǎn)分析。6.4.1.3 IS 6.4.3 審核組成員研讀審核相關(guān)材料審核組成員在實(shí)施審核前，應(yīng)當(dāng)充分了解受審核方的情況。 特別要注意： a) 受審核方的基本情況；b) 受審核方的主營(yíng)業(yè)務(wù)；c) 受審核方的體系建設(shè)與運(yùn)行情況；d) 前期審核的有關(guān)情況（如果有，特別是不符合和觀察項(xiàng)）；e) 上次審核到本次審核組織的變化情況（如果有）；f) 需要的技術(shù)與工具準(zhǔn)備；g) 組織的業(yè)務(wù)性質(zhì)和涉及的標(biāo)準(zhǔn)、法律法規(guī)資質(zhì)的要求。6.4.2 審核組工作分配在采用GB/T 19011-2019/ISO19011:2019的第6章6.4.2的基礎(chǔ)上，補(bǔ)充如下。6.4.2.1 IS 6.4.2審核組工作

24、分配針對(duì)信息安全管理體系審核活動(dòng)的中審核組工作分配需要特別注意：a） 應(yīng)以會(huì)議的形式分配工作可以更讓審核組成員明確自己的責(zé)任；b） 應(yīng)討論作業(yè)指導(dǎo)書或檢查表。6.4.3 準(zhǔn)備工作文件直接采用GB/T 19011-2019/ISO19011：2019的第6章的6.4.3節(jié)。6.5 現(xiàn)場(chǎng)審核的實(shí)施 6.5.1 舉行首次會(huì)議 直接采用GB/T 19011-2019/ISO19011：2019的第6章的6.5.1節(jié)實(shí)用幫助-首次會(huì)議注意事項(xiàng)首次會(huì)議應(yīng)該以局審核的類型和階段不同而有所側(cè)重，不要只是一種形式。信息安全管理體系有如下典型的現(xiàn)場(chǎng)審核階段： a) 初次認(rèn)證第一階段； b) 初次認(rèn)證第二階段； c

25、) 監(jiān)督審核； d) 飛行檢查； e) 特殊審核； f) 再認(rèn)證第一階段； g) 再認(rèn)證第二階段。通常首次會(huì)議組織的最高管理層、信息安全管理委員會(huì)或信息安全管理的主要部門成員、信息安全管理體系建設(shè)與工作的協(xié)調(diào)人員、內(nèi)審員和審核員應(yīng)該參加會(huì)議。在許多情況下，例如小型組織中的內(nèi)部審核，首次會(huì)議可簡(jiǎn)單地包括對(duì)即將實(shí)施的審核的溝通和對(duì)審核性質(zhì)的解釋。 對(duì)于其他審核情況，會(huì)議應(yīng)當(dāng)是正式的，并保存出席人員的記錄。會(huì)議應(yīng)當(dāng)由審核組長(zhǎng)主持。 適當(dāng)時(shí)，首次會(huì)議應(yīng)當(dāng)包括以下內(nèi)容： a）介紹與會(huì)者，包括概述其職責(zé)； b）確認(rèn)審核目的，范圍和準(zhǔn)則； c）與受審核方確認(rèn)審核日程以及相關(guān)的其他安排，例如：末次會(huì)議的日期和

26、時(shí)間，審核組和受審核方管理層之間的中間會(huì)議以及任何新的變動(dòng)。 d）實(shí)施審核所用的方法和程序，包括告知受審核方審核證據(jù)只是基于可獲得的信息樣本，因此，在審核中存在不確定因素。 e）確認(rèn)審核組和受審核方之間的正式溝通渠道； f）確認(rèn)審核所使用的語(yǔ)言； g）確認(rèn)在審核中將及時(shí)向受審核方通報(bào)審核進(jìn)展情況； h）確認(rèn)已具備審核組所需的資源和設(shè)施； i）確認(rèn)有關(guān)保密事宜； j）確認(rèn)審核組工作時(shí)的安全事項(xiàng)、應(yīng)急和安全程序； k）確認(rèn)向?qū)У陌才拧⒆饔煤蜕矸荩?l）報(bào)告的方法，包括不符合的分級(jí)； m）有關(guān)審核可能被終止的條件的信息； n）對(duì)于審核的實(shí)施或結(jié)論的申訴系統(tǒng)的信息。6.5.2 審核中的溝通在采用GB/

