GB/T 25067-2020 信息技術 安全技術 新型安全管理體系審核和認證機構要求ISMS 審核與認證的知識與技能
A.1 概述
表A.1提供了IS MS審核與認證所要求的知識與技能的摘要。然而, 表A.1是資料性的, 因為它只識別了特定認證職能所需的知識與技能的領域。
本標準的正文闡述了每項認證職能的能力要求,表A.1給出了對具體要求的引用。
A.2 對通用能力的考慮
有很多途徑可以證實審核員的知識和經驗,例如,通過使用獲得承認的資格來評價知識和經驗。人員認證方案下的注冊記錄也可以用來評價所需的知識和經驗。宜確定審核組所需的能力水平,使其與組織的行業/技術領域和IS MS的復雜性相符。
A.3 對特定知識和經驗的考慮
A.3.1 與IS MS相關的典型知識
除了7.1.2中的要求外,宜考慮以下要求。審核員宜具備并理解下列審核和ISMS方面的知識:
– 審核方案和策劃;
– 審核類型和方法;
– 審核風險;
– 信息安全過程分析;
– 持續改進;
– 信息安全內部審核。
審核員宜具備并理解下列法規要求方面的知識:
– 知識產權;
– 組織記錄的內容、保護和保存;
– 數據保護與隱私;
– 密碼控制規則;
– 電子商務;
– 電子簽名與數字簽名;
– 工作場所監督;
– 通信偵聽與數據監視(例如,電子郵件);
– 計算機濫用;
– 電子證據收集;
– 滲透測試;
– 國際的和國家的行業特定要求(例如,銀行業)。
推薦文章: