信息安全管理体系认证审核员确认方案

中 国 认 证 认 可 协 会

中认协注 [2007]155号

关于发布信息安全管理体系认证审核员

确认方案的通知

各有关机构：

根据国家认监委信息安全管理体系认证工作的安排，为满

足信息安全管理体系认证的需要，中国认证认可协会制定了《信息安全管理体系认证审核员确认方案》（见附件），现将该方案印发你们，请遵照执行。

附件：1.《信息安全管理体系认证审核员确认方案》

2.《CCAA认证人员确认申请表》

（附件文件也可在CCAA网站www.ccaa.org.cn查看下载。）

二○○七年九月十一日

— 1 —

附件1：

信息安全管理体系认证审核员确认方案

一、目的

为满足国家质量监督检验检疫总局《认证及认证培训、咨

询人员管理办法》（总局令2004年第61号）第六条“属于认证及认证培训、咨询新领域、国家尚未建立执业资格注册制度的，由相应认证及认证培训、咨询机构建立执业人员评价制度，并统一向中国认证人员与培训机构国家认可委员会申请办理相关人员执业资格的确认，未经确认的，不得从事相关活动”规定的要求，中国认证认可协会（CCAA）根据《新领域认证及认证培训、咨询人员确认程序规则》的有关规定，制定本确认方案。

二、确认范围与级别

1.本方案适用于信息安全管理体系（以下简称ISMS）审核

员的确认。

2.确认分ISMS审核员和ISMS高级审核员两个级别。

三、确认要求

（一）对确认申请人推荐机构的要求

1．经CNCA批准的认证机构；

2．具有CNCA批准的信息安全管理体系认证业务范围；

3．建立了满足认证工作需求的质量管理体系；

4．建立了与所从事的认证活动相适应的信息安全管理体

系认证人员选择、培训、评价、聘用和管理的制度或程序并形成文件；

5．按照机构建立的评价制度对申请确认人员作出客观评

— 2 —

价并形成记录。

（二）对确认申请人员的基本要求

1.个人素质

申请人应具备以下个人素质：

●有道德：公正、可靠、忠诚、诚实和谨慎；

●思想开明：愿意考虑不同意见或观点；

●善于交往：灵活地与人交往；

●善于观察：主动地认识周围环境和活动；

●有感知力：能本能地了解和理解环境；

●适应力强：容易适应不同情况；

●坚韧不拔：对实现目的坚持不懈；

●明断：根据逻辑推理和分析及时得出结论；

●自立：在同其他人交往中独立工作并发挥作用。

2.行为准则

经确认的ISMS审核员有义务严格遵守以下行为准则：

●遵纪守法、敬业诚信、客观公正；

●努力提高审核技能和信誉；

●帮助其监督管理的人员提高管理水平、专业和审核技

能；

●不承担本人不具备能力的审核；

●不介入冲突或利益竞争，不向审核员聘用机构隐瞒任

何可能影响公正判断的关系；

●除非审核员聘用机构和受审核方书面授权或有法律要

求，不讨论或透露任何有关审核的信息；

●不接受受审核方及其工作人员或任何相关方的回扣、

礼品及其他任何形式的好处，也不应在知情时允许同事接受；

●不有意传播任何错误的或易产生误解的信息，以防影

响审核或审核员注册/确认过程的信誉；

— 3 —

●在任何情况下，不损坏CCAA及其注册/确认过程的声誉，

与针对违背本准则的行为而进行的调查给予充分的合作；

●不对受审核方既进行咨询又进行认证审核。

3.教育经历

申请人应具有国家承认的大学本科以上（含）学历。

4.工作经历

申请人应具有至少4年工作经历。

工作经历应是在取得大学本科以上（含）学历之后获得的。

5.专业工作经历

申请人在全部工作经历中应具有至少2年与信息安全相关的

工作经历。

专业工作经历与工作经历可以同时发生。

注：信息安全相关工作经历包括信息安全管理工作（如ISMS

的研究、实施、运作、咨询、审核、教学经历），信息安全技术工作（如信息安全科研教学、工程设计与实施、产品研发与测试和网络管理工作等）。

其中：ISMS的实施经历是指组织中业务管理部门的人员和组

织中信息安全管理体系实施部门的负责人具体实施管理体系的经历。ISMS的运作经历指组织中最高管理层、信息安全主管部门的人员策划、运行信息的经历。

6．培训经历

申请人应完成不少于40小时的ISMS审核员培训；

审核员培训机构应经CNCA批准，其课程和教师应符合CCAA

的确认要求或通过CCAA培训课程的确认。

CCAA确认要求和程序详见《信息安全管理体系审核员培训课

程确认方案》（国认协〔2006〕14号）。

注：申请人参加境外培训机构的培训，按CCAA相关规定办

理。

— 4 —

7．信息安全审核经历或等同要求

ISMS审核员申请人无审核经历要求；

ISMS高级审核员申请人应具有至少2次ISMS审核经历，

并具有CCAA其他任一领域高级审核员/高级检查员有效注册资格或具有与信息安全相关的高级技术职称。

8．聘用

确认申请人应与申请机构（且仅与此一个机构）建立认证

人员聘用关系。

四、确认过程

1.申请：

确认申请应由聘用申请人的认证机构统一向CCAA申报。

2.申报资料

（1）认证机构应提交：

● 机构的批准文件复印件

● 机构的营业执照复印件

● 机构的质量管理体系文件

● 与CNCA批准的认证业务范围相应的审核人员评价制

度文件。

（2）确认申请人应提交：

●《CCAA认证人员确认申请表》（见附件），申请表应经

聘用机构确认；

● 学历证明复印件；

● 聘用合同复印件；

● 聘用机构按照本机构的审核人员评价制度对申请人

实施评价过程记录的复印件；

● 高级审核员申请人还应提交CCAA高级审核员/高级

检查员注册证书复印件，或与信息安全相关的高级技术职称证 — 5 —

书复印件；

● 审核经历（适用于高级审核员申请人）。

（3）申请人应按CCAA-201《认证人员注册、培训认可收

费规则》缴纳相应费用。

3．评价

CCAA对认证机构的相关证明和文件进行审核，确认机构的

申报资格；

CCAA评价人员对申请人的申请资料进行评价，提出确认意

见；

CCAA注册部负责人审查评价过程和确认意见，作出确认决

定；

CCAA秘书长批准确认决定并签发确认文件。

五、确认结果

CCAA将向申报机构发送审核人员资格确认文件。

确认资格自确认文件批准之日起生效，有效期3年；出现

以下情况时，有效期自动终止，确认资格即行失效：

● 确认人员与申报机构解除聘用关系；

● 确认人员违反法律法规、认证规范文件和审核员行为准

则，经CCAA查实的；

● CCAA建立覆盖确认业务范围的审核员注册制度满3个

月后。

— 6 —

附件2：

CCAA认证人员确认申请表 贴 照 片

处

性 别

出生日期 年 月 日 身份证号码

确 认 级 别

专业范围（适用时）

CCAA注册证书号（适用时） 年 月 日 工作单位

聘用机构