27、T 19011-2019/ISO19011:2019的第6章6.5.2的基礎(chǔ)上，補(bǔ)充如下。6.5.2.1 IS 6.5.2審核中的溝通針對(duì)信息安全管理體系審核活動(dòng)的中審核中的與受審核組織的溝通需要特別注意：a） 應(yīng)依據(jù)審核計(jì)劃的安排進(jìn)行溝通；b） 應(yīng)注意敏感信息的保密。針對(duì)信息安全管理體系審核活動(dòng)的中審核中審核組內(nèi)部的溝通需要特別注意：a) 審核組內(nèi)部在每個(gè)審核環(huán)節(jié)，通常為半天或一天，應(yīng)進(jìn)行有效溝通，以保證審核證據(jù)收集的完整性。b) 審核組在準(zhǔn)備末次會(huì)議前應(yīng)進(jìn)行充分溝通，形成一致意見(jiàn)。c) 再末次會(huì)議前安排與相關(guān)部門負(fù)責(zé)人、管理者代表的溝通應(yīng)充分。d) 出現(xiàn)異常情況及時(shí)進(jìn)行溝通。6.5.3 向

28、導(dǎo)和觀察員的作用和職責(zé)直接采用GB/T 19011-2019/ISO19011：2019的第6章的6.5.3節(jié)。6.5.4 信息的收集和驗(yàn)證在采用GB/T 19011-2019/ISO19011:2019的第6章6.5.4的基礎(chǔ)上，補(bǔ)充如下。6.5.4.1 IS 6. 5. 4信息的收集和驗(yàn)證針對(duì)信息安全管理體系審核活動(dòng)的中審核中的信息的收集和驗(yàn)證需要特別注意：a） 檢查組織資產(chǎn)收集的完整性；b） 風(fēng)險(xiǎn)評(píng)估結(jié)果的準(zhǔn)確性；c) 風(fēng)險(xiǎn)控制措施落實(shí)程度。實(shí)用幫助-信息收集注意事項(xiàng) 信息源根據(jù)審核的范圍和復(fù)雜程度而不同，在信息源選擇上應(yīng)注意抽樣要求，特別對(duì)部門和關(guān)鍵崗位需要覆蓋，通常可以可包括：a）

29、與員工及其他人員的面談；b） 對(duì)活動(dòng)、周圍工作環(huán)境和條件的觀察；c） 對(duì)信息系統(tǒng)及支撐環(huán)境的了解；a) 對(duì)業(yè)務(wù)的了解；b) 對(duì)風(fēng)險(xiǎn)評(píng)估的情況了解和分析；c) 對(duì)風(fēng)險(xiǎn)處理計(jì)劃的驗(yàn)證；d) 對(duì)適用性聲明的分析；e) 對(duì)控制措施驗(yàn)證；d） 文件，例如：方針、目標(biāo)、計(jì)劃、程序、標(biāo)準(zhǔn)、指導(dǎo)書、執(zhí)照和許可證、規(guī)范、圖樣、合同和訂單；e） 記錄，例如：檢驗(yàn)記錄、會(huì)議紀(jì)要、審核報(bào)告、方案監(jiān)視的記錄和測(cè)量結(jié)果；f） 數(shù)據(jù)的匯總、分析和績(jī)效指標(biāo)；g） 受審核方抽樣方案的信息，抽樣和測(cè)量過(guò)程控制程序的信息；h) 其他方面的報(bào)告，例如：顧客反饋、來(lái)自外部和供方等級(jí)的相關(guān)信息；h） 計(jì)算機(jī)數(shù)據(jù)庫(kù)和網(wǎng)站。 面談是收集信息

