1、书 书 书犐 犆犛 犔?犌犅犜?犆狅 狀 犳 狅 狉犿 犻 狋 狔犪 狊 狊 犲 狊 狊犿犲 狀 狋犚犲 狇 狌 犻 狉 犲犿犲 狀 狋 狊犳 狅 狉犫 狅 犱 犻 犲 狊狆 狉 狅 狏 犻 犱 犻 狀 犵犪 狌 犱 犻 狋犪 狀 犱犮 犲 狉 狋 犻 犳 犻 犮 犪 狋 犻 狅 狀狅 犳犫 狌 狊 犻 狀 犲 狊 狊犮 狅 狀 狋 犻 狀 狌 犻 狋 狔犿犪 狀 犪 犵 犲犿犲 狀 狋狊 狔 狊 狋 犲犿狊?书 书 书目次前言引言范围规范性引用文件术语和定义原则通用要求 法律与合同事宜 公正性的管理 责任和财力结构要求资源要求 人员能力 参与认证活动的人员 外部审核员和外部技术专家的使用 人
2、员记录 外包信息要求 公开信息 认证文件 认证资格的引用和标志的使用 保密 认证机构与其客户间的信息交换过程要求 认证前的活动 策划审核 初次认证 实施审核 认证决定 保持认证 申诉 投诉 客户的记录犌犅犜 认证机构的管理要求附录(资料性附录)业务连续性管理体系审核及认证的知识附录(资料性附录)能力需求分析与评价附录(资料性附录)认证审核时间确定指南 参考文献 犌犅犜 前言本标准按照 给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国认证认可标准化技术委员会()提出并归口。本标准起草单位:中国网络安全审查技术与认证中心、山东省标准化研究院
3、、中国标准化研究院、中国合格评定国家认可中心、广发银行股份有限公司信用卡中心、北京奇安信科技有限公司、中国认证认可协会、中金金融认证中心有限公司、中国民航大学、北京华认企业管理咨询有限公司。本标准主要起草人:魏军、尤其、王凤娇、王曙光、公伟、秦挺鑫、付志高、张桂明、鲍旭华、郝静、谢宗晓、顾兆军、任天。犌犅犜 引言 合格评定管理体系审核认证机构要求第部分:要求为机构对组织的管理体系实施审核和认证建立了准则。如果这类机构按照 公共安全业务连续性管理体系要求开展以业务连续性管理体系()审核和认证为目的活动,对 补充一些要求和指南是必要的。本标准提供了这样的内容。本标准正文遵循 的结构,增加了针对业务
4、连续性管理体系审核和认证机构的专用要求,并与 共同使用。本标准的主要目的是使得认可机构在应用其评审认证机构所依据的标准时更有效地协调一致。犌犅犜 合格评定业务连续性管理体系审核和认证机构要求范围本标准规定了在 和 的基础上,业务连续性管理体系()认证机构所遵循的原则和对认证机构的要求,明确了审核与认证机构的能力、一致性和公正性的原则、认证相关活动的实施和管理要求等。本标准适用于所有提供审核和认证的机构,这些机构需要在能力和可靠性方面证实其满足本标准中的要求。规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(
5、包括所有的修改单)适用于本文件。合格评定词汇和通用原则 合格评定管理体系审核认证机构要求第部分:要求 公共安全业务连续性管理体系要求术语和定义 、界定的以及下列术语和定义适用于本文件。认证文件犮 犲 狉 狋 犻 犳 犻 犮 犪 狋 犻 狅 狀犱 狅 犮 狌犿犲 狀 狋表明客户的符合规定的标准及所要求的任何补充性文件的一类文件。原则应符合 中第章的要求。通用要求 法律与合同事宜应符合 中 的要求。公正性的管理应符合 中 的要求,并且以下要求同时适用。认证机构可以从事以下工作,而不被视为咨询或具有潜在的利益冲突:犌犅犜 )安排培训课程并作为教师参与讲授,如果这些课程涉及业务连续性管理、有关的管理体
6、系或审核,认证机构应仅限于提供可公开获取的通用信息和建议,即认证机构不应针对具体客户提供那些违反下面)要求的建议。)根据请求,提供或发布认证机构对认证审核标准要求的解释性信息。)仅以确定认证审核是否就绪为目的的审核前活动,但是这些活动不应导致提供违反本条款的建议和意见。认证机构应能够证实这些活动不违反本条款的要求,且没有把这些活动作为减少最终认证审核时间的理由。)根据没有包含在认可范围内的标准或法规,实施第二方或第三方审核。)在认证审核和监督审核过程中的增值活动,例如,在审核过程中,当改进机会明显时,识别改进机会但不推荐具体的解决方案。认证机构不应为寻求认证的客户的提供内部业务连续性评审。此外
