信息安全管理体系认证审核员确认方案2完整篇.doc

审核员能力监视、内部见证管理办法〈XGQC-ZY-05：2011(第2版)〉北京兴国环球认证有限公司2011年7月8日目录1. 范围 (3)2. 引用文件 (3)3. 总则 (3)4. 职责分工 (3)5. 基本要求 (3)6. 管理与实施要求 (4)7. 审核员初始能力评价的现场见证要求 (5)8. 监视、见证信息管理 (7)前言为了深入贯彻《中华人民共和国认证认可条例》、《认证及认证培训、咨询人员管理办法》（质检总局令第61号）、《管理体系认证机构要求》CNAS-CC01:2011，进一步加强对审核员的管理、监督和考核，降低认证工作的风险，规范审核员的行为，提高其执业水平和从事认证活动的能力，保证认证活动的有序、有效，为受审核组织提供优质的服务。

结合本公司的实际情况，特制定本办法。

注：1.本文所述“见证”均属“内部见证”范畴。

2.本文所述“审核员”包括审核员和高级审核员，不包括实习审核员。

3.本文替代了“XGQC-ZY-05：2011(第1版)审核人员能力监视、见证管理办法（修订稿）”。

1.范围本办法适用于公司所有审核员，包括新晋级（含体系扩展）、外机构转入、专业扩展的审核员，和初次承担初审/再认证审核组长的审核员。

2.引用文件AS-CC01：2011《管理体系认证机构认可要求》AS-GC11：2011《质量管理体系认证机构业务范围能力管理实施指南》AS-GC12：2011《环境管理体系认证机构业务范围能力管理实施指南》AS-GC13：2011《职业健康安全管理体系认证机构业务范围能力管理实施指南》2.5.XGQC能力分析评价系统（2011版）3.总则3.1.本办法主要规定了对审核员的初始能力评价见证和审核员能力持续监视管理见证要求，使现场见证、审核资料评定结果、相关的反馈信息相结合，确保审核员具备通用的审核知识与技能以及特定技术领域审核所需的能力，并识别培训需求。

明确了监视、见证的管理部门，见证人员的条件，以及监视、见证的管理实施过程。

2024年第二期CCAA注册ISMS信息安全管理体系审核员知识考试题目一、单项选择题1、《互联网信息服务管理办法》现行有效的版本是哪年发布的？()A、2019B、2017C、2016D、20212、当发生不符合时，组织应（）。

A、对不符合做出处理，及时地：采取纠正，以及控制措施；处理后果B、对不符合做出反应，适用时：采取纠正，以及控制措施：处理后果C、对不符合做出处理，及时地：采取措施，以控制予以纠正；处理后果D、对不符合做出反应，适用时：采取措施，以控制予以纠正；处理后果3、（）是建立有效的计算机病毒防御体系所需要的技术措施A、补丁管理系统、网络入侵检测和防火墙B、漏洞扫描、网络入侵检测和防火墙C、漏洞扫描、补丁管理系统和防火墙D、网络入侵检测、防病毒系统和防火墙4、TCP/IP协议层次结构由（）A、网络接口层、网络层组成B、网络接口层、网络层、传输层组成C、网络接口层、网络层、传输层和应用层组成D、其他选项均不正确5、在我国《信息安全等级保护管理办法》中将信息系统的安全等级分为（）级A、3B、4C、5D、66、一家投资顾问商定期向客户发送有关经新闻的电子邮件，如何保证客户收到资料没有被修改（）A、电子邮件发送前，用投资顾问商的私钥加密邮件的HASH值B、电子邮件发送前，用投资顾何商的公钥加密邮件的HASH值C、电子邮件发送前，用投资项问商的私钥数字签名邮件D、电子邮件发送前，用投资顾向商的私钥加密邮件7、管理者应（）A、制定ISMS方针B、制定ISMS目标和专划C、实施ISMS内部审核D、确保ISMS管理评审的执行8、管理员通过桌面系统下发IP、MAC绑定策略后，终端用户修改了IP地址，对其的处理方式不包括(）A、自动恢复其IP至原绑定状态B、断开网络并持续阻断C、弹出提示街口对其发出警告D、锁定键盘鼠标9、物理安全周边的安全设置应考虑：（）A、区域内信息和资产的敏感性分类B、重点考虑计算机机房，而不是办公区或其他功能区C、入侵探测和报警机制D、A+C10、可用性是指（）A、根据授权实体的要求可访问和利用的特性B、信息不能被未授权的个人，实体或者过程利用或知悉的特性C、保护资产的准确和完整的特性D、反映事物真实情况的程度11、公司A在内审时发现部分员工计算机开机密码少于6位，公司文件规定员工计算机密码必须6位及以上，那么中哪一项不是针对该问题的纠正措施？()A、要求员工立即改正B、对员工进行优质口令设置方法的培训C、通过域控进行强制管理D、对所有员工进行意识教育12、对于较大范围的网络，网络隔离是（）A、可以降低成本B、可以降低不同用户组之间非授权访问的风险C、必须物理隔离和必须禁止无线网络D、以上都对13、完整性是指()A、根据授权实体的要求可访问的特性B、信息不被未授权的个人实体或过程利用或知悉的特性C、保护资产准确和完整的特性D、保护资产保密和可用的特性14、审核抽样时，可以不考虑的因素是(）A、场所差异B、管理评审的结果C、最高管理者D、内审的结果15、信息安全管理中，支持性基础设施指：（）A、供电、通信设施B、消防、防雷设施C、空调及新风系统、水气暖供应系统D、以上全部16、构成风险的关键因素有（）A、人、财、物B、技术、管理和操作C、资产、威胁和弱点D、资产、可能性和严重性17、组织应（）A、定义和使用安全来保护敏感或关键信息和信息处理设施的区域B、识别和使用安全来保护敏感或关键信息和信息处理设施的区域C、识别和控制安全来保护敏感或关键信息和信息处理设施的区域D、定义和控控安全来保护敏感或关键信息和信息处理设施的区域18、依据GB/T22080-2016/1SO/1EC.27001:2013标准，不属于第三方服务监视和评审范畴的是（）。