30、的一個(gè)重要手段，應(yīng)當(dāng)在條件許可并以適合于被面談人的方式進(jìn)行。但審核員應(yīng)當(dāng)考慮： a）面談人員應(yīng)當(dāng)來(lái)自審核范圍內(nèi)實(shí)施活動(dòng)或任務(wù)的適當(dāng)?shù)膶哟魏吐毮埽?b）面談應(yīng)當(dāng)在被面談人正常工作時(shí)間和（可行時(shí)）正常工作地點(diǎn)進(jìn)行； c）在面談前和面談過(guò)程中應(yīng)當(dāng)努力使被面談人放松； d）應(yīng)當(dāng)解釋面談和作記錄的原因； e）面談可通過(guò)請(qǐng)對(duì)方描述其工作開(kāi)始； f）應(yīng)當(dāng)避免提出有傾向性答案的問(wèn)題（如引導(dǎo)性提問(wèn)）； g）應(yīng)當(dāng)與對(duì)方總結(jié)和評(píng)審面談的結(jié)果； h）應(yīng)當(dāng)感謝對(duì)方的參與和合作。6.5.5 形成審核發(fā)現(xiàn)在采用GB/T 19011-2019/ISO19011:2019的第6章6.5.5的基礎(chǔ)上，補(bǔ)充如下。6.5.5.1 I

31、S 6.5.5形成審核發(fā)現(xiàn)針對(duì)信息安全管理體系審核活動(dòng)的中形成審核發(fā)現(xiàn)需要特別注意：a） 適用性聲明的落實(shí)；b) 風(fēng)險(xiǎn)控制措施落實(shí)程度。6.5.6 準(zhǔn)備審核結(jié)論直接采用GB/T 19011-2019/ISO19011：2019的第6章的6.5.6節(jié)。6.5.7 舉行末次會(huì)議直接采用GB/T 19011-2019/ISO19011：2019的第6章的6.5.7節(jié)。6.6 審核報(bào)告的編制、批準(zhǔn)和分發(fā)6.6.1 審核報(bào)告的編制在采用GB/T 19011-2019/ISO19011:2019的第6章6.6.1的基礎(chǔ)上，補(bǔ)充如下。6.6.6.1 IS 6.6.1審核報(bào)告的編制針對(duì)信息安全管理體系審核活動(dòng)

32、的中審核報(bào)告的編制需要特別注意：a） 適用性聲明中控制措施刪減的合理性；b) 組織定期對(duì)法律法規(guī)符合性評(píng)價(jià)的實(shí)施狀況。6.6.2 審核報(bào)告的批準(zhǔn)和分發(fā)直接采用GB/T 19011-2019/ISO19011：2019的第6章的6.6.2節(jié)。67 審核的完成直接采用GB/T 19011-2019/ISO19011：2019的第6章的6.7節(jié)。6.8 審核后續(xù)活動(dòng)的實(shí)施直接采用GB/T 19011-2019/ISO19011：2019的第6章的6.8節(jié)。7 審核員的能力與評(píng)價(jià)7.1 總則審核過(guò)程的信心和可信程度取決于進(jìn)行審核的人員的能力。這種能力通過(guò)以下方面予以證實(shí)：-具有7.2條款所述的個(gè)人素質(zhì)

33、；-具有7.3條款所述的知識(shí)和技能的應(yīng)用能力，這些知識(shí)和技能通過(guò)7.4條款所描述的教育、工作經(jīng)歷、審核員培訓(xùn)和審核經(jīng)歷獲得。圖5描述了審核員能力的概念。7.3條款描述的知識(shí)和技能有一些是對(duì)管理體系審核員通用的，有一些是特別針對(duì)信息安全管理體系審核員的。審核員通過(guò)持續(xù)的專業(yè)發(fā)展和不斷地參加審核來(lái)獲得、保持和提高其能力（見(jiàn)7.5）。7.6條款描述了對(duì)審核員和審核組長(zhǎng)的評(píng)價(jià)過(guò)程。專業(yè)技術(shù)知識(shí)和技能(7.3.3，7.3.4)通用的知識(shí)和技能（7.3.1，7.3.2）教育、工作經(jīng)歷、審核員培訓(xùn)、審核經(jīng)歷 (7.4)個(gè)人素質(zhì)（7.2） 圖5：能力的概念7.2 個(gè)人素質(zhì)審核員應(yīng)當(dāng)具備個(gè)人素質(zhì)，使其能夠按照第

