信息安全管理体系认证机构的认可说明(征求意见稿).doc

信息安全管理体系认证机构的认可说明 （征求意见稿） 1 目的和适用范围 1.1 为确保CNAS对GB/T 22080—2008（ISO/IEC 27001:2005, IDT）信息安全管理体系（以下称为“ISMS”）认证机构实施评审和认可的一致性，指导申请和获得认可的ISMS认证机构理解和实施认可规范要求，特制定本文件。 1.2 本文件是对ISMS认证机构认可规范的补充和必要说明，适用于CNAS对ISMS认证机构的认可试点。CNAS将根据认可试点的经验进一步完善本文件，适时将其转化为相应认可规范。 本文件R部分是对相关认可规则的补充和进一步说明。本文件G部分是对相关认可准则的应用指南。 2 术语和定义 ISO 9000:2005和GB/T 27000－2006中的术语和定义以及下列术语和定义适用于本文件。 2.1 技术领域 按照信息安全要求、信息技术、信息安全技术和（或）信息安全管理知识、方法、工具在行业、组织和（或）业务活动中的应用特点而划分的范围 2.2 ISMS专业审核员 能够独立实施涉及特定技术领域的ISMS审核活动的审核员 2.3 ISMS技术专家 针对特定技术领域的信息安全要求、信息技术、信息安全技术和（或）信息安全管理知识、方法、工具等为ISMS认证活动提供支持的技术专家 3 ISMS认证机构认可规范 3.1 CNAS-RC01:2006《认证机构认可规则CNAS-R01:2006《认可标识和认可状态声明管理规则 CNAS-R02:2006《公正性和保密规则CNAS-R03:2008《申诉、投诉和争议处理规则CNAS-RC02:2006《认证机构认可资格的暂停与撤销规则CNAS-RC03:2006《认证机构信息通报规则CNAS-RC04:2008《认证机构认可收费管理规则 CNAS-RC05:2006《多场所认证机构认可规则CNAS-RC07:2007《具有境外关键场所的认证机构认可规则R部分 R.1 认可申请 申请认可的ISMS认证机构（以下称为“申请方”）应具备CNAS-RC01条款5.1.1规定的基本条件以及下列条件： ISMS认证活动已被国家认监委批准； 基本运作符合CNAS-CC01。 申请方应提供CNAS-RC01:2006条款5.1.2规定的申请文件以及下列文件和信息： ISMS认证活动国家认监委批准文件复印件； 已审核过的组织（对应到附录一中的相应中类）； 自申请时间起6个月内计划实施的审核（对应到附录一中的相应中类）； 需要时CNAS要求的其他信息。 R.2 初次认可的见证评审 CNAS结合申请方ISMS认证活动的范围、规模和风险水平确定初次认可的见证评审安排，通常情况下进行不少于两次见证评审。 注：认可试点期间，如果初次认可中仅实施一次见证评审，CNAS将在申请方获得认可后，结合其ISMS认证活动发展情况，至少补充一次见证评审。 R.3 认证业务范围的认可 R.3.1 认证业务范围的分类与分级 CNAS对ISMS认证机构认证业务范围的认可采用本文件附录一的分类方法：分为“政务”、“公共”、“商务”、“产品的生产”四个大类，每个大类包含若干中类，每个中类被赋予“I”、“II”或“III”（由髙至低）的风险级别。本文件附录一对以上分类和分级做了进一步说明。 R.3.2 认证业务范围的认可程序 ISMS认证机构申请认证业务范围认可应符合CNAS认可规范的相关要求。通常情况下，在申请认可的认证业务范围内，认证机构的能力分析和评价系统应能够有效地识别和配备开展相关ISMS认证活动所需的能力。 R.3.2.1 认证业务范围的评审 认证业务范围的评审方法包括档案和记录审查、见证评审、与有关人员面谈、对获证组织的实地访问等。评审的内容主要包括： 按申请认可的大类确认认证机构能力分析和评价系统的完整性、符合性和总体运行情况； 在申请认可的每个大类中选取一定数量的中类，按中类从认证活动管理和实施的各个环节验证认证机构能力分析和评价系统运行的有效性。通常情况下，I级风险的中类必选，并需要实施见证评审；II级和III级风险的中类采用适当的抽样方法选取，必要时进行见证评审； 基于以上评审活动的结果，评价认证机构能力分析和评价系统整体运行的有效性。 R.3.2.2 认证业务范围的认可决定 通常情况下，如果CNAS经过认证业务范围的评审，认为认证机构的能力分析和评价系统运行基本有效，能够在某一大类中识别和配备认可活动所需的能力，则认可该大类。 CNAS对某一大类的认可，表明并不该大类中认证机构能力系统）对于级，通常情况下，认证机构应在CNAS实施见证评审并符合认可要求后，才可以。CNAS对申请方做出授予认可的决定前，申请方不能颁发带有CNAS认可标识的ISMS认证证书。获得CNAS认可的IS