ISMS信息安全管理体系审核考前点题卷二（题库）[单选题]1.信息安全管理体系审核范围的确定需考（江南博哥）虑（）A.业务范围和边界B.组织和物理范围边界C.资产和技术范围和边界D.以上全部参考答案：D[单选题]2.确定资产的可用性要求须依据：A.授权实体的需求B.信息系统的实际性能水平C.组织可支付的经济成本D.最高管理者的决定参考答案：A[单选题]3.下列不属于GB/T22080-2016/ISO/IEC27001:2013附录A中A8资产管理规定的控制目标的是（）A.资产归还B.资产分发C.资产的处理D.资产清单参考答案：B[单选题]4.关于认证机构的每次监督审核应至少审查的内容，以下说法错误的是（）A.ISMS在实现客户信息安全方针的目标的有效性B.所确定的控制措施的变更，但不包括SOA的变更C.合规性的定期评价与评审情况D.控制措施的实施和有效性参考答案：B[单选题]5.信息安全管理体系认证是：（）。

A.与信息安全管理体系有关的规定要求得到满足的证实活动B.对信息系统是否满足有关的规定要求的评价C.信息安全管理体系认证不是合格评定活动D.是信息系统风险管理的实施活动参考答案：A[单选题]6.下列哪项不属于信息安全风险评估过程。

（）A.识别信息安全风险B.处置信息安全风险C.分析信息安全风险D.评价信息安全风险参考答案：B[单选题]7.信息安全管理体系审核时，为了获取审核证据，应考虑的信息源为（）A.受审核方的业务系统相关的活动和数据B.受审核方场所中己确定为信息安全管理体系范围内的相关过程和活动C.受审核方申请信息安全管理体系认证范围内的业务过程和活动D.以上全部参考答案：C[单选题]8.系统备份与普通数据备份的不同在于，它不仅备份系统中的数据，还备份系统中安装的应用程序，数据库系统、用户设置、系统参数等信息，以便迅速（）A.恢复全部程序B.恢复网络设置C.恢复所有数据D.恢复整个系统参考答案：D[单选题]9.GB/T22080-2016标准中要求保护“测试数据”，以下符合这一要求的情况是（）A.确保使用生产环境数据用于测试时真实、准确B.确保对信息系统测试所获得的数据的访问控制C.对用于信息系统测试的数据进行匿名化处理D.以上全部参考答案：B[单选题]10.包含储存介质的设备的所有项目应进行核查，以确保在处置之前，（）和注册软件己被删除或安全地覆盖A.系统软件B.游戏软件C.杀毒软件D.任何敏感信息参考答案：D[单选题]11.表示客体安全级别并描述客体敏感性的一组信息，是（）A.敏感性标记，是可信计算机基中强制访问控制决策的依据B.关键性标记，是可信计算机基中强制访问控制决策的依据C.关键性等级标记，是信息资产分类分级的依据D.敏感性标记，是表明访问者安全权限级别参考答案：A[单选题]12.不属于WEB服务器的安全措施的是（）A.保证注册帐户的时效性B.删除死帐户C.强制用户使用不易被破解的密码D.所有用户使用一次性密码参考答案：D[单选题]13.末次会议包括（）A.请受审核方确认不符合报告、并签字B.向受审核方递交审核报告C.双方就审核发现的不同意见进行讨论D.以上都不准确参考答案：C[单选题]14.认证审核时，审核组应（）A.在审核前将审核计划提交受审核方，并与受审核方进行沟通得到确认B.在审核中将审核计划提交受审核方，并与受审核方进行沟通得到认定C.在审核后将审核计划提交受审核方，并与受审核方进行沟通得到确认D.在审核后将审核计划提交受审核方，并与受审核方进行沟通得到认可参考答案：A[单选题]15.认证审核时，审核组拟抽查的样本应（）A.由受审核方熟悉的人员事先选取，做好准备B.由审核组明确总体并在受控状态下独立抽样C.由审核组和受审核方人员协商抽样D.由受审核方安排的向导实施抽样参考答案：B[单选题]16.对于“监控系统”的存取与使用，下列正确的是（）A.监控系统所产生的记录可由用户任意存取B.计算机系统时钟应予同步C.只有当系统发生异常事件及其他安全相关事件时才需进行监控D.监控系统投资额庞大，并会影响系统效能，因此可以予以暂时省略参考答案：B[单选题]17.开发、测试和（）设施应分离，以减少未授权访问或改变运行系统的风险。

CCAA2018年6月信息技术服务管理体系(ITSMS)审核知识试卷(WORD版含答案)___（CCAA）于2018年6月进行了信息技术服务管理体系（ITSMS）审核知识试卷。

考试时间为120分钟，考试形式为笔试闭卷，满分为12分。

考生需要在试卷密封线内填写自己的姓名、身份证号、准考证号，并在试卷指定位置写下答案，同时务必填写座位号。

1、关于ITSMS范围的确定，正确的说法是要考虑业务活动和过程及其边界，组织单元、组织的物理位置以及组织的资产和技术。

2、ISO/IEC -1:2011中所指的内部团体是指IT服务提供方组织内，除IT服务交付团队的所有其他职能部门，以及按项目划分的不同服务交付团队和按与服务交付团队的协议参与服务设计等活动的职能部门。

3、从审核开始直到审核完成，管理者代表、审核方案人员、认证机构和审核组长都应对审核的实施负责。

4、在IT服务管理中，变更管理过程应予以管理的范围包括与供方的合同的变更、用于IT服务连续性目的、部件升级以及对依赖IT服务的业务过程的变更。

事件中为复原一项服务需要紧急更换一个CPU不属于变更管理过程应予以管理的范围。

5、第三方认证审核时确定审核范围的程序是组织提出、与审核组协商、认证机构确认、认证合同规定。

6、对于个人信息的使用，除法律法规另有规定外，应得到个人信息主体的同意并按约定时间及时删除。

7、从审核中获得的审核证据、不符合项、合理化建议和审核发现应作为受审核组织的管理体系的持续改进过程的输入。

8、在认证审核时，审核组应随着审核的进展与受审核方共同确认审核计划，并将审核计划提交审核委托方批准方可。

9、关于第三方认证审核报告的正确说法是：B）一阶段审核结论不能确认认证注册，因此不一定提交审核报告。

10、当问题管理流程找到一个事件的真实原因和解决的方法，该问题应分类为（）：C）已知问题。

11、对于第三方服务提供方，正确的描述是：B）应定期度量和评价第三方遵从商定的安全策略和服务水平的程度。

CCAA信息安全管理体系审核员考试（审核知识与技能）姓名：身份证号：单位名称：考试日期：年月日类别单选题多选题阐述题案例分析题总得分得分阅卷人签字备注复核人签字备注一、单项选择题( 从下面各题选项中选出一个最恰当的答案，并将相应字母填在下表相应位置中。

每题 1分，共40 分。

)题号 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 答案 B D C A B C D B A D B A C B D A C A D A题号21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 答案 B D B D D B C D A D B A D C B B C C D A题号 1 2 3 4 5考点 4.1a 4.1a 4.1a 4.1a 4.1a难度 3 4 3 3 2题号 6 7 8 9 10考点 4.1a 4.1a 4.1a 4.1a 4.1a难度 3 3 3 3 33题号11 12 13 14 15考点 4.1a 4.1a 4.1a 4.1a 4.1a难度 3 2 3 2 3题号16 17 18 19 20考点 4.1a 4.1a 4.1a 4.1a 4.1a难度 3 3 4 3 3题号21 22 23 24 25考点 4.1b 4.1b 4.1b 4.1b 4.1c难度 3 3 3 3 3题号26 27 28 29 30考点 4.2a 4.2a 4.2b 4.2b 4.2b难度 3 3 3 3 3题号31 32 33 34 35考点 4.2b 4.2b 4.2b 4.2b 4.2b难度 3 3 3 3 3题号36 37 38 39 40考点 4.3 4.3 4.3 4.3 4.3难度 3 4 3 3 3 备注：考点描述按考试大纲的编号给出，其中标准要求部分再添加标准条款号（见上面例子）难度按 5 级划分， 1 级很容易，答题正确率90%以上， 2 级较容易，答题正确率80-90%之间，3 级中等，答题正确率70-80% ，4 级较难，答题正确率50-70%，5 级很难，答题正确率50%以下。

国家注册信息安全管理体系(ISMS）审核员
培训招生简章
中国信息安全认证中心（China Information Security Certification Center，英文缩写:ISCCC）是经中央编制委员会批准成立，由原国务院信息化工作办公室、国家认证认可监督管理委员会等八部委授权,依据国家有关强制性产品认证、信息安全管理的法律法规,负责实施信息安全认证（产品认证、服务资质认证和ISMS、ITSM认证）的专门机构.
中国信息安全认证中心是经国家批准的ISMS审核员、信息安全产品认证工厂检查员、信息安全服务资质认证评审员、信息安全技术培训的专业培训机构.
国家注册ISMS审核员是国家认可的ISMS认证审核执业资格，从事和提供第三方ISMS认证的认证机构必须具备规定数量的国家注册ISMS审核员.另外,ISMS审核员也是一个组织中不可缺少的、重要的信息安全岗位,其职责是持续评审组织ISMS的符合性，以保证组织的信息安全符合法规、标准和业务的要求。

为各类人员对培训的需求,我们将定期举办ISMS审核员培训班，欢迎报名参加。

培训班的培训与考试内容、时间与方式见附件.
报名回执：
国家注册ISMS 审核员培训班报名表
注:
1。

学员报名条件按国家ISMS 注册审核员注册基本要求执行(见CCAA网站中人员注册—新领域确认-关于发布《信息安全管理体系认证审核员确认方案的》通知）。

2。

请随回执一并提交480＊640的数码登记照。

3。

回执请联系:
徐然
北京市朝外大街甲10号中认大厦,100020
中国信息安全认证中心
电话：010-******** 传真:010—65994283 电子邮件：training＠isccc。

2019年05月ISMS信息安全管理体系审核员考试试题（网友回忆版）[单选题]1.下列中哪个活动是（江南博哥）组织发生重大变更后一定要开展的活动？（）A.对组织的信息安全管理体系进行变更B.执行信息安全风险评估C.开展内部审核D.开展管理评审参考答案：B[单选题]3.对于外部方提供的软件包，以下说法正确的是：（）A.组织的人员可随时对其进行适用性调整B.应严格限制对软件包的调整以保护软件包的保密性C.应严格限制对软件包的调整以保护软件包的完整性和可用性D.以上都不对参考答案：D[单选题]5.从计算机安全的角度看，下面哪一种情况是社交工程的一个直接例子？（）A.计算机舞弊B.欺骗或胁迫C.计算机偷窃D.计算机破坏参考答案：B[单选题]6.当获得的审核证据表明不能达到审核目的时，审核组长可以（）A.宣布停止受审核方的生产/服务活动B.向审核委托方和受审核方报告理由以确定适当的措施C.宣布取消末次会议D.以上各项都不可以参考答案：B[单选题]7.在我国《信息安全等级保护管理办法》中将信息系统的安全等级分为（）级。