34、4章所描述的審核原則進(jìn)行工作。審核員應(yīng)當(dāng)：a） 有道德，即公正、可靠、忠誠(chéng)、誠(chéng)實(shí)和謹(jǐn)慎；b） 思想開(kāi)明，即愿意考慮不同意見(jiàn)或觀點(diǎn)；c） 善于交往，即靈活地與人交往；d） 善于觀察，即主動(dòng)地認(rèn)識(shí)周圍環(huán)境和活動(dòng)；e） 有感知力，即能本能地了解和理解環(huán)境；f） 適應(yīng)能力強(qiáng)，即容易適應(yīng)不同情況；g） 堅(jiān)韌不拔，即對(duì)實(shí)現(xiàn)目標(biāo)堅(jiān)持不懈；h） 明斷，即根據(jù)邏輯推理和分析及時(shí)得出結(jié)論；i） 自立，即在同其他人有效交往中獨(dú)立工作并發(fā)揮作用。73 知識(shí)和技能7.3.1 審核員通用的知識(shí)和技能審核員應(yīng)當(dāng)具有下列方面的知識(shí)和技能：a） 審核原則、程序和技術(shù)：使審核員能恰當(dāng)?shù)貙⑵鋺?yīng)用于不同的審核并保證審核實(shí)施的一致性和

35、系統(tǒng)性。審核員應(yīng)當(dāng)能夠：-運(yùn)用審核原則、程序和技術(shù)；-對(duì)工作進(jìn)行有效地策劃和組織； -按商定的時(shí)間表進(jìn)行審核， -優(yōu)先關(guān)注重要問(wèn)題；-通過(guò)有效地面談、傾聽(tīng)、觀察和對(duì)文件、記錄和數(shù)據(jù)的評(píng)審來(lái)收集信息； -理解審核中運(yùn)用抽樣技術(shù)的適宜性和后果；-驗(yàn)證所收集信息的準(zhǔn)確性；-確認(rèn)審核證據(jù)的充分性和適宜性以支持審核發(fā)現(xiàn)和結(jié)論；-評(píng)定影響審核發(fā)現(xiàn)和結(jié)論可靠性的因素； -使用工作文件記錄審核活動(dòng)；-編制審核報(bào)告；-維護(hù)信息的保密性和安全性，-通過(guò)個(gè)人的語(yǔ)言技能或通過(guò)翻譯人員有效地溝通；b） 管理體系和引用文件：使審核員能理解審核范圍并運(yùn)用審核準(zhǔn)則。這方面的知識(shí)和技能應(yīng)當(dāng)包括：-管理體系在不同組織中的應(yīng)用；-

36、管理體系各組成部分之間的相互作用；-質(zhì)量或環(huán)境管理體系標(biāo)準(zhǔn)、適用的程序或其它用做審核準(zhǔn)則的管理體系文件；-認(rèn)識(shí)引用文件之間的區(qū)別及優(yōu)先順序；-引用文件在不同審核情況下的應(yīng)用；-用于文件、數(shù)據(jù)和記錄的授權(quán)、安全、發(fā)放、控制的信息系統(tǒng)和技術(shù)。c） 組織狀況：使審核員能理解組織的運(yùn)作情況。這方面的知識(shí)和技能應(yīng)當(dāng)包括：-組織的規(guī)模、結(jié)構(gòu)、職能和關(guān)系，-總體運(yùn)營(yíng)過(guò)程和相關(guān)術(shù)語(yǔ)，-受審核方的文化和社會(huì)習(xí)俗。d) 適用的法律、法規(guī)和相關(guān)領(lǐng)域的其他要求：使審核員能了解并在適用于受審核方的這些要求的范圍內(nèi)開(kāi)展工作。這方面的知識(shí)和技能包括：-國(guó)家的、區(qū)域的和地方的法律、法規(guī)和規(guī)章；-合同和協(xié)議，-國(guó)際條約和公約，

37、-組織遵守的其他要求。7.3.2 審核組長(zhǎng)的通用知識(shí)和技能審核組組長(zhǎng)還應(yīng)當(dāng)具有關(guān)于領(lǐng)導(dǎo)審核方面的知識(shí)和技能，以便審核能有效地和高效地進(jìn)行。審核組長(zhǎng)應(yīng)當(dāng)能夠：-對(duì)審核進(jìn)行策劃并在審核中有效地利用資源；-代表審核組與審核委托方和受審核方進(jìn)行溝通；-組織和指導(dǎo)審核組成員； -為實(shí)習(xí)審核員提供指導(dǎo)和指南；-領(lǐng)導(dǎo)審核組得出審核結(jié)論；-預(yù)防和解決沖突； -編制和完成審核報(bào)告。7.3.3 通用專業(yè)技術(shù)知識(shí)和技能信息安全管理體系審核員應(yīng)當(dāng)具有下列知識(shí)和技能：a） 與IT 技術(shù)有關(guān)的知識(shí)和技能：使審核員能檢查IT 技術(shù)對(duì)業(yè)務(wù)連續(xù)性的影響，并形成適當(dāng)?shù)膶徍税l(fā)現(xiàn)和結(jié)論。這方面的知識(shí)和技能應(yīng)當(dāng)包括：-網(wǎng)絡(luò)通訊技術(shù)-計(jì)

38、算機(jī)平臺(tái)技術(shù)-軟件技術(shù)-IT服務(wù)-基礎(chǔ)應(yīng)用技術(shù)，-上述技術(shù)的運(yùn)用。b）與信息安全相關(guān)的技術(shù)，尤其是與GB/T22080-2019/ISO/IEC27001:2019附錄A 所建議的控制措施有關(guān)的信息安全技術(shù)的知識(shí)和技能：使審核員能檢查采取信息安全技術(shù)的控制措施的有效性，并形成適當(dāng)?shù)膶徍税l(fā)現(xiàn)和結(jié)論。這方面的知識(shí)和技能應(yīng)當(dāng)包括：-風(fēng)險(xiǎn)管理，-物理和環(huán)境安全，-通訊與操作管理，-邊界安全，-應(yīng)用安全，-密碼與認(rèn)證技術(shù)，-安全管理與支持，-上述技術(shù)的運(yùn)用。7.3.4 與應(yīng)用領(lǐng)域相關(guān)的知識(shí)和技能a） 信息安全管理體系的建設(shè)與組織的業(yè)務(wù)時(shí)密切相關(guān)，標(biāo)準(zhǔn)要求基于業(yè)務(wù)風(fēng)險(xiǎn)進(jìn)行管理，組織的業(yè)務(wù)過(guò)程和產(chǎn)品，包括服

39、務(wù)：使審核員能理解被審核范圍內(nèi)的應(yīng)用技術(shù)內(nèi)容。這方面的知識(shí)和技能應(yīng)當(dāng)包括：-行業(yè)特定的術(shù)語(yǔ)，-過(guò)程和產(chǎn)品包括服務(wù)的技術(shù)特性，-行業(yè)特定的過(guò)程和慣例。b) 與業(yè)務(wù)密切相關(guān)的關(guān)鍵信息系統(tǒng)是信息安全管理體系建設(shè)過(guò)程中需要特別關(guān)注的內(nèi)容，為了正確把握采取合適的信息安全技術(shù)控制措施，對(duì)應(yīng)行業(yè)領(lǐng)域分類中的特定信息系統(tǒng)應(yīng)充分理解，包括但不僅限于：表1. 典型應(yīng)用系統(tǒng)舉例編號(hào)名稱B2.1電子投票B2.2電子簽章B2.3庭審監(jiān)控B2.4網(wǎng)上報(bào)稅B2.5稅務(wù)監(jiān)管B2.6電子報(bào)關(guān)與通關(guān)B2.7海關(guān)稅務(wù)關(guān)聯(lián)退稅B2.8播報(bào)監(jiān)控B2.9用戶管理與計(jì)費(fèi)B2.10通訊網(wǎng)絡(luò)監(jiān)管B2.11電子出版B2.12電子游戲B2.13社