7、,认证机构应独立于提供内部审核的机构(包括任何个人)。责任和财力应符合 中 的要求。结构要求应符合 中第章的要求。资源要求 人员能力 总则应符合 中 的要求,并且 中的要求同时适用。总体考虑为实施业务连续性管理体系认证,管理层应确保选择、提供和管理那些具备与受审核的活动和有关的业务连续性管理事宜相适应的技能和综合能力的人员。认证机构应对 表 中的每一项认证职能定义能力要求。在定义这些能力要求时,认证机构应考虑 中指明的所有要求,和本标准 和 中的所有要求。注:附录提供了对业务连续性管理体系认证职能所涉及人员能力要求的信息摘要。能力准则的确定认证机构应确保相关人员理解组织业务连续性管理有关的技术
8、、法律、法规以及其他相关要求。认证机构应有形成文件的过程,以确定参与管理和实施审核与认证的人员及其能力准则。这些人员包括但不限于实施申请评审以确定所需的审核组能力,选择审核组成员并确定审核时间的人员,复核审核报告并作出认证决定的人员,审核和领导审核组的人员。学历教育、在职培训、工作经历是人员获取所需能力的途径,认证机构应对各类人员实际所具有的能力进行评价和证实,而不应仅用资格条件的审查代替能力的评价和证实。该过程的输出应是形成文件的所要求知识和技能的准则,这些知识和技能是有效地实施审核与认证任务以实现预期结果所必需的。犌犅犜 注:附录为认证机构建立的能力需求分析与评价系统提供了指南。参与认证活
9、动的人员 总则应符合 中 的要求,并且以下要求同时适用。申请评审、选择审核组和确定审核时间的人员实施申请评审以确定所需的审核组和选择审核组成员并确定审核时间的人员应具有以下能力:)选择审核员并验证他们的能力;)给业务连续性管理体系审核员提供简要的指导并安排必要的培训;)做出授予、保持、更新、扩大、缩小、暂停或撤销认证决定;)建立和实施投诉、申诉和争议程序;)实施申请评审以确定所需的审核组的能力。审核人员认证机构应为培训和选择审核组成员建立准则,以确保审核员具备特定的知识和技能。业务连续性管理体系审核员特定的知识和技能要求宜是以下 个方面相关内容的组合,认证机构应根据审核活动的能力需求确定实施审
10、核所需的特定知识和技能:)业务连续性管理()术语:具备及风险的词汇、定义和概念等知识。)组织环境:具备组织运行所处相关环境的知识。)法律法规和其他要求:理解组织业务连续性管理有关的技术、法律、法规以及其他相关要求。)业务连续性管理过程中的关系:具备各元素内部关系的知识。)业务影响分析和风险评估:)具备业务影响分析()的知识,包括:技术和方法;对提供产品和服务的活动的识别;时间上的影响评估,当影响变得不可接受时应能予以识别;对预期结果设定具有优先排序的时间表;对支持资源的识别。)具备风险评估和风险管理的知识,包括:对中断事件进行风险识别、风险分析和风险评估;现有控制措施的有效性;对适当的风险处置
11、的识别。)业务连续性策略:具备相关的策略方法等知识,以降低中断事件的影响及其发生的可能性,包括:策略变化;已准备措施;对可选性策略的选择;连续性策略的成本收益分析;和外部股东的协调方法;事件反应;沟通和交流;犌犅犜 指挥和控制;相关组织的协调;恢复和重建。)事件管理:具备应对事件管理的知识,包括预警和沟通需要,以确定组织是否对中断事件做出了适当反应。在验证组织的事件管理能力时,审核组、审核报告复核及做出认证决定的人员亦应具备评估组织的事件管理有效性的知识。)业务连续性计划:具备业务连续性计划的知识,包括业务连续性计划的建立、更新、维护、目的、格式、结构以及过程化细节等。)业务连续性实践:应具备
