9.1 認證前的活動

9.1.1 申請

GB/T 27021.1一2017 中9.1的要求適用。并且，以下要求和指南適用。

9.1.1.1 IS9.1.1申請準備

認證機構應要求客戶具有一個已文件化且已實施的、符合GB/T22080-2016和認證所要求的其他文件的ISMS。

9.1.2 申請評審

GB/T 27021.1一2017 中9.1.2的要求適用。

9.1.3 審核方案

GB/T 27021.1—2017 中9.1.3的要求適用。并且，以下要求和指南適用。

9.1.3.1 IS9.1.3總則

ISMS審核的審核方案應考慮所確定的信息安全控制。

9.1.3.2 IS9.1.3審核方法

認證機構的程序不應預先假定IS MS實施的特殊方式或文件和記錄的特殊格式。認證程序應將重點放在確定客戶的IS MS滿足GB/T 22080-2016的要求和客戶的策略與目標。

注：ISO/IEC 27007給出了有關審核的進一步指南。

9.1.3.3 IS9.1.3初次審核的總體準備

認證機構應要求客戶為調閱內部審核報告和信息安全獨立評審報告做出所有的必要安排。在認證審核的第一階段，客戶應至少提供以下信息：

a)IS MS和其所覆蓋活動的一般信息；

b)GB/T 22080—2016 中所規定的、必要的ISMS文件的副本， 以及必要的相關文件。

9.1.3.4 IS9.1.3評審周期

如果一個IS MS沒有至少實施過一次覆蓋認證范圍的管理評審和內部審核， 認證機構不應對該ISMS實施認證。

9.1.3.5 IS9.1.3認證范圍

審核組應根據所有適用的認證要求， 對包含在確定范圍內的客戶IS MS進行審核。認證機構應確認客戶在其IS MS范圍內滿足了GB/T 22080-2016中4.3的要求。

認證機構應確保：客戶的信息安全風險評估和風險處置準確地體現了其活動，并延伸到認證范圍內所界定的、其活動的邊界。認證機構應確認這在客戶的IS MS范圍和適用性聲明中得到了體現。認證機構應驗證每個認證范圍至少有一個適用性聲明。

認證機構應確保：與不完全包含在ISMS范圍內的服務或活動的接口， 已在尋求認證的IS MS中得到說明，并已包括在客戶的信息安全風險評估中。與其他機構共享設施(例如，IT系統、數據庫、通信系統或外包一項業務職能)，是這類情形的一個示例。

9.1.3.6 IS9.1.3認證審核準則

客戶IS MS接受審核的準則應是ISMS標準GB/T 22080-2016。與所履行的職能相關的其他文件，可以作為認證要求。

9.1.4 確定審核時間

GB/T 27021.1—2017中9.1.4的要求適用。并且，以下要求和指南適用。

9.1.4.1 IS9.1.4審核時間

認證機構應給予審核員足夠的時間來開展與初次審核、監督審核或再認證審核相關的所有活動。總審核時間的計算，應包括報告審核情況所需的充足時間。

認證機構應按照附錄B來確定審核時間。

注：附錄C提供了計算審核時間的進一步指南和示例。

9.1.5 多場所的抽樣

GB/T 27021.1—2017 中9.1.5 的要求適用。并且，以下要求和指南適用。

9.1.5.1 IS9.1.5多場所

9.1.5.1.1

當客戶擁有滿足以下a)~c)的多個場所時，認證機構可以考慮使用基于抽樣的方法進行多場所認證審核：

a)所有的場所在同一個IS MS下運行且該IS MS實行集中統一的管理、審核和管理評審；

b)所有的場所都包含在客戶的IS MS內部審核方案中；

c)所有的場所都包含在客戶的IS MS管理評審方案中。

9.1.5.1.2

認證機構使用基于抽樣的方法時，應有適宜的程序以確保：

a)在初次的合同評審時，最大程度地識別場所之間的差異，以便確定適當的抽樣水平。

b)結合以下因素，認證機構抽取具有代表性的場所：

1)總部及其他場所的內部審核的結果；

2)管理評審的結果；

3)場所規模的差異；

4)各場所業務目的的差異；

5)不同場所的信息系統的復雜程度；

6)工作實踐的差異；

7)所實施的活動的差異；

8)控制的設計與運行的差異；

9)與關鍵的信息系統或處理敏感信息的信息系統之間的潛在交互；

10)任何不同的法律要求；

11)地域因素和文化因素；

12)場所的風險狀況；

13)發生在特定場所的信息安全事件。

c)從客戶IS MS范圍內的所有場所中選擇具有代表性的樣本， 該選擇應基于一個可體現上述b)中所列因素的判定，同時也考慮隨機因素。

d)在授予認證之前， 認證機構審核了IS MS中每個具有重大風險的場所。

e)根據上述要求設計審核方案， 且審核方案要在三年內覆蓋IS MS認證范圍內的代表性樣本。

f)無論是在總部還是在單個場所發現不符合，糾正措施程序的實施適用于證書所覆蓋的總部和所有場所。

審核應關注客戶總部為確保一個單一的IS MS適用于所有場所并在運行層面上實施統一管理所進行的活動。審核應關注上述所有事項。

9.1.6 多管理體系標準

GB/T 27021.1—2017 中9.1.6的要求適用。并且，以下要求和指南適用。

9.1.6.1 IS 9.1.6ISMS文件與其他管理體系文件的整合

只要能夠清楚地識別IS MS以及IS MS與其他管理體系的適當接口， 認證機構可以接受多個管理體系文件相結合的文件(例如，信息安全、質量、健康與安全、環境)。

9.1.6.2 IS9.1.6管理體系結合審核

只要能夠證實審核滿足了IS MS認證的所有要求， IS MS審核可以和其他管理體系審核相結合。在審核報告中， 所有對IS MS重要的要素應清晰地體現并易于識別。審核的質量不應因結合審核而受到負面影響。