40、會(huì)保障系統(tǒng)B2.14醫(yī)院綜合系統(tǒng)B2.15網(wǎng)上教育系統(tǒng)B2.16經(jīng)銷存系統(tǒng)B2.17銀行業(yè)務(wù)系統(tǒng)B2.18銀行服務(wù)前端B2.19網(wǎng)上銀行B2.20銀聯(lián)清算系統(tǒng)B2.21個(gè)人經(jīng)信系統(tǒng)B2.22電子商務(wù)網(wǎng)上保障與清算系統(tǒng)B2.23物流管理B2.24賓館、飯店管理B2.25電力實(shí)時(shí)監(jiān)控與控制系統(tǒng)B2.26鐵路實(shí)時(shí)監(jiān)控B2.27鐵路售票系統(tǒng)B2.28民航機(jī)場(chǎng)綜合管理B2.29機(jī)場(chǎng)離港系統(tǒng)B2.30民航電子客票管理B2.31化工生產(chǎn)過(guò)程控制系統(tǒng)B2.32水利監(jiān)控B2.33食品安全跟蹤7.4 教育、工作經(jīng)歷、審核員培訓(xùn)和審核經(jīng)歷7.4.1 ISMS審核員資格條件a) 教育：1) ISMS相應(yīng)專業(yè)本科學(xué)歷（

41、或同等學(xué)力），包括：計(jì)算機(jī)科學(xué)技術(shù)，電子、通信和自動(dòng)控制技術(shù)，數(shù)學(xué)，物理；或2) ISMS相關(guān)專業(yè)本科學(xué)歷（或同等學(xué)力），包括：G.1.4.1 a）1）以外的其他理工學(xué)科，管理。b) 工作經(jīng)歷：1) 滿足7.4.1 a）1）時(shí)，至少4年信息技術(shù)方面全職實(shí)際工作經(jīng)歷，其中至少2年的工作經(jīng)歷來(lái)自與信息安全有關(guān)的職責(zé)或職能；或2) 滿足7.4.1 a）2）時(shí)，至少6年信息技術(shù)方面全職實(shí)際工作經(jīng)歷，其中至少3年的工作經(jīng)歷來(lái)自與信息安全有關(guān)的職責(zé)或職能。c) 審核員培訓(xùn)：成功完成5天或40小時(shí)的ISMS審核員培訓(xùn)；d) 審核經(jīng)歷：參加至少4次ISMS審核，審核總天數(shù)不少于20天，其中包括文件評(píng)審、風(fēng)險(xiǎn)分

42、析的評(píng)審、現(xiàn)場(chǎng)審核和審核報(bào)告。7.4.2 特定應(yīng)用領(lǐng)域的ISMS專業(yè)審核員和ISMS技術(shù)專家資格條件a) 教育：滿足7.4.1 a）的1）或2）；b) 該應(yīng)用領(lǐng)域技術(shù)工作經(jīng)歷：1) 滿足7.4.1 b）1），且至少1年該技術(shù)領(lǐng)域相關(guān)工作經(jīng)歷，可與7.4.1 b）1）同時(shí)發(fā)生；或2) 滿足7.4.1 b）2），且至少2年該技術(shù)領(lǐng)域相關(guān)工作經(jīng)歷，可與7.4.1 b）2）同時(shí)發(fā)生。注：7.4.2的b）可用c）或d）或e)或f)或g)或h) 代替。c) 該應(yīng)用領(lǐng)域技術(shù)相關(guān)培訓(xùn)：1) ISMS專業(yè)審核員：滿足7.4.1 c），且成功完成該技術(shù)領(lǐng)域相關(guān)的審核技術(shù)培訓(xùn)（可與7.4.1 c）同時(shí)發(fā)生）；2)

43、ISMS技術(shù)專家：成功完成該技術(shù)領(lǐng)域相關(guān)的信息技術(shù)、信息安全、法律法規(guī)等培訓(xùn)。d) 該技術(shù)領(lǐng)域相關(guān)審核經(jīng)歷（ISMS專業(yè)審核員適用）：滿足7.4.1 d），且在該技術(shù)領(lǐng)域ISMS專業(yè)審核員或技術(shù)專家指導(dǎo)下，參加至少4次涉及該技術(shù)領(lǐng)域的ISMS審核，審核總天數(shù)不少于20天（可7.1.4.1 d）同時(shí)發(fā)生）；e) 該技術(shù)領(lǐng)域相關(guān)技術(shù)研究經(jīng)歷（ISMS專業(yè)審核員適用）：從事相應(yīng)的技術(shù)研究工作2年以上，且主管或主要技術(shù)負(fù)責(zé)進(jìn)行了一個(gè)以上的研究課題的科研工作；f) 該技術(shù)領(lǐng)域相關(guān)技術(shù)開(kāi)發(fā)工作經(jīng)歷（ISMS專業(yè)審核員適用）：從事相應(yīng)的應(yīng)用領(lǐng)域的關(guān)鍵信息系統(tǒng)（可參考7.3.4 b） 表1所列舉的系統(tǒng)）的開(kāi)發(fā)