12、计划和执行业务连续性实践的知识,包括业务连续性实践的方式、过程、技巧技术以及评估组织是否达成了其恢复优先级别及恢复目标的能力评估标准。)绩效评估:应具备绩效评估的知识,包括指示物和绩效矩阵,以确定组织的绩效是否达成了其管理任务及目标。审核员应能够证实其具备上述知识和能力,如通过:)经承认的业务连续性管理方面的相关资质;)经注册的审核员资格;)经批准的业务连续性管理课程培训;)持续提升自身知识和能力的记录;)经现场验证的审核能力证明;)定期的个人评价记录。复核审核报告并做出认证决定的人员复合审核报告并做出认证决定过程的人员应具备对授予、保持、扩大、缩小、暂停和撤销认证的决定过程进行管理所需的技术
13、能力。外部审核员和外部技术专家的使用应符合 中 的要求,并且以下要求同时适用。认证机构可使用外部审核员或外部技术专家作为审核组的一部分参与审核,外部技术专家应在审核员的监督下进行工作。人员记录应符合 中 的要求。外包应符合 中 的要求。信息要求 公开信息应符合 中 的要求。认证文件应符合 中 的要求,并且以下要求同时适用。犌犅犜 认证文件应由具有负责此项职责的人员签署。认证资格的引用和标志的使用应符合 中 的要求。保密应符合 中 的要求,并且以下要求同时适用。认证机构应识别法律、法规对保密方面的要求,并在与组织签订的认证协议中明确双方及相关人员的责任和义务。在认证审核之前,认证机构应要求组织说
14、明是否存在不能提供给审核组的包含保密性或敏感性信息的记录,认证机构应确定是否能在缺少这些记录的情况下对进行充分的审核,如果认证机构认为不对已识别的保密性或敏感性的信息进行审核就不能保证审核的充分性,则应告知组织只有在获得适当的访问许可时才能进行认证审核。认证机构与其客户间的信息交换应符合 中 的要求。过程要求 认证前的活动 申请应符合 中 的要求。并且以下要求同时适用。认证机构应要求客户具有一个已文件化且已实施的。客户的应符合 和认证所要求的其他文件。申请评审应符合 中 的要求。并且以下要求同时适用。认证机构应评审客户的申请,以确保清晰地了解了客户的活动边界,以及业务连续性管理和服务的可能风险
15、。审核方案应符合 中 的要求。并且以下要求同时适用。审核方案应包含对客户演练活动的现场观察,以便为确定客户的有效性建立充分的信心。审核方案中对现场观察客户演练活动的安排,宜与客户的业务影响分析()结果和认证机构对客户的风险与绩效的评估结果相适宜。注:对客户的演练活动的现场观察,宜不晚于获证后的第一次监督审核活动。确定审核时间应符合 中 的要求。并且以下要求同时适用。认证机构应给予审核员足够的时间来开展与初次审核、监督审核或再认证审核相关的所有活动。总审核时间的计算,应包括报告审核情况所需的充足时间。认证机构宜使用附录来确定审核时间。犌犅犜 多场所的抽样应符合 中 的要求。并且以下要求同时适用。
16、如果客户具有多个地点且所有的地点满足以下条件时,认证机构可以使用基于抽样的方法来实施多场所认证审核:)在同一个实施集中管理的下运行;)包含在客户的内部审核方案中;)包含在客户的管理评审方案中。多管理体系标准应符合 中 的要求。并且以下要求同时适用。审核可以和其他管理体系审核相结合。结合审核或一体化审核应确保审核证据在审核范围内满足 的要求。在审核报告中,应容易辨识出与 相关的所有审核发现。审核的完整性,不应因结合审核而受到负面影响。策划审核 确定审核目的、范围和准则应符合 中 的要求。并且以下要求适用。的审核目的应包括确定管理体系的有效性,以确保客户已根据业务影响分析和风险评估建立了业务连续性计划并实施了演练从而实现了所设立的业务连续性目标。选择和指派审核组应符合 中 的要求。并且以下要求适用。认证机构应正式任命审核组并为其提供相应的工作文件。认证机构应明确地规定审核组的任务,并使客户知晓。审核组可以由一个人组成,只要其满足 中所规定的全部准则。审核计划应符合 中 的要求。并且以下要求和指南适用。审核准则是确定符合性的依据,宜包括:)中关于业务连续性管理体系的要求;)特定行业对业务连续
