资讯安全管理系统验证机构认证规范 - taf财团法人全国认证基金会.pdfVIP

資訊安全管理系統 驗證機構認證規範 （ISO/IEC 27006:2015 ） 財 團 法 人 全 國 認 證 基 金 會 中 華 民 國 1 0 5 年 2 月 i TAF-CBA-ICC-01/ISSUE5/20 16.02 文件制訂/修訂紀錄表 文件名稱： 資訊安全管理系統驗證機構認證規範 文件編號：TAF-CBA-ICC-01 版別 日 期 摘 要 修 (制訂) 審 查 核 准 備註 1 李步賢 2012.05 驗證機構認證處 2012.05 制訂 處長 4 李步賢 2014.02 驗證機構認證處 2014.02 A11.4.7翻譯錯誤而修訂 處長 5 2016.02 因應 ISO 27006:2015 而修訂 李步賢 2016.02 驗證機構認證處 處長 「資訊安全管理系統驗證機構認證規範」（文件編號ICC-01 ） 係參照 ISO/IEC 27006:2015訂定，惟全文中所引用之相關國際 標準，如已有轉訂為中國國家標準者，均加註中國國家標準編 號，以供參閱。 全文所引用文件如國際標準或中國國家標準等若有新修訂版發 行時，請自行參閱。本文件爲維持與原文一致性，不作個別修 訂。 ii TAF-CBA-ICC-01/ISSUE5/20 16.02 資訊技術 －安全技術－資訊安全管理系統稽核及驗證機構之規定 目錄 前言 v 簡介 vi 1. 範圍 1 2. 引用標準 1 3. 名詞及定義 1 4. 原理 1 5. 一般要求 1 5.1 法律及合 約事務1 5.2 公正性之管理 1 5.2.1 IS 5.2利益衝突 1 5.3 責任及財務 2 6. 架構要求2 7. 資源要求 2 7.1 人員之能力 2 7.1.1 IS 7.0能力之考量 2 7.1.2 IS 7.1.2能力規範的確認 2 7.2 參與驗證活動人員6 7.2.1 IS 7.2稽核員知識和經驗之展現 6 7.3 外部稽核員與外部技術專家之使用 6 7.3.1 IS 7.3使用外部稽核員或外部技術專家作為稽核小組的成員 6 7.4 人員記錄 7 7.5 外包 7 8. 資訊要求 7 8.1 公開的資訊 7 8.2 驗證文件 7 8.2.1 IS 8.2 ISMS驗證文件 7 8.3 驗證之引用及標誌的使用 7 8.4 機密性7 8.4.1 IS 4.5 組織記錄的使用7 8.5 驗證 機構與其客戶間之資訊交換 7 9. 流程要求8 9.1 驗證前活動 8 9.1.1申請 8 9.