A.3B.4C.5D.6参考答案：C[单选题]8.假如某人向一台远程主机发送特定的数据包，却不想远程主机响应其的数据包，说明此人能使用的是下列哪一种类型的攻击手段？（）A.特洛伊木马B.地址欺骗C.缓冲区溢出D.拒绝服务参考答案：B[单选题]9.控制影响信息安全的变更，包括（）A.组织、业务活动、信息及处理设施和系统变更B.组织、业务过程、信息处理设施和系统变更C.组织、业务过程、信息及处理设施和系统变更D.组织、业务活动、信息处理设施和系统变更参考答案：B[单选题]10.第三方认证审核时确定审核范围的程序是：（）A.组织提出、与审核组协商、认证机构确认、认证合同规定B.组织申请、认证机构评审、认证合同规定、审核组确认C.组织提出、与咨询机构协商、认证机构确认D.认证机构提出、与组织协商、审核组确认、认证合同规定参考答案：B[单选题]11.以下描述不正确的是（）A.防范恶意和移动代码的目标是保护软件和信息的完整性B.纠正措施的目的是为了消除不符合的原因，防止不符合的再发生C.风险分析、风险评价、风险处理的整个过程称为风险管理D.控制措施可以降低安全事件发生的可能性，但不能降低安全事件的潜在影响参考答案：D[单选题]12.ISMS管理评审的输出应包括（）A.可能影响ISMS的任何变更B.以往风险评估没有充分强调的脆弱点或威胁C.风险评估和风险处理计划的更新D.改进的建议参考答案：D[单选题]13.《信息安全管理体系认证机构要求》中规定，第二阶段审核（）进行A.在客户组织的场所B.在认证机构以网络访问的形式C.以远程视频的形式D.以上都对参考答案：A[单选题]14.审核员在信息安全控制措施评审过程中采用的评审方法不包括（）。

审核报告说明1. 一般规定a) 审核报告表述应清晰、完整、准确；错误之处不得遮盖，划改后由审核组长签名确认。

b) 审核组长应与组员共同评审审核发现，做出审核结论，对审核报告的内容负责。

2．适用范围本报告适用于质量（含党建、建工）、环境、职业健康安全管理体系。

本报告适用于初审二阶段、再认证、监督、扩大、缩小、审核标准换版审核；适用于结合监督进行的对获证客户发生重大投诉或事故事件（如被执法监管部门责令停业整顿或在全国企业信用信息公示系统中被列入“严重违法企业名单”、被国家质量监督检验检疫总局列入质量信用严重失信企业名单、媒体曝光等）调查审核，国家行政主管部门监督抽查/监测、检查中被查出产品和服务及活动不合格/不符合时进行的监督审核；适用于结合监督进行的暂停恢复审核。

3. 本报告中的评价如引用有关文件、记录、资料时，所引用的有关内容应作为审核报告附件。

4.本报告中带括号的灰色斜体字是编制审核报告提示说明，编制报告时删除。

5．作出认证决定后30个工作日内将审核报告、认证证书一并提交申请组织，并保留签收或提交的证据。

6．各管理体系名称统一使用以下简称来代替：质量管理体系：QMS工程建设施工企业质量管理体系：EC9000中国共产党基层组织建设质量管理体系：PC9000环境管理体系：EMS职业健康安全管理体系：OHSMS一、审核过程综述受审核方名称：住所：认证地址：（提示：可能是经营、办公、生产/服务、活动地址）场所说明：上述地址为单一场所受审核组织多场所详见“认证场所清单”（提示：对多名称组织，应说明组织结构与认证责任、产品责任的相互关系（监督、再认证无变化时，可不必再提供）；多场所管控方式方法；确认分场所信息。

填写不下时，可另附页。

）QMS（PC9000 EC9000）/（提示：此处填写审核类型，下同）/GB/T 19001-( ) ISO9001:2015 GB/T50430-( )EMS/ / GB/T 24001-( )OHSMS/ / GB/T 28001-2011/ /（提示：1.审核类型包括：二阶段、再认证、监督、扩大、缩小、审核标准换版、结合监督进行的事故调查审核、结合监督进行的暂停恢复等；2.审核类型中监督审核应注明第几次审核；）初次审核，确认其管理体系是否符合审核准则的要求并运行有效，决定是否推荐其认证注册；再认证审核，确认管理体系作为一个整体的持续符合性和有效性，以及与认证范围的持续相关性和适宜性，评价是否持续满足审核准则要求，决定是否推荐再注册；监督审核，评价管理体系持续符合性和有效性，以确定是否推荐保持认证；扩大/缩小/审核标准换版/变更，评价受审核方管理体系扩大/缩小/审核标准换版/变更后的管理体系符合性和有效性，是否推荐换发证书；暂停恢复，评价证书暂停原因是否已经消除，以确定是否推荐恢复认证资格；单一体系审核结合审核联合审核现场非现场详见首、末次会议签到表1. 审核实施是否按审核计划进行：是；否计划调整理由说明审核中是否遇到不确定因素和（或）障碍对审核结论可靠性影响情况：否；是说明（提示：1）任何偏离审核计划的情况及其理由，包括但不限于审核员更换说明，审核中所涉及的范围与计划安排的差异说明等；对审核风险及影响审核结论的不确定性的客观陈述；2 )适用时，审核中遇到的不确定因素和（或）障碍。

审核人员审核工作质量认证规范1.目的为指导审核人员（审核组组员、审核组长）从事相关认证工作，确保认证审核工作质量符合认证规范要求，编制本工作规范。

2.适用范围：适用于质量管理体系、环境管理体系、职业健康安全管理体系、食品安全管理体系（包括GMP）、绿色市场认证审核时,对审核组组员（包括级别审核员、实习审核员和技术专家）、审核组组长的工作予以指导。

3.职责3.1审核员职责：3.1.1依据认证审核准则，客观、公正地开展审核活动；收集与分析有关的审核证据，确定审核发现，参与确定不符合项，判断、评价受审核方管理体系适宜性、有效性；3.1.3参与编制审核计划的和受审核方的管理体系文件审核；3.1.4将审核发现形成文件，作好审核记录；保管好与审核有关的文件，按照要求归还受审核方。

3.2技术专家职责：负责对审核组成员进行与受审核方相关专业培训；3.2.2必要时参与编制审核计划的和受审核方的管理体系文件审核；协助审核组长和审核员解决审核期间的专业技术问题。

