信息安全管理体系审核员注册准则

1 教育经历要求 

申请人应具有大学本科（含）以上学历，适宜的高等教育学科专业包括：数学与应用数学、信息与计算科学、应用物理学、地理信息科学、统计学、应用统计学、电气工程及其自动化、电子信 息工程、电子科学与技术、通信工程、微电子科学与工程、光电信息科学与工程、信息工程、自动化、计算机科学与技术、软件工程、网络工程、信息安全、物联网工程、数字媒体技术、信息管理与信息系统、审计学、信息资源管理、电子商务、集成电路设计与集成系统、电子信息科学与技术、 电信工程及管理、智能科学与技术、空间信息与数字技术、电子与计算机工程、密码学、人工智能等专业。 

注：专业名称如有差异或发生变化，以教育部本科或研究生学科目录为准。 

2 专业工作经历要求 

2.1 适宜的信息安全管理专业工作经历包括： 

----信息安全管理工作经历； 

----信息安全技术研究与开发及服务工作经历； 

----信息安全相关测评认证工作经历； 

----信息安全教学工作经历； 

----信息安全管理相关标准制修订工作经历。 

2.2 非本附录条款 1 要求的学科专业申请人，应具有至少 8 年专业工作经历及相应专业中级（含）以上技术职称。 

3 知识与技能要求 

3.1 实习审核员应具备的知识与技能 

3.1.1 信息安全管理体系相关标准 

a）了解 ISO/IEC 27000 系列标准发展概况； 

b）了解 GB/T 28450《信息安全技术 信息安全管理体系审核指南》的内容； 

c）了解 ISO/IEC 27006《信息技术 安全技术 信息安全管理体系审核认证机构的要求》的目的、意图以及第 9 章的内容； 

d）理解 GB/T 29246 《信息技术 安全技术 信息安全管理体系 概述和词汇》中的术语，以及术语所涉及的相关技术、产品及其应用； 

e）理解和掌握 GB/T 22080《信息技术 安全技术 信息安全管理体系 要求》的内容和要求； 

f）了解 ISO/IEC 27000 系列标准的部分规范性文件和指南，如： 

1）GB/T 22081《信息技术 安全技术 信息安全控制实用规则》；

2）ISO/IEC 27004《信息技术 安全技术 信息安全管理 监视，测量，分析和评估》； 

3）ISO/IEC 27005《信息技术 安全技术 信息安全风险管理》。 

g）理解信息安全有关标准的要求。 

3.1.2 信息安全管理专业知识 

a）掌握相关管理知识和技术： 

1）常用统计技术方法； 

2）风险管理方法； 

3) 测量和监视技术； 

4) 顾客满意的监视和测量、投诉处理、行为规范、争议解决； 

5) 持续改进、创新和学习。 

b）理解信息安全领域的专业知识； 

c）了解信息安全管理相关工具、方法、技术以及在审核过程中的综合运用。 

3.1.3 法律法规及其他要求 

理解信息安全管理相关法律法规和其他相关要求，如： 

a）《中华人民共和国保守国家秘密法》； 

b）《中华人民共和国网络安全法》； 

c）《中华人民共和国密码法》； 

d）《中华人民共和国计算机信息系统安全保护条例》； 

e）《信息安全等级保护管理办法》； 

f）《互联网信息服务管理办法》； 

g）《网络安全审查办法》； 

h）相关注册要求。 

3.2 审核员应具备的知识与技能 

3.2.1 信息安全管理体系相关标准 

a）理解 GB/T 29246 标准中的术语； 

b）理解 GB/T 19000 标准给出的质量管理体系基础的部分内容； 

c）掌握 GB/T 28450 标准的内容和要求，并能应用于审核实践； 

d）掌握 GB/T 22080 标准的内容和要求，并能应用于审核实践； 

e）掌握 ISO/IEC 27006 标准第 9 章的内容，并能应用于审核实践； 

f）理解 GB/T 22081 标准的内容； 

g）理解 ISO/IEC 27000 系列标准的部分规范性文件和指南；

h）掌握信息安全有关标准的要求，包括：GB 17859《计算机信息系统安全保护等级划分准则》， GB/Z  20986《信息安全技术 信息安全事件分类分级指南》。 

3.2.2 信息安全管理专业知识 

a）理解网络结构与通信基础、数据安全、载体安全、环境安全、边界安全、应用安全等相关技术； 

b）掌握与组织业务活动相关的知识，如流程、资产、风险、安全要求、控制措施以及信息安全技术和信息技术在业务活动中的特定应用等方面的知识。 

3.2.3 法律法规及其他相关要求 

掌握信息安全管理相关的法律法规及其他相关要求。 

3.2.4 综合应用技能 

掌握信息安全管理体系相关标准、规范性文件、专业知识和相关法律法规在审核实践中的综合应用 技能。 

4 注册资格扩展 

当申请信息安全管理体系审核员注册时，申请人具有 CCAA 其他管理体系审核员级别注册资格的，可在本准则第二章 2.3.4.2 条款要求基础上减少 1 次完整体系审核和 5 天现场审核经历。