44、工作，至少主持或作為系統(tǒng)分析師參與一個(gè)系統(tǒng)的開(kāi)發(fā)工作；g) 該技術(shù)領(lǐng)域相關(guān)技術(shù)維護(hù)或技術(shù)服務(wù)工作經(jīng)歷（ISMS專業(yè)審核員適用）：從事相應(yīng)的應(yīng)用領(lǐng)域的關(guān)鍵信息系統(tǒng)（可參考7.3.4 b） 表1所列舉的系統(tǒng)）的維護(hù)或技術(shù)服務(wù)工作工作，至少親自作為主管參與一個(gè)以上系統(tǒng)、兩年以上的維護(hù)或技術(shù)服務(wù)工作；h) 該技術(shù)領(lǐng)域相關(guān)技術(shù)科學(xué)研究經(jīng)歷（ISMS專業(yè)審核員適用）：從事相應(yīng)的科學(xué)研究工作3年以上，并出版學(xué)術(shù)專著一本以上，或在國(guó)家一級(jí)學(xué)術(shù)刊物或國(guó)際學(xué)術(shù)刊物發(fā)表學(xué)術(shù)論文2篇以上；i) 該技術(shù)領(lǐng)域的其他資格條件。7.4.3 審核組長(zhǎng)審核組長(zhǎng)應(yīng)當(dāng)取得附加的審核經(jīng)歷，以獲得 7.3.2條款所述的知識(shí)和技能。這種附

45、加的經(jīng)歷應(yīng)當(dāng)是在能勝任審核組長(zhǎng)的另一名審核員的指導(dǎo)和幫助下?lián)谓M長(zhǎng)的經(jīng)歷。7.5 能力的保持和提高7.5.1 持續(xù)的專業(yè)發(fā)展持續(xù)的專業(yè)發(fā)展關(guān)注知識(shí)、技能和個(gè)人素質(zhì)的保持和提高。這可以通過(guò)一些方法來(lái)實(shí)現(xiàn)，例如：更多的工作經(jīng)歷、培訓(xùn)、自學(xué)、教學(xué)、參加各種有關(guān)會(huì)議或其他相關(guān)活動(dòng)。審核員應(yīng)當(dāng)證實(shí)其持續(xù)的專業(yè)發(fā)展。持續(xù)的專業(yè)發(fā)展活動(dòng)應(yīng)當(dāng)考慮個(gè)人和組織的需要、審核實(shí)踐、標(biāo)準(zhǔn)及其他要求的變化。7.5.2 審核能力的保持審核員應(yīng)當(dāng)通過(guò)不斷地參加信息安全管理體系的審核來(lái)保持和證實(shí)其審核能力。7.6 審核員的評(píng)價(jià)7.6.1 總則應(yīng)當(dāng)根據(jù)審核方案程序，對(duì)審核員和審核組長(zhǎng)的評(píng)價(jià)進(jìn)行策劃、實(shí)施和記錄，以提供客觀、一致、公正和可信的結(jié)果。評(píng)價(jià)過(guò)程應(yīng)當(dāng)識(shí)別培訓(xùn)和其它技能提高的需要。對(duì)審核員的評(píng)價(jià)有以下不同的階段：-對(duì)希望成為審核員的申請(qǐng)人進(jìn)行初始評(píng)價(jià)；-對(duì)審核員的評(píng)價(jià),作為6.2.3條款所描述的審核組選擇過(guò)程的組成部分；-對(duì)審核員表現(xiàn)的持續(xù)評(píng)價(jià)，以識(shí)別知識(shí)和技能的保持與提高的需要。圖6描述了評(píng)價(jià)階段之間的關(guān)系。7.6.2條款描述的過(guò)程步驟可用于每個(gè)評(píng)價(jià)階段。 能力發(fā)展 不符合準(zhǔn)則初始評(píng)價(jià)（7.6） 表現(xiàn)的持續(xù)評(píng)價(jià)符合準(zhǔn)則