3.3审核组长职责：3.3.1策划、组织指定项目的认证审核工作，全面负责审核组各项工作；3.3.2与审核委托方、受审核方建立联系；3.3.3负责获得实现审核目的所需的有关组织的背景资料；3.3.4与审核委托方商议、确定审核范围；3.3.5执行并监督审核组成员执行本公司的管理方针、工作程序、作业指导书及其他规章制度；3.3.6计划、安排和实施审核，分配审核资源；3.3.7指导、监督和评价审核组成员的工作，确保审核工作符合认证程序的要求;3.3.8负责组织文件审查；3.3.9负责组织编写检查清单和审核报告；3.3.10主持首、末次会议和审核组会议；3.3.11负责组织对受审核方管理体系的有效性和符合性做出评价；3.3.12负责审核后续活动的实施，整理并提交全套审核资料。

4.审核组组员的工作要求4.1审核前准备4.1.1接到审核任务安排时，如有特殊情况不能承担审核任务应在接到审核任务后2日内反馈审核部。

国家注册信息安全管理体系（）审核员
培训招生简章
中国信息安全认证中心（，英文缩写：）是经中央编制委员会批准成立，由原国务院信息化工作办公室、国家认证认可监督管理委员会等八部委授权，依据国家有关强制性产品认证、信息安全管理的法律法规，负责实施信息安全认证（产品认证、服务资质认证和、认证）的专门机构。

中国信息安全认证中心是经国家批准的审核员、信息安全产品认证工厂检查员、信息安全服务资质认证评审员、信息安全技术培训的专业培训机构。

国家注册审核员是国家认可的认证审核执业资格，从事和提供第三方认证的认证机构必须具备规定数量的国家注册审核员。

另外，审核员也是一个组织中不可缺少的、重要的信息安全岗位，其职责是持续评审组织的符合性，以保证组织的信息安全符合法规、标准和业务的要求。

为各类人员对培训的需求，我们将定期举办审核员培训班，欢迎报名参加。

培训班的培训与考试内容、时间与方式见附件。

报名回执：
国家注册审核员培训班报名表
注：
. 学员报名条件按国家注册审核员注册基本要求执行（见网站中人员注册新领域确认关于发布《信息安全管理体系认证审核员确认方案的》通知）。

. 请随回执一并提交*的数码登记照。

. 回执请联系：
徐然
北京市朝外大街甲号中认大厦，中国信息安全认证中心
电话：传真：
电子邮件：
4 / 4。

《管理体系两阶段审核的合理性安排和实施》为认证机构管理体系两个阶段认证审核的实施和管理提供指南。

管理体系两阶段审核的合理性安排和实施 1。

引言 CNAS-CC01:2007《管理体系认证机构要求》(idt GB/T27021—2007)第9.2。

3、9。

4.1.3条明确规定了“管理体系的初次认证审核应分为两个阶段实施:即第一阶段和第二阶段审核"以及“当管理体系、获证组织或管理体系的运作环境（如法律的变更）有重大变更时，再认证审核活动可能需要有第一阶段审核"，这是保证认证审核质量的重要措施。

针对每个认证项目，认证机构应本着实事求是、具体问题具体分析的原则，处理好规范要求、认证风险、受审核方的权利以及市场需要的关系。

为了确保使用CNAS-CC01:2007（idt GB/T27021—2007）的各方能够有效和一致地应用该准则，本技术报告拟针对管理体系两个阶段审核目的的差异性,就两阶段审核的内容、要求及实施现场审核的可行性等内容给出指导性的说明，以期为认证机构管理体系两个阶段认证审核的实施和管理提供帮助。

管理体系两阶段审核的合理性安排和实施1。

引言CNAS-CC01：2007《管理体系认证机构要求》（GB/T27021-2007/ISO/IEC17021：2006）明确规定了“管理体系的初次审核应分为两个阶段实施：第一阶段和第二阶段"，这是保证初次认证审核质量的重要措施.针对每个认证项目，认证机构应本着实事求事、具体问题具体分析的原则，处理好规范要求、认证风险、受审核方的权利以及市场需要的关系。

为了确保使用CNAS-CC01：2007（idt GB/T27021—2007）的各方能够有效和一致的应用该准则,本技术报告拟针对管理体系两个阶段审核目的的差异性,就两阶段审核的内容、要求及现场审核的可行性等内容给出指导性的说明,以期为认证机构管理体系两个阶段认证审核的实施和管理提供帮助。

2024年第二期CCAA国家注册审核员考试题目—ISMS信息安全管理体系知识一、单项选择题1、《信息安全等级保护管理办法》规定，应加强涉密信息系统运行中的保密监督检查对秘密级、机密级信息系统每（）至少进行一次保密检查或系统测评A、半年B、1年C、1,5年D、2年2、—个信息安全事件由单个的或一系列的有害或一系列（）信息安全事态组成，它们具有损害业务运行和威胁信息安全的极大可能性A、已经发生B、可能发生C、意外D、A+B+C3、加密技术可以保护信息的(）A、机密性B、完整性C、可用性D、A+B4、残余风险是指:（）A、风险评估前，以往活动遗留的风险B、风险评估后，对以往活动遗留的风险的估值C、风险处置后剩余的风险，比可接受风险低D、风险处置后剩余的风险，不一定比可接受风险低5、以下不属于信息安全事态或事件的是：A、服务、设备或设施的丢失B、系统故障或超负载C、物理安全要求的违规D、安全策略变更的临时通知6、《信息安全管理体系审核指南》中规定,ISMS的规模不包括（)A、体系覆盖的人数B、使用的信息系统的数量C、用户的数量D、其他选项都正确7、关于信息安全策略，下列说法正确的是（）A、信息安全策略可以分为上层策略和下层策略B、信息安全方针是信息安全策略的上层部分C、信息安全策略必须在体系建设之初确定并发布D、信息安全策略需要定期或在重大变化时进行评审8、在ISO组织框架中，负责ISO/IEC27000系列标准编制工作的技术委员会是（）A、ISO/IECJTC1SC27B、ISO/IECJTC13C40C、ISO/IECTC27D、ISO/IECTC409、由认可机构对认证机构、检测机构、实验室从事评审、审核的认证活动人员的能力和执业资格，予以承认的合格评定活动是（）A、认证B、认可C、审核D、评审10、根据GB17859《计算机信息系统安全保护等级划分准则》,计算机信息系统安全保护能力分为（）等级。

体系认证方案概述体系认证方案是一种用于评估和认可组织管理体系的方法和标准。

它可以帮助企业建立一套规范的管理体系，并通过认证机构的审核和评估，获得认证证书。

本文将介绍体系认证的意义、常见的认证标准、认证的流程以及一些常见的体系认证方案。

体系认证的意义体系认证的目的是通过外部的审核和评估，验证组织的管理体系是否符合一定的标准和要求。

获得认证证书可以带来以下几个方面的好处：•提升企业形象：认证证书是企业质量和管理能力的象征，可以提升企业在市场上的形象和竞争力。

•提高顾客满意度：通过优化管理体系，提高产品和服务的质量，从而增加顾客的满意度。

•降低风险和成本：规范的管理体系可以帮助企业降低风险，避免失误和事故的发生，减少相关的成本。

•持续改进：体系认证要求企业建立持续改进的机制，不断完善和优化管理体系，提高企业的管理能力和效益。

常见的认证标准目前，国际上常见的认证标准主要有ISO 9001质量管理体系、ISO 14001环境管理体系、ISO 27001信息安全管理体系和ISO 45001职业健康安全管理体系等。

ISO 9001质量管理体系ISO 9001是一套用于质量管理的国际标准，它对组织的质量管理体系进行了要求和指导。

ISO 9001认证可以帮助企业实现对产品和服务质量的控制和改进，提高顾客满意度，增强市场竞争力。

ISO 14001环境管理体系ISO 14001是一套用于环境管理的国际标准，它对组织的环境管理体系进行了要求和指导。

ISO 14001认证可以帮助企业有效管理环境影响，减少资源消耗和废物排放，提升企业的环保形象。

ISO 27001信息安全管理体系ISO 27001是一套用于信息安全管理的国际标准，它对组织的信息安全管理体系进行了要求和指导。

ISO 27001认证可以帮助企业建立完善的信息安全管理体系，保护信息资产安全，防止信息泄露和黑客攻击。

ISO 45001职业健康安全管理体系ISO 45001是一套用于职业健康安全管理的国际标准，它对组织的职业健康安全管理体系进行了要求和指导。

2023年12月CCAA注册审核员《管理体系认证基础》试题及答案［单选题］1.认证机构对认证人员的评价是一个()。

A.连续过程B.活动过程持续过程C.过程D.持续过程正确答案：D参(江南博哥)考解析：认证机构对认证人员的评价是一个持续过程。

［单选题］5.系统理论学派将()等应用于工商企业等组织的管理。

A.过程论、控制论、信息论B.系统论、控制论、信息论C.系统论、过程论、信息论D.系统论、控制论、过程论正确答案：B参考解析：《管理体系认证基础》，(四)它将系统论、控制论、信息论等应用于工商企业等组织的管理之中。

［单选题］6.审核范围应与()保持一致。

A.审核目标B.认证申请方位C.客户申请要求D.审核方案和审核目标正确答案：D参考解析：《管理体系认证基础》，审核范围应与审核方案和审核目标相一致。

［单选题］7.按照PDCA思路进行审核，是指0。

A.按照受审核区域的管理活动的PDCA过程进行审核B.按照认证机构的PDCA流程进行审核C.按照认可规范中规定的PDCA流程进行审核D.以上都对正确答案：A［单选题］8.认证机构考虑客户已获得的认证或由另一机构实施的审核时，则应OoA.予以批准认证B.协商后同意认证C.获取并保留充足的证据D.拒绝认证正确答案：C参考解析：CNAS-CC01：2015《管理体系认证机构要求》9.13.4,如果认证机构考虑客户已获的认证或由另一认证机构实施的审核，则应获取并保留充足的证据，例如报告和对不符合采取的纠正与纠正措施的文件。

［单选题］9.一个组织按照高层结构建立并保持一个或多个管理体系时，以下说法不正确的是()。

A.可以为认证提供便利B.应该与组织本身的业务相融合C.可以使管理体系运行内容减少D.可以减少多个管理体系之间的重复正确答案：C参考解析：《管理体系认证基础》，一个组织按照高层结构建立、实施、保持和改进一个或多个其管理体系时，不但要与组织本身的业务相融合，更重要的是可以减少多个管理体系之间的重复，这使得管理体系的运行更加简洁和便利，同时也为合格评定提供了便利。

2024年8月CCAA注册审核员考试题目—ISMS信息安全管理体系一、单项选择题1、对于获准认可的认证机构，认可机构证明（）A、认证机构能够开展认证活动B、其在特定范围内按照标准具有从事认证活动的能力C、认证机构的每张认证证书都符合要求D、认证机构具有从事相应认证活动的能力2、在规划如何达到信息安全目标时，组织应确定（）A、要做什么，有什么可用资源，由谁负责，什么时候开始，如何测量结果B、要做什么，需要什么资源，由谁负责，什么时候完成，如何测量结果C、要做什么，需要什么资源，由谁负责，什么时候完成，如何评价结果D、要做什么，有什么可用资源，由谁执行，什么时候开始，如何评价结果3、关于顾客满意，以下说法正确的是：（）A、顾客没有抱怨，表示顾客满意B、信息安全事件没有给顾客造成实质性的损失就意味着顾客满意C、顾客认为其要求已得到满足,即意味着顾客满意D、组织认为顾客要求已得到满足，即意味着顾客满意4、形成ISMS审核发现时，不需要考虑的是（）A、所实施控制措施与适用性声明的符合性B、适用性声明的完备性和适宜性C、所实施控制措施的时效性D、所实施控制措施的有效性5、（）属于管理脆弱性的识别对象。

A、物理环境B、网络结构C、应用系统D、技术管理6、《中华人民共和国网络安全法》中的"三同步"要求，以下说法正确的是（）A、指关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用B、指所有信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用C、指涉密信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用D、指网信办指定信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用7、根据《互联网信息服务管理办法》规定，国家对经营性互联网信息服务实行（）A、国家经营B、地方经营C、许可制度D、备案制度8、—家投资顾问商定期向客户发送有关财经新闻的电子邮件，如何保证客户收到资料没有被修改（）A、电子邮件发送前，用投资顾问商的私钥加密邮件的HASH值B、电子邮件发送前，用投资顾问商的公钥加密邮件的HASH值C、电子邮件发送前，用投资顾问商的私钥数字签名邮件D、电子邮件发送前，用投资顾问商的私钥加密邮件9、根据《互联网信息服务管理办法》规定，国家对经营性互联网信息服务实行()A、国家经营B、地方经营C、备案制度D、许可制度10、控制影响信息安全的变更，包括（)A、组织、业务活动、信息及处理设施和系统变更B、组织、业务过程、信息处理设施和系统变更C、组织、业务过程、信息及处理设施和系统变更D、组织、业务活动、信息处理设施和系统变更11、关于信息安全策略，下列说法正确的是（）A、信息安全策略可以分为上层策略和下层策B、信息安全方针是信息安全策略的上层部分C、信息安全策略必须在体系建设之初确定并发布D、信息安全策略需要定期或在重大变化时进行评审12、以下符合GB/T22080-2016标准A18.1,4条款要求的情况是（）A、认证范围内员工的个人隐私数据得到保护B、认证范围内涉及顾客的个人隐私数据得到保护C、认证范围内涉及相关方的个人隐私数据数据得到保护D、以上全部13、关于GB/T22081标准，以下说法正确的是：（）A、提供了选择控制措施的指南，可用作信息安全管理体系认证的依据B、提供了选择控制措施的指南，不可用作信息安全管理体系认证的依据C、提供了信息安全风险评估的指南，是ISO/IEC27001的构成部分D、提供了信息安全风险评估的依据，是实施ISCVIEC27000的支持性标准14、《信息安全管理体系审核指南》中规定,ISMS的规模不包括（)A、体系覆盖的人数B、使用的信息系统的数量C、用户的数量D、其他选项都正确15、在安全模式下杀毒最主要的理由是（）A、安全模式下查杀病速度快B、安全模式下查杀比较彻底C、安全模式下查杀不连通网络D、安全模式下查杀不容易死机16、创建和更新文件化信息时，组织应确保适当的（）A、对适宜性和有效性的评审和批准B、对充分性和有效性的测量和批准C、对适宜性和充分性的测量和批准D、对适宜性和充分性的评审和批准17、跨国公司的I.S经理打算把现有的虚拟专用网(VPN.,virtualpriavtenetwork)升级，采用通道技术使其支持语音I.P电话(VOI.P,voice-overI.P)服务，那么，需要首要关注的是（）。

VTI/MS3.8版次：2016年12月发放编号(No)：Revision：2016年12月华信技术检验有限公司V ouching Technical Inspection Ltd.管 理 体 系 认 证审核员工作手册Hand Bookfor Management System Certification编制：肖金辉审核：李奇志批准：王蔚林发布日期：2016-12-26 实施日期：2016-12-28目录前言 (2)华信技术检验有限公司简介 (3)华信技术检验有限公司的质量方针和承诺 (4)1 审核组组成和审核组职责 (5)1.1审核组组成要求 (5)1.2对审核人员的管理要求 (5)1.3审核组职责 (6)2 接受审核任务及管理体系成文信息审查 (8)2.1接受审核任务 (8)2.2管理体系成文信息审查 (9)3 管理体系认证审核类型及工作内容 (10)3.1初次认证审核 (10)3.2监督审核 (18)3.3再认证审核 (19)4 审核相关工作要求 (24)4.1审核计划编制要求 (24)4.2不符合报告单填写要求 (29)4.3内部评定和评定规则 (30)4.4编写审核报告要求 (32)4.5多场所审核 (33)4.6检查表的要求： (36)4.7第一阶段审核内容及指南 (37)5 异常／突发事件的处理 (40)6 审核注意事项 (42)7 附件 (43)前言审核员工作手册是指导审核员从事质量、环境和职业健康安全管理体系审核工作、规范审核员行为的文件。

审核员要认真理解、掌握、执行认可机构、华信技术检验有限公司（简称华信公司）有关管理体系认证、审核的各项要求，严格按照本手册的要求实施，确保管理体系审核工作的独立、科学、公正和一致性，确保审核工作的质量。

本版手册依据ISO 9001:2015、GB/T50430-2007、ISO 14001:2015及GB/T28001:2011标准和ISO/IEC17021-1:2015及国家认监委相关要求编制, 适用于建立了质量管理体系、环境管理体系、职业健康安全管理体系和工程建筑施工企业质量管理规范的受审核方的认证审核。

管理体系认证认证流程图及认证程序黑色字体由受审组织完成产品认证流程图黑色字体由受审组织完成认证程序质量/环境/职业健康安全管理体系认证是指独立于供求双方并具有认证审核资格的机构,可颁发质量/环境管理体系/职业健康安全管理体系认证证书，证明组织的质量/环境管理体系/职业健康安全管理体系符合国家及国际质量/环境管理/安全管理有关标准要求的活动。

质量/环境/职业健康安全管理体系初次审核应分两个阶段进行，即第一阶段审核及第二阶段审核。

一、 第一阶段审核（包括文件审查、初访）1、本公司宜通过对证据的审查，来确定组织是否达到了标准的要求，然而，证据的形式可以是多样的，且在某些情况下，不一定是书面的，但仍要遵守标准中关于文件化的要求。

