认监委对信息安全管理体系认证机构要求

认监委对信息安全管理体系认证机构要求

国家认监委发布的《信息安全管理体系(ISMS)认证从业条件和申请材料要求》中第二条从业条件规定：

1、申请者是国家认监委批准的认证机构，并具有三年以上质量管理体系认证从业资格；

2、有10名以上具备ISMS认证职业资格的专职审核员， 专职审核员取得

ISMS相关专业学士以上学位。

ISMS认证

专职审核员应符合下列条件：

(1)取得国家注册ISMS审核员资格；

(2)是认证机构的正式职员。

3、在一年内没有违法违规行为。

4、与信息技术有关的质量管理体系认证业务范围的认证能力符合GB/T 27021-2007《合格评定管理体系审核认证机构的要求》，且在提交申请前两个年度内的认可评审中没有严重不符合项

5、若申请者是外商投资认证机构，其国外投资者应有三年以上从事ISMS认证的经历且在ISMS认证领域获得所在国家或地区认可机构的认可。

信息系统包括操作系统、基础设施、业务应用、非定制产品、服务和用户开发的应用。

  ISO27001标准认证中，信息安全风险控制措施指在行政。技术、管理和法律方面的管理风险的方法，包括策略、程序、指南、实践或组织结构。可以将控制措施分为预防性控制措施和补救性控制措施。预防性控制措施是试图减少意外事件发生可能性的措施。而降低意外事件发生后影响的控制措施可以成为补救性控制措施。