信息安全管理体系认证机构认可方案.PDF

CNAS-SC18 信息安全管理体系认证机构认可方案 Accreditation Scheme for ISMS Certification Bodies 中国合格评定国家认可委员会 2012 年04 月01 日 发布 2015 年07 月15 日第二次修订 2015 年12 月16 日 实施 CNAS-SC18:2012 第2 页 共28 页 目 次 前 言 3 1 范围 4 2 规范性引用文件 4 3 术语和定义 4 4 ISMS 认证机构认可规范的构成 5 R.1 认可申请 5 R.2 预访问 5 R.3 初次认可的见证评审 6 R.4 认证业务范围的认可 6 R.5 其他 7 C.1 认证协议 7 C.2 风险评估和责任安排 7 C.3 ISMS 审核员在教育、工作经历、审核员培训和审核经历方面的必备条件 7 C.4 ISMS 认证证书 8 C.5 保密 8 C.6 ISMS 的变化 8 C.7 已认可的ISMS 认证的转换 9 C.8 认证申请 9 C.9 认证审核相关要求 9 C.10 认证机构的信息安全管理体系 9 G.1 ISMS 认证机构能力分析和评价系统指南 10 G.2 ISMS 审核范围和认证范围界定指南 17 G.3 ISMS 审核时间确定指南 20 附录A （规范性附录）ISMS 认证机构认证业务范围分类与分级 22 附录B （资料性附录） 通用信息安全技术领域和通用信息技术领域—参考分类、知识点及应用 24 2012 年04 月01 日 发布 2015 年07 月15 日第二次修订 2015 年12 月16 日 实施 CNAS-SC18:2012 第3 页 共28 页 前 言 本文件由中国合格评定国家认可委员会（CNAS ）制定。 本文件是CNAS对信息安全管理体系（ISMS）认证机构提出的特定要求和指南， 并与相关认可规则和认可准则共同用于CNAS对ISMS认证机构的认可。 本文件中，用术语“应”表示相应条款是强制性的，用术语“宜”表示建议。 本文件2012 年首次发布，2015 年两次修订主要进行了以下编辑性调整： 1）4.2 条款 a ）和h），分别更新了CNAS-R01 和CNAS-R07 的文件名称； 2 ）R.5.1 条款，调整了该条款的阐述方式； 3 ）R.5.2 条款，更新对CNAS-RC03 相关条款的引用； 4 ）更新了本文件对CNAS-CC01:2015 相关条款的引用； 5 ）第3 章，增加了对CNAS-CC01 的引用，同时删除了“能力”和“技术领域” 两个术语； 6 ）G.1 条款，根据CNAS-CC01 附录A 的表A.1 调整了表G.1。 2012 年04 月01 日 发布 2015 年07 月15 日第二次修订 2015 年12 月16 日 实施 CNAS-SC18:2012 第4 页 共28 页 信息安全管理体系认证机构认可方案 1 范围 1.1 为确保CNAS 对实施GB/T 22080—2008 （ISO/IEC 27001:2005, IDT）认证的信 息安全管理体系 （以下称为“ISMS”）认证机构实施评审和认可的一致性，指导申请 和获得认可的ISMS 认证机构理解和实施认可规范要求