2、审核（第一阶段）的目的是为了提供策划审核（第二阶段）的关注点，通过在第一阶段审核对组织的QMS/EMS/OHSMS的方针、目标、重大危险源/环境因素的识别有基本了解，尤其是组织对审核的准备程度，并且应确定：1）组织的QMS/EMS/OHSMS管理体系包括了充分识别产品关键过程/环境因素/危险源并判定其重要程度的程序；2）组织具有从事相关活动的食品安全许可/卫生许可/环境许可/安全生产许可等；3）组织管理体系的建立可以实现组织的方针；4）组织的管理体系的运行情况证明可以继续进行第二阶段审核；5）组织的内部审核符合管理体系标准的要求；6）组织进行管理评审，且管理评审包括了对管理体系的持续适宜性、充分性和有效性的评价；7）组织与外部相关方交流的QMS/EMS/OHSMS文件和答复；8）收集组织的管理体系范围的过程和场所的必要信息，以及相关的法律法规要求和遵守情况；9）需要评审的其他文件以及需要提前获取的任何信息。

审核组与组织应确定何时完成文件审查，在任何情况下，文件评审都应在第二阶段的审核前完成。

3、在一阶段审核，至少应获取以下信息：1）管理体系文件，包括程序（最好有一份文件与标准相关要求的对应清单）；2）对组织及其现场运行过程的描述；3）生产/服务过程的描述；4）环境因素/危险源及其相关的环境影响/风险的表述以及重要环境因素的判定/重大危险源的评价情况；5）内审方案和报告；6）适用法规（包括许可）的总体情况以及与政府部门的任何协定；7）客户理解和实施标准要求的情况，特别对管理体系的关键绩效或重要的因素、过程、目标和运作的识别情况；8）关注受审核方变更情况，尤其是受审核区域、地址的实际情况再次确认。

审核人员管理与考核办法第一章总则第一条为深入贯彻《中华人民共和国认证认可条例》、《认证及认证培训、咨询人员管理办法》（质检总局令第61号），进一步加强对审核员的管理、监督和考核，降低认证工作的风险，依照GB/T19011-2003《质量和（或）环境管理体系审核指南》规范认证人员的行为，提高其执业水平和从事认证活动的能力，保证认证活动的有序、有效，为受审核组织提供优质的服务。

结合本公司的实际情况，特制定本办法。

第二条人事教育部是审核人员主管部门，具体负责审核人员的聘用、注册登记、年度确认、复查换证、评价培训、机构转换、晋级考核和奖励处罚。

第三条审核部负责公司所有审核人员的日常管理。

其内容是：安排审核计划；布置审核任务；确定审核组长；提出培训需求；确保审核资料的完整性；核算审核劳务费；处理审核中出现的问题或提出解决方案；保持日常联系。

总经理办公室、市场部、技术质量部为协助单位，有监督检查和提供考核意见的责任。

第四条基本要求：1.所有为公司服务的专、兼职级别审核员、实习审核员和技术专家（简称审核人员，下同）确保在公司人事教育部登记注册，经评价符合相关要求并办理聘用手续（与公司签订聘用合同）后，方可成为公司的正式审核人员，参加认证审核活动。

否则不得从事本公司任何审核活动。

2.公司所有认证审核人员必须接受和服从公司的统一管理；遵守行业规范和职业道德，遵守公司的有关制度和规定；严禁进行商业贿赂和不正当交易行为；服从公司审核任务的安排和调遣，接受和配合公司的工作稽查、调查与考核。

3.在公司登记注册的审核人员应对所呈报信息的真实性和准确性负责，包括相应的证件证明、联系地址、通讯电话、工作经历等。

经调查核实发现有虚假信息的或中断联系在30天以上者，停止该相关人员的认证审核活动。

第二章审核组长第五条审核组长是具体审核项目执行的总负责人，对所执行的相关审核项目负全责。

公司将审核组长作为一级干部实施管理，实行审核组长负责制，赋予其相应的职责、权限和待遇。

根据审核方案对审核员和审核组长的评价进行策划、实施和记录，特制订本办法。

适用于本公司内部审核员评价的管理。

审核员：经证实具有实施审核的个人素质和能力的人员。

审核组：实施审核的一名或多名审核员。

评价小组：依要求及准则对相关人员进行评价。

5.1.1 初始评价：对希望成为审核员的申请人进行的评价。

5.1.2 审核员选择评价：在审核准备选择审核组时，所进行的评价。

5.1.3 审核员表现的持续评价：审核员表现的后续能力的评价。

审核员应当具备个人素质，使其能够按照审核方案策划的审核原则进行工作。

审核员应当：a) 有道德，即公正、可靠、忠诚、诚实和谨慎；b) 思想开明，即愿意考虑不同意见或观点；c) 善于交往，即灵活地与人交往；d) 善于观察，即主动地认识周围环境和活动；e) 有感知力，即能本能地了解和理解环境；f) 适应能力强，即容易适应不同情况；g) 坚韧不拔，即对实现目标坚持不懈；h) 明断，即根据逻辑推理和分析及时得出结论；i) 自立，即在同其他人有效交往中独立工作并发挥作用。

审核员应当具有下列方面的知识和技能：a) 审核原则、程序和技术：使审核员能恰当地将其应用于不同的审核并保证审核实施的一致性和系统性。

审核员应当能够：----运用审核原则、程序和技术；----对工作进行有效地策划和组织；----按商定的时间表进行审核，----优先关注重要问题；----通过有效地面谈、倾听、观察和对文件、记录和数据的评审来收集信息；----理解审核中运用抽样技术的适宜性和后果；----验证所收集信息的准确性；----确认审核证据的充分性和适宜性以支持审核发现和结论；----评定影响审核发现和结论可靠性的因素；----使用工作文件记录审核活动；----编制审核报告；----维护信息的保密性和安全性，----通过个人的语言技能或通过翻译人员有效地沟通；b) 管理体系和引用文件：使审核员能理解审核范围并运用审核准则。

这方面的知识和技能应当包括：----管理体系在不同组织中的应用；----管理体系各组成部分之间的相互作用；----质量管理体系标准、适用的程序或其它用做审核准则的管理体系文件；----认识引用文件之间的区别及优先顺序；----引用文件在不同审核情况下的应用；----用于文件、数据和记录的授权、安全、发放、控制的信息系统和技术。