(高清版)GB∕T 27422-2019 合格评定 业务连续性管理体系审核和认证机构要求

ICS35.040L80中华人民共和国国家标准合格评定业务连续性管理体系审核和认证机构要求CR2019-12-10发布2020-07-01实施国家市场监督管理总局国家标准化管理委员会ⅠGB／T27422—2019 2规范性引用文件 3术语和定义 4原则 5通用要求 5.1法律与合同事宜 5.2公正性的管理 5.3责任和财力 6结构要求 7资源要求 7.1人员能力 7.2参与认证活动的人员 7.3外部审核员和外部技术专家的使用 7.4人员记录 8信息要求 8.1公开信息 8.2认证文件 8.3认证资格的引用和标志的使用 8.5认证机构与其客户间的信息交换 9过程要求 9.1认证前的活动 9.2策划审核 9.3初次认证 9.4实施审核 9.5认证决定 9.6保持认证 9.9客户的记录 ⅡGB／T27422—201910认证机构的管理要求 附录A（资料性附录）业务连续性管理体系审核及认证的知识 附录B（资料性附录）BCMS能力需求分析与评价 附录C（资料性附录）BCMS认证审核时间确定指南 参考文献 ⅢGB／T27422—2019本标准按照GB/T1.1—2009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国认证认可标准化技术委员会(SAC/TC261)提出并归口。本标准起草单位：中国网络安全审查技术与认证中心、山东省标准化研究院、中国标准化研究院、中国合格评定国家认可中心、广发银行股份有限公司信用卡中心、北京奇安信科技有限公司、中国认证认可协会、中金金融认证中心有限公司、中国民航大学、北京华认企业管理咨询有限公司。本标准主要起草人：魏军、尤其、王凤娇、王曙光、公伟、秦挺鑫、付志高、张桂明、鲍旭华、郝静、谢宗晓、顾兆军、任天。ⅣGB／T27422—2019GB/T27021.1—2017《合格评定管理体系审核认证机构要求第1部分：要求》为机构对组织的管理体系实施审核和认证建立了准则。如果这类机构按照GB/T30146《公共安全业务连续性管理体系要求》开展以业务连续性管理体系(BCMS)审核和认证为目的活动，对GB/T27021.1—2017补充一些要求和指南是必要的。本标准提供了这样的内容。本标准正文遵循GB/T27021.1—2017的结构，增加了针对业务连续性管理体系审核和认证机构的专用要求，并与GB/T27021.1—2017共同使用。本标准的主要目的是使得认可机构在应用其评审认证机构所依据的标准时更有效地协调一致。1GB／T27422—2019合格评定业务连续性管理体系审核和认证机构要求本标准规定了在GB/T27021.1—2017和GB/T30146—2013的基础上，业务连续性管理体系(BCMS)认证机构所遵循的原则和对BCMS认证机构的要求，明确了BCMS审核与认证机构的能力、一致性和公正性的原则、认证相关活动的实施和管理要求等。本标准适用于所有提供BCMS审核和认证的机构，这些机构需要在能力和可靠性方面证实其满足本标准中的要求。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T27000—2006合格评定词汇和通用原则GB/T27021.1—2017合格评定管理体系审核认证机构要求第1部分：要求GB/T30146公共安全业务连续性管理体系要求3术语和定义GB/T27000—2006、GB/T27021.1—2017、GB/T30146界定的以及下列术语和定义适用于本文件。3.1表明客户的BCMS符合规定的BCMS标准及BCMS所要求的任何补充性文件的一类文件。应符合GB/T27021.1—2017中第4章的要求。5通用要求5.1法律与合同事宜应符合GB/T27021.1—2017中5.1的要求。5.2公正性的管理应符合GB/T27021.1—2017中5.2的要求，并且以下要求同时适用。认证机构可以从事以下工作，而不被视为咨询或具有潜在的利益冲突：2GB／T27422—2019核，认证机构应仅限于提供可公开获取的通用信息和建议，即认证机构不应针对具体客户提供建议和意见。认证机构应能够证实这些活动不违反本条款的要求，且没有把这些活动作为减少最终认证审核时间的理由。机会但不推荐具体的解决方案。认证机构不应为寻求认证的客户的BCMS提供内部业务连续性评审。此外，认证机构应独立于提供BCMS内部审核的机构（包括任何个人）。5.3责任和财力应符合GB/T27021.1—2017中5.3的要求。应符合GB/T27021.1—2017中第6章的要求。7资源要求为实施业务连续性管理体系认证，管理层应确保选择、提供和管理那些具备与受审核的活动和有关的业务连续性管理事宜相适应的技能和综合能力的人员。认证机构应对GB/T27021.1—2017表A.1中的每一项认证职能定义能力要求。在定义这些能力要求时，认证机构应考虑GB/T27021.1—2017中指明的所有要求，和本标准7.1和7.2中的所有要求。注：附录A提供了对业务连续性管理体系认证职能所涉及人员能力要求的信息摘要。认证机构应确保相关人员理解组织业务连续性管理有关的技术、法律、法规以及其他相关要求。认证机构应有形成文件的过程，以确定参与管理和实施审核与认证的人员及其能力准则。这些人员包括但不限于实施申请评审以确定所需的审核组能力，选择审核组成员并确定审核时间的人员，复核审核报告并作出认证决定的人员，审核和领导审核组的人员。学历教育、在职培训、工作经历是人员获取所需能力的途径，认证机构应对各类人员实际所具有的能力进行评价和证实，而不应仅用资格条件的审查代替能力的评价和证实。该过程的输出应是形成文件的所要求知识和技能的准则，这些知识和技能是有效地实施审核与认证任务以实现预期结果所必需的。3GB／T27422—2019注：附录B为认证机构建立BCMS的能力需求分析与评价系统提供了指南。7.2参与认证活动的人员应符合GB/T27021.1—2017中7.2的要求，并且以下要求同时适用。7.2.2申请评审、选择审核组和确定审核时间的人员实施申请评审以确定所需的审核组和选择审核组成员并确定审核时间的人员应具有以下能力：认证机构应为培训和选择审核组成员建立准则，以确保审核员具备特定的知识和技能。业务连续性管理体系审核员特定的知识和技能要求宜是以下10个方面相关内容的组合，认证机构应根据审核活动的能力需求确定实施审核所需的特定知识和技能：1)具备业务影响分析(BIA)的知识，包括：—技术和方法；—对提供产品和服务的活动的识别；—时间上的影响评估，当影响变得不可接受时应能予以识别；—对预期结果设定具有优先排序的时间表；—对支持资源的识别。2)具备风险评估和风险管理的知识，包括：2)具备风险评估和风险管理的知识，包括：—现有控制措施的有效性；—对适当的风险处置的识别。包括：—策略变化；—已准备措施；—对可选性策略的选择；—连续性策略的成本收益分析；—和外部股东的协调方法；—事件反应；—沟通和交流；4GB／T27422—2019—指挥和控制；—相关组织的协调；—恢复和重建。了适当反应。在验证组织的事件管理能力时，审核组、审核报告复核及做出认证决定的人员亦应具备评估组织的事件管理有效性的知识。格式、结构以及过程化细节等。程、技巧／技术以及评估组织是否达成了其恢复优先级别及恢复目标的能力评估标准。BCMS绩效是否达成了其管理任务及目标。审核员应能够证实其具备上述知识和能力，如通过：cf7.2.4复核审核报告并做出认证决定的人员复合审核报告并做出认证决定过程的人员应具备对授予、保持、扩大、缩小、暂停和撤销BCMS认证的决定过程进行管理所需的技术能力。7.3外部审核员和外部技术专家的使用应符合GB/T27021.1—2017中7.3的要求，并且以下要求同时适用。认证机构可使用外部审核员或外部技术专家作为审核组的一部分参与审核，外部技术专家应在审核员的监督下进行工作。应符合GB/T27021.1—2017中7.4的要求。应符合GB/T27021.1—2017中7.5的要求。8信息要求应符合GB/T27021.1—2017中8.1的要求。应符合GB/T27021.1—2017中8.2的要求，并且以下要求同时适用。5GB／T27422—2019认证文件应由具有负责此项职责的人员签署。8.3认证资格的引用和标志的使用应符合GB/T27021.1—2017中8.3的要求。应符合GB/T27021.1—2017中8.4的要求，并且以下要求同时适用。认证机构应识别法律、法规对保密方面的要求，并在与组织签订的认证协议中明确双方及相关人员的责任和义务。在认证审核之前，认证机构应要求组织说明是否存在不能提供给审核组的包含保密性或敏感性信息的BCMS记录，认证机构应确定是否能在缺少这些记录的情况下对BCMS进行充分的审核，如果认证机构认为不对已识别的保密性或敏感性的信息进行审核就不能保证BCMS审核的充分性，则应告知组织只有在获得适当的访问许可时才能进行认证审核。8.5认证机构与其客户间的信息交换应符合GB/T27021.1—2017中8.5的要求。9过程要求9.1认证前的活动应符合GB/T27021.1—2017中9.1.1的要求。并且以下要求同时适用。认证机构应要求客户具有一个已文件化且已实施的BCMS。客户的BCMS应符合GB/T30146和认证所要求的其他文件。应符合GB/T27021.1—2017中9.1.2的要求。并且以下要求同时适用。认证机构应评审客户的申请，以确保清晰地了解了客户的活动边界，以及业务连续性管理和服务的可能风险。应符合GB/T27021.1—2017中9.1.3的要求。并且以下要求同时适用。BCMS审核方案应包含对客户演练活动的现场观察，以便为确定客户BCMS的有效性建立充分的信心。审核方案中对现场观察客户演练活动的安排，宜与客户的业务影响分析(BIA)结果和认证机构对客户BCMS的风险与绩效的评估结果相适宜。注：对客户BCMS的演练活动的现场观察，宜不晚于获证后的第一次监督审核活动。应符合GB/T27021.1—2017中9.1.4的要求。并且以下要求同时适用。认证机构应给予审核员足够的时间来开展与初次审核、监督审核或再认证审核相关的所有活动。总审核时间的计算，应包括报告审核情况所需的充足时间。认证机构宜使用附录C来确定审核时间。6GB／T27422—2019应符合GB/T27021.1—2017中9.1.5的要求。并且以下要求同时适用。如果客户具有多个地点且所有的地点满足以下条件时，认证机构可以使用基于抽样的方法来实施多场所认证审核：aBCMSc应符合GB/T27021.1—2017中9.1.6的要求。并且以下要求同时适用。BCMS审核可以和其他管理体系审核相结合。结合审核或一体化审核应确保审核证据在审核范围内满足GB/T30146的要求。在审核报告中，应容易辨识出与GB/T30146相关的所有审核发现。GB/T30146审核的完整性，不应因结合审核而受到负面影响。应符合GB/T27021.1—2017中9.2.1的要求。并且以下要求适用。BCMS的审核目的应包括确定管理体系的有效性，以确保客户已根据业务影响分析和风险评估建立了业务连续性计划并实施了演练从而实现了所设立的业务连续性目标。9.2.2选择和指派审核组应符合GB/T27021.1—2017中9.2.2的要求。并且以下要求适用。认证机构应正式任命审核组并为其提供相应的工作文件。认证机构应明确地规定审核组的任务，并使客户知晓。审核组可以由一个人组成，只要其满足7.2.2中所规定的全部准则。应符合GB/T27021.1—2017中9.2.3的要求。并且以下要求和指南适用。审核准则是确定符合性的依据，宜包括：9.3初次认证应符合GB/T27021.1—2017中9.3的要求。应符合GB/T27021.1—2017中9.4的要求。9.5认证决定应符合GB/T27021.1—2017中9.5的要求。7GB／T27422—20199.6保持认证应符合GB/T27021.1—2017应符合GB/T27021.1—2017应符合GB/T27021.1—20179.9客户的记录应符合GB/T27021.1—201710认证机构的管理要求应符合GB/T27021.1—2017中第10章的要求。８GB／T27422—2019附录A（资料性附录）业务连续性管理体系审核及认证的知识表提供了一个审核及认证所需知识的摘要，该表是资料性的，仅标明了特定认证功能所需的知识范围。每个认证职能的能力要求见本标准正文。知识知识和技能实施申请评审，以确定审核组的能力要求、选择审核组成员并决定审核时间复核审核报告并做出认证决定审核和领导审核组业务连续性管理术语√√√组织环境√√√适用法律法规和其他要求√√业务连续性管理过程中的关系√√√业务影响分析和风险评估√√连续性和恢复策略√√事件管理√√业务连续性计划√√业务连续性实践√√绩效评价√√审核组宜具有专门知识和技能，或在必要时由技术专家补充。当审核由一个审核组实施时，相应程度的必备知识和技能宜由审核组整体具有，而不必由组内每位独立成员分别具有。9GB／T27422—2019附录B（资料性附录）BCMB.1能力需求分析B.1.1BCMS认证机构的能力需求分析宜：析，以及在申请评审和审核方案管理中根据特定客户具体情况进行的能力需求分析；BCMS相关委员会的成员以及技术专家等；cBCMS证范围、认证经验等）的变化及时更新。B.1.2BCMS认证机构的能力需求分析宜包括通用能力需求分析和特定技术领域的能力需求分析：能类别所包含的具体内容做进一步分析。分析宜考虑下列方面，并根据下列方面的发展变化及时得到更新：1)适用标准和法律法规；2)业务连续性管理理论与实践；3)本机构认证活动的范围、规模。对于复核审核报告和做出认证决定、审核和领导审核组两类人员，除本标准附录A描述的通用知识和技能外，还宜具备下列方面的知识：—业务影响分析(BIA)方法。风险、所使用的ICT技术、与业务连续性有关的法律法规和标准、业务连续性计划演练技术等进行分析，以识别各技术领域BCMS审核所需的特定能力。B.2能力准则对于复核审核报告和做出认证决定的人员和审核和领导审核组的人员，还宜知晓相应业务所使用的信息通信技术(ICT)和业务影响分析(BIA)方法。B.3能力评价BCMS认证机构在对认证人员的能力进行评价时宜：BCMS认证机构宜保留上述被评价人信息、比较和判断的记录，这些记录宜足以支持能力评价的结论。GB／T27422—2019B.4能力的持续改进BCMS认证机构在组织审核员持续专业发展时宜考虑：cBCMSBCMS认证机构宜根据认证人员的持续专业发展情况复核其能力。BCMS认证机构宜确保审核员知晓现行的业务影响分析技术、业务连续性管理理论与实践以及适用标准和法律法规。BCMS认证机构宜组织和促进认证人员之间的经验交流和技术研讨，以总结和推广BCMS审核和认证的经验、方法、技巧。必要时，BCMS认证机构宜根据上述交流和研讨的成果制定或修订相关文件，例如：b)BCMS审核检查单；上述交流和研讨的频次、范围、规模宜与下列方面相适宜：GB／T27422—2019附录C（资料性附录）BCM本附录用于认证机构确定对不同规模、不同复杂程度、从事各类活动的客户实施审核所需时间。本附录没有规定审核时间的最小值和最大值，但提供了认证机构计划安排审核任务时宜采用的根据拟审核客户具体情况确定适宜审核时间的框架。核和再认证审核所需的审核时间。C.2定义C.2.1审核时间各类审核的审核时间是指按审核人日度量的实施审核活动所需的有效时间。C.2.2审核人日核场所之间所花费的时间不计入审核时间。注：我国除香港特别行政区、澳门特别行政区、台湾地区外，审核时间通常不包括旅途时间和午饭时间。C.2.3有效人数有效人数包括认证范围内涉及的所有人员（含每个班次的人员）。覆盖于认证范围内的非固定人员（如：季节性人员、临时人员、分包商和合同人员）和兼职人员也应包括在有效人数内。C.2.4临时场所临时场所是组织为在有限的时期内进行特定工作或服务而设立的，且不会成为常设场所的场所（例如外包的软件开发场所）。C.3应用C.3.1审核时间所有类型审核的审核时间包括在客户场所的现场时间，以及在现场以外实施策划、文件审查、与客户人员之间的相互活动和编写报告等活动的时间。在分配这些组合活动（不论这些活动是在现场或非现场实施）的审核时间时，通常不宜使现场总审为理由减少现场审核时间。C.3.2审核人日GB／T27422—2019数的法律规定，可能需要调整审核人日数，以达到审核总小时数。在策划阶段，认证机构不宜通过增加每个工作日的工作小时数来减少审核人日数。C.3.3有效人数本附录以有效人数为基础来计算审核时间。在计算有效人数时：少这些人员的数量；样宜适当减少人员的数量；适合倒班的工作模式。C4第一步：认证机构宜按照拟审核客户的有效人数按照表C.1确定基准审核时间，作为计算审核时间的起始点。C有效人数初次认证审核时间人日有效人数初次认证审核时间人日1~25426~45546~6562026~267566~8572676~345086~12583451~4350126~17594351~5450176~2755451~6800276~4256801~8500426~6258501~10700626~875>10700遵循上述递进规律876~1175注：表中的人数宜视为连续变化的，而不是阶梯式变化的。第二步：给适用于该客户的每个重要因素（参见C.7)赋予一个对基准审核时间的增加量或减少量，根据这