7.1 人員能力

GB/T 27021.1一2017 中7.1的要求適用。并且，以下要求和指南適用。

7.1.1 IS 7.1.1總體考慮

7.1.1.1 通用的能力要求

認證機構應確保其具備與所評估的客戶IS MS有關的、最新的技術知識和法律法規知識。

附錄A概括了特定認證職能的人員能力要求。

7.1.2 IS 7.1.2能力準則的確定

7.1.2.1 實施IS MS審核的能力要求

7.1.2.1.1 總體要求

認證機構應有驗證審核組成員的背景經驗、特定培訓或情況說明的準則，以確保審核組至少具備：

a)信息安全的知識；

b)與受審核的活動相關的技術知識；

c)管理體系的知識；

d)審核原則的知識；

注：有關審核原則的進一步信息， 參見ISO 19011。

e)ISMS監視、測量、分析和評價的知識。

除了b)可以在作為審核組成員的審核員之間共享外，以上a)~e)適用于作為審核組成員的所有審核員。

審核組應有能力將客戶IS MS中信息安全事件的跡象追溯到IS MS的相應要素。

審核組應有關于上述知識項的適當工作經歷且實際應用過這些知識項(這不意味著一個審核員需要具有信息安全所有領域的全面的經驗，但審核組整體上應對被審核的領域具備足夠的認識和經驗)。

7.1.2.1.2 信息安全管理術語、原則、實踐和技術

審核組所有成員作為一個整體，應具有以下知識：

a)ISMS特定文件的結構、層級和相互關系；

b)信息安全管理相關的工具、方法、技術及其應用；

c)信息安全風險評估和風險管理；

d)ISMS適用的過程；

e)當前可能與信息安全相關的或可能面臨信息安全問題的技術。

每個審核員應滿足a)、c)和d)。

7.1.2.1.3 信息安全管理體系標準和規范性文件

參與ISMS審核的審核員， 應具有以下知識：

a)GB/T 22080—2016 的所有要求；

審核組所有成員作為一個整體，應具有以下知識：

b)GB/T22081(如確定有必要，還可來源于特定行業標準)中的所有控制及其實現，這些控制分為以下類別：

1)信息安全策略；

2)信息安全組織；

3)人力資源安全；

4)資產管理；

5)訪問控制，包括授權；

6)密碼；

7)物理和環境安全；

8)運行安全，包括IT服務；

9)通信安全，包括網絡安全管理和信息傳輸；

10)系統獲取、開發和維護；

11)供應商關系，包括外包服務；

12)信息安全事件管理；

13)業務連續性管理的信息安全方面，包括冗余；

14)符合性，包括信息安全評審。

7.1.2.1.4 業務管理實踐

參與IS MS審核的審核員， 應具有以下知識：

a)行業的信息安全最佳實踐和信息安全規程；

b)信息安全的策略和業務要求；

c)通用業務管理的概念、實踐，以及方針、目標和結果之間的相互關系；

d)管理過程和相關的術語。

注：這些過程也包括人力資源管理、內部溝通、外部溝通和其他的相關支持過程。

7.1.2.1.5 客戶的業務領域

參與IS MS審核的審核員， 應具有以下知識：

a)特定的信息安全領域、地域和管轄范圍的法律法規要求；

注：具備法律法規要求的知識，不意味著要有深厚的法律背景。

b)與業務領域相關的信息安全風險；

c)與客戶業務領域相關的通用術語、過程和技術；

d)相關業務領域的實踐。

其中的a)可在審核組內共享。

7.1.2.1.6 客戶的產品、過程和組織

審核組所有成員作為一個整體，應具有以下知識：

a)組織類型、規模、治理、結構、職能和關系對IS MS的開發與實施和認證活動的影響， 包括外包；

b)廣義上的復雜運營；

c)適用于產品或服務的法律法規要求。

7.1.2.2 領導ISMS審核組的能力要求

除了7.1.2.1中的要求以外，審核組組長還應滿足以下要求，且應在有指導和監督的審核中予以證實：

a)具備管理認證審核過程和審核組的知識和技能；

b)具備有效的口頭和書面溝通能力。

7.1.2.3 實施申請評審的能力要求

7.1.2.3.1 信息安全管理體系標準和規范性文件

實施申請評審以確定所需的審核組能力、選擇審核組成員并確定審核時間的人員，應具備以下知識：

a)認證過程中所用的相關IS MS標準和其他規范性文件。

7.1.2.3.2 客戶的業務領域

實施申請評審以確定所需的審核組能力、選擇審核組成員并確定審核時間的人員，應具備以下知識：

a)與客戶業務領域相關的通用術語、過程、技術和風險。

7.1.2.3.3 客戶的產品、過程和組織

實施申請評審以確定所需的審核組能力、選擇審核組成員并確定審核時間的人員，應具備以下知識：

a)客戶產品、過程、組織類型、規模、治理、結構、職能以及IS MS的開發與實施和認證活動之間的關系，包括外包的職能。

7.1.2.4 復核審核報告并做出認證決定的能力要求

7.1.2.4.1 總則

復核審核報告并做出認證決定的人員應具備知識，使其能夠驗證認證范圍的適宜性、范圍的變更以及變更對審核有效性的影響，特別是識別接口與依賴關系的持續有效性和相應的風險。

此外，復核審核報告并做出認證決定的人員應具備以下知識：

a)通用的管理體系；

b)審核過程和程序；

c)審核原則、實踐和技巧。

7.1.2.4.2 信息安全管理術語、原則、實踐和技術

復核審核報告并做出認證決定的人員，應具備以下知識：

a)7.1.2.1.2中a)、c)、d)所列條目；

b)與信息安全相關的法律法規要求。

7.1.2.4.3 信息安全管理體系標準和規范性文件

復核審核報告并做出認證決定的人員，應具備以下知識：

a)認證過程中所用的相關IS MS標準和其他規范性文件。

7.1.2.4.4 客戶的業務領域

復核審核報告并做出認證決定的人員，應具備以下知識：

a)與相關業務領域實踐有關的通用術語和風險。

7.1.2.4.5 客戶的產品、過程和組織

復核審核報告并做出認證決定的人員，應具備以下知識：

a)客戶的產品、過程、組織類型、規模、治理、結構、職能和關系。