GB/T 25067-2020 信息技術 安全技術 新型安全管理體系審核和認證機構要求7.2 參與認證活動的人員
GB/T27021.1一2017中7.2的要求適用。并且,以下要求和指南適用。
7.2.1 IS 7.2 證實審核員的知識和經驗
認證機構應通過以下方面來證實審核員具備知識和經驗:
a)獲得承認的IS MS特定資格;
b)適用時,注冊為審核員;
c)參加IS MS培訓課程并獲得相關的個人證書;
d)最新的持續專業發展記錄;
e)由另一個ISMS審核員見證ISMS審核。
7.2.1.1 選擇審核員
除7.1.2.1之外,選擇審核員的準則應確保每位審核員:
a)具備相當于大學教育水平的專業教育或培訓。
b)在信息技術方面具備至少4年的全職實際工作經歷,其中至少2年的工作經歷來自與信息安全有關的職責或職能。
c)成功地完成至少5天的培訓, 培訓范圍包括IS MS審核和審核管理。
d)在被賦予審核員責任之前,已獲得整個信息安全評估過程的經驗。宜通過參與最少4次、總天數至少20天(其中最多5天可來自監督審核) 的IS MS認證審核(包括再認證審核和監督審核)來獲得這種經驗。參與審核時,應包括評審文件與風險評估,評估實施情況和報告審核情況。
e)具備相關的且合乎時宜的經驗。
f)通過持續的專業發展,保持當前在信息安全和審核方面的知識和技能是最新的。
技術專家應符合準則a)、b)和e)。
7.2.1.2 選擇領導審核組的審核員
除了7.1.2.2和7.2.1.1外,選擇領導審核組的審核員的準則應確保該審核員:
a)已經積極參與過至少3次IS MS審核的所有階段。參與審核時, 應包括初次的范圍識別與策劃、評審文件與風險評估、評估實施情況和正式地報告審核情況。
推薦文章: