資訊安全管理系統
驗證機構認證規範
(ISO/IEC 27006:2015)
財 團 法 人 全 國 認 證 基 金 會
中 華 民 國 1
0
6 年 8 月
i TAF-MS-IC01/ ISSUE1/ 2017.08
文件制訂/修訂紀錄表
文件名稱: 資訊安全管理系統驗證機構認證規範
文件編號: TAF-MS-IC01
版別 日 期
摘 要
修(制)訂 審 查
核 准
備註
依簽
呈
2012.05 制訂
2014.02 A11.4.7 翻譯錯誤而修訂
李步賢
2012.05 驗證機構認證處
處長
李步賢
2014.02 驗證機構認證處
處長
2016.02 因應 ISO 27006:2015 而修訂 李步賢
2016.02 驗證機構認證處
處長
2017.08 驗證機構認證處
處長
1
4
5
1
2017.08
依據本會文件編碼原則修改文
件編號,並發行第一版。
「資訊安全管理系統驗證機構認證規範」(文件編號 MS-IC01)
係參照 ISO/IEC 27006:2015 訂定,惟全文中所引用之相關國際
標準,如已有轉訂為中國國家標準者,均加註中國國家標準編
號,以供參閱。
全文所引用文件如國際標準或中國國家標準等若有新修訂版發
行時,請自行參閱。本文件爲維持與原文一致性,不作個別修
訂。
ii TAF-MS-IC01/ ISSUE1/ 2017.08
資訊技術-安全技術-資訊安全管理系統稽核及驗證機構之規定
目錄
前言 ................................................................................................................................ v
簡介 ............................................................................................................................... vi
1. 範圍 ......................................................................................................................... 1
2. 引用標準................................................................................................................... 1
3. 名詞及定義 ............................................................................................................... 1
4. 原理 ......................................................................................................................... 1
5. 一般要求................................................................................................................... 1
5.1 法律及合約事務 ........................................................................................................ 1
5.2 公正性之管理 ............................................................................................................ 1
5.2.1 IS 5.2 利益衝突 ....................................................................................................... 1
5.3 責任及財務 ............................................................................................................... 2
6. 架構要求................................................................................................................... 2
7. 資源要求................................................................................................................... 2
7.1 人員之能力 ............................................................................................................... 2
7.1.1 IS 7.0 能力之考量 .................................................................................................... 2
7.1.2 IS 7.1.2 能力規範的確認 ......................................................................................... 2
7.2 參與驗證活動人員 ..................................................................................................... 6
7.2.1 IS 7.2 稽核員知識和經驗之展現 ..................................................................................... 6
7.3 外部稽核員與外部技術專家之使用 ............................................................................. 6
7.3.1 IS 7.3 使用外部稽核員或外部技術專家作為稽核小組的成員 ......................................... 6
7.4 人員記錄............................................................................................................................ 7
7.5 外包 ......................................................................................................................... 7
8. 資訊要求................................................................................................................... 7
8.1 公開的資訊 ............................................................................................................... 7
8.2 驗證文件................................................................................................................... 7
8.2.1 IS 8.2 ISMS 驗證文件 .............................................................................................. 7
8.3 驗證之引用及標誌的使用 ........................................................................................... 7
8.4 機密性 ...................................................................................................................... 7
8.4.1 IS 4.5 組織記錄的使用 ............................................................................................. 7
8.5 驗證機構與其客戶間之資訊交換 ................................................................................. 7
9. 流程要求................................................................................................................... 8
9.1 驗證前活動 ............................................................................................................... 8
9.1.1 申請 ......................................................................................................................... 8
9.1.2 申請審查................................................................................................................... 8
9.1.3 稽核方案................................................................................................................... 8
9.1.4 確認稽核時間 ............................................................................................................ 9
9.1.5 多場區抽樣 ............................................................................................................... 9
9.1.6 多重管理系統 .......................................................................................................... 10
9.2 規劃稽核................................................................................................................. 10
9.2.1 確認稽核目標、範圍與規範...................................................................................... 10
9.2.2 稽核小組的遴選與任務 ............................................................................................ 10
9.2.3 稽核計畫................................................................................................................. 11
9.3 初次驗證................................................................................................................. 11
9.3.1 IS 9.3.1 初次驗證稽核 ........................................................................................... 11
9.4 執行稽核................................................................................................................. 12
9.4.1 IS 9.4 一般性 ........................................................................................................ 12
9.4.2 IS 9.4 ISMS 稽核的特定要素 ................................................................................... 12
9.4.3 IS 9.4 稽核報告 ..................................................................................................... 13
9.5 驗證決定................................................................................................................. 13
9.5.1 IS 9.5 驗證決定 ..................................................................................................... 13
9.6 維持驗證................................................................................................................. 14
9.6.1 一般性 .................................................................................................................... 14
9.6.2 追查活動................................................................................................................. 14
9.6.3 重新驗證................................................................................................................. 14
9.6.4 特別稽核................................................................................................................. 15
9.6.5 暫時終止、終止、或減列驗證範圍 ........................................................................... 15
9.7 申訴 ....................................................................................................................... 15
iii TAF-MS-IC01/ ISSUE1/ 2017.08
9.8 抱怨 ....................................................................................................................... 15
9.8.1 IS 抱怨 ................................................................................................................... 15
9.9 客戶記錄................................................................................................................. 15
10. 驗證機構之管理系統要求 ......................................................................................... 15
10.1 選項方式................................................................................................................. 15
10.1.1 IS 10.3 ISMS 執行 ................................................................................................ 15
10.2 選項 A:一般管理系統要求...................................................................................... 15
10.3 選項 B:依照 ISO 9001 管理系統要求 ...................................................................... 16
附件 A (參考性) ISMS 稽核與驗證的知識和技能 ................................................................ 17
附件 B (規範性) 稽核時間 ............................................................................................... 19
附件 C (參考性) 稽核時間計算方法 ................................................................................. 24
附件 D (參考性) 實施 ISO/IEC 27001:2013 附件 A 控制項的審查指引 ................................. 27
iv TAF-MS-IC01/ ISSUE1/ 2017.08
前言
國際標準組織(ISO) 及國際電工委員會(IEC) 構成為全球標準化特別系統。ISO 或 IEC
之國家會員機構,透過相關組織所成立之技術委員會,處理技術性活動的特定領域,參與制
定國際標準。ISO 及 IEC 技術委員會就共同利益事項,協同合作。其它國際組織、政府及非
政府組織、ISO 與 IEC 的聯絡單位,也參與此作業。ISO 及 IEC 業就資訊技術領域設立一
個聯合技術委員會 – ISO/IEC JTC 1。
制定本文件及進一步維持所使用的程序於 ISO/IEC 指令第 1 部中描述。尤須注意不同類型
文件需要不同的核准原則。本文件係根據 ISO/IEC 指令第 2 部的編輯規則草擬 (請參照
www.iso.org/directives).
請注意,本文件某些要項可能涉及專利權。ISO 及 IEC 不對鑑別任何或全部該項專利權負
責。制定本文件期間經鑑別的任何專利權將於簡介及/或收到的 ISO 專利權宣告名單中說明
細節(參閱 www.iso.org/patents).
本文件使用的任何商業名稱係基於使用者方便而提供之資訊,並不構成某種背書。
至於有關符合性評鑑的 ISO 專有名詞及表述之釋義,以及 ISO 遵照 WTO 技術性貿易障礙
(TBT)原則資訊之相關資訊,請參照下述 URL:
前言 – 補充資料
負責本文件之委員會為 ISO/IEC JTC 1, 資訊技術, SC 27, IT 安全技術
ISO/IEC 27006 是由 ISO/IEC JTC 1,/資訊技術聯合技術委員會 SEC 27,IT 安全技術次
級委員會所編制。
經技術性修訂後,本第三版即取消並取代第二版(ISO/IEC 27006:2011)。
v TAF-MS-IC01/ ISSUE1/ 2017.08
簡介
ISO/IEC 17021-1 係載明對組織之管理系統進行稽核及驗證之機構的準則。若此類機構欲取
得 ISO/IEC 17021-1 之認證,以便依據 ISO/IEC 27001:2013 執行稽核及驗證資訊安全管理
系統(ISMS),除必要的 ISO/IEC 17021-1 外,所需額外規定及指引,由本國際標準提供。
本國際標準的內容遵循 ISO/IEC 17021-1 的結構,且有關 ISMS 驗證運用 ISO/IEC 17021-1
所需的 ISMS 特定規定及指引,標示為"IS"。
本國際標準內容中,使用"應"一詞,以表示 ISO/IEC 17021-1 及 ISO/IEC 27001 之規定為強
制性條文。使用"須"一詞,以表示建議。
本國際標準之主要目的在於使認證機構更有效地調和其評鑑驗證機構之標準的應用。
本國際標準中,「管理系統」及「系統」二詞可交互使用。管理系統之定義詳見 ISO
9000:2005。本國際標準所稱的管理系統不得與其它系統混淆,例如 IT 系統。
vi TAF-MS-IC01/ ISSUE1/ 2017.08
財團法人全國認證基金會
資訊技術-安全技術-資訊安全管理系統稽核及驗證機構之規定
1. 範圍
除 ISO/IEC 17021-1 及 ISO/IEC 27001 所述規定外,本國際標準對資訊安全管理系統(ISMS)
稽核及驗證機構明定一些要求並提供指引。其主要目的旨在支援 ISMS 驗證機構的認證作
業。
本國際標準所述要求,必須由任何提供 ISMS 驗證的機構,以其能力及可靠度予以展現,且
本國際標準所述指引,係供任何提供 ISMS 驗證機構有關這些要求的額外解釋。
註:本國際標準可當作認證、同儕評鑑、或其它稽核過程的標準文件。
2. 引用標準
下列文件之全部或部分,係本文引用之標準,且對其應用是不可或缺的。引用文件有標註日
期者,僅適用該版本。引用文件未標註日期者,則適用該文件之最新版本(包括任何修正版)。
ISO/IEC 17021-1:2015,符合性評鑑-管理系統稽核及驗證機構的要求— 第1 部分:要求
ISO/IEC 27000,資訊技術 – 安全技術 – 資訊安全管理系統 – 概述和詞彙
ISO/IEC 27001:2013,資訊技術-安全技術-資訊安全管理系統-要求
3. 名詞及定義
就本文件之目的,ISO/IEC 17021-1, ISO/IEC 27000 所列及下列各項名詞與定義均適用之。
3.1 驗證文件
載明客戶的 ISMS 符合特定 ISMS 標準及其他有關系統之書面化補充規定文件。
4. 原理
ISO/IEC 17021-1,第 4 條所述原則適用之。
5. 一般要求
5.1 法律及合約事務
ISO/IEC 17021-1,第 5.1 條之規定適用之。
5.2 公正性之管理
ISO/IEC 17021-2,第 5.2 條之規定適用之。此外,以下之規定及指引亦適用之。
5.2.1
驗證機構可執行下列工作,而不被視為諮詢或有潛在的利益衝突:
IS 5.2 利益衝突
1 of 31 TAF-MS-IC01/ ISSUE 1/ 2017.08
財團法人全國認證基金會
a) 以講師身份安排及參與訓練課程,惟此等課程與資訊安全管理有關、或有關於管理系統
或稽核,驗證機構須只限於提供可公開取得的一般資訊及建議;即,不須提供與下款 b)所述
規定相互抵觸之對公司的特定建議;
b) 根據要求,提供或發佈驗證機構對驗證稽核標準的解釋資訊(參閱 9.1.3.6);
c) 完全為決定驗證稽核是否就緒的稽核前活動;但該活動不應造成提供與本條相互抵觸的
意見或建議,並且驗證機構應確認該活動不會與此等要求抵觸,且不會被作為減列最終驗證
稽核時間的理由;
d) 根據非認證範圍之標準或規章而執行之第二或第三者稽核;
e) 增加驗證稽核及追查訪查時的價值;例如在稽核時對發現的事項,指出改善的機會,但
不提供特定的解決建議。
驗證機構不應根據驗證提供客戶 ISMS 內部資訊安全審查。再者,驗證機構應獨立於提供
ISMS 內部稽核機構(包括任何個人)之外。
5.3 責任及財務
ISO/IEC 17021-1,第 5.3 條之規定適用之。
6. 架構需求
ISO/IEC 17021-1,第 6 條之要求適用之。
7. 資源要求
7.1 人員之能力
ISO/IEC 17021-1,第 7.1 條之規定適用之。此外,以下要求和指引亦適用之。
7.1.1
執行 ISMS 驗證所需之能力要件為選擇、提供及管理對在稽核活動與有關資訊安全事項有適
當技能及統合能力之人員。
7.1.1.1 一般能力要求
驗證機構應確保充分瞭解有關其評鑑客戶 ISMS 之相關技術、法律和法規發展。.
驗證機構應參照 ISO/IEC 17021-1 表 A.1 定義各項驗證功能之能力要求。驗證機構應確將
ISO/IEC 17021-1 及本國際標準第 7.1.2 和 7.2.1 條所有與 ISMS 技術領域相關要求列為驗
證機構之要求。
註:附件 A 提供有關特定驗證功能人員能力要求彙總表。
7.1.2
IS 7.1.2 能力規範的確認
IS 7.1 一般考量
7.1.2.1
ISMS 稽核之能力要求
7.1.2.1.1 一般要求
2 of 31 TAF-MS-IC01/ ISSUE 1/ 2017.08