信息安全认可要求.pdfVIP

CNAS-CC17 信息安全管理体系认证机构要求 Requirements for Information Security Management System Certification Bodies 中国合格评定国家认可委员会 2009 年 02 月 15 日发布 2009 年 02 月 15 日实施 CNAS-CC17:2009 第 1 页 共 30 页 目 录 前 言 3 引 言 4 1 范围 5 2 规范性引用文件 5 3 术语和定义 5 4 原则 5 5 通用要求 6 5.1 法律与合同事宜 6 5.2 公正性的管理 6 5.3 责任和财力 6 6 结构要求 6 6.1 组织结构和最高管理层 6 6.2 维护公正性的委员会 6 7 资源要求 6 7.1 管理层和人员的能力 6 7.2 参与认证活动的人员 7 7.3 外部审核员和外部技术专家的使用 8 7.4 人员记录 8 7.5 外包 8 8 信息要求 8 8.1 可公开获取的信息 8 8.2 认证文件 8 8.3 获证客户组织名录 9 8.4 认证的引用和标志的使用 9 8.5 保密性 9 8.6 认证机构与其客户组织间的信息交换 9 9 过程要求 9 9.1 通用要求 9 9.2 初次审核与认证 11 9.3 监督活动 14 9.4 再认证 14 9.5 特殊审核 15 9.6 暂停、撤销或缩小认证范围 15 9.7 申诉 15 9.8 投诉 15 9.9 申请组织和客户组织的记录 15 10 认证机构的管理体系要求 15 10.1 可选方式 15 10.2 方式一： 按照 GB/T19001-2000的管理体系要求 15 10.3 方式二： 通用的管理体系要求 15 2009 年 02 月 15 日发布 2009 年 02 月 15 日实施 CNAS-CC17:2009 第 2 页 共 30 页 10.3.1 IS 10.3 ISMS 实施 15 附录A 16 客户组织复杂性和行业特定方面的分析 16 A.1 组织的潜在风险 16 A.2 行业特定的信息安全风险类别 17 附录B 18 B.1 需考虑的一般能力 18 B.2 需考虑的特定能力 18 B.2.1 有关 GB/T 22080 - 2008 的附录A 控制措施的知识 18 B.2.2 有关ISMS 的典型知识 18 附录 C 20 C.1 引言 20 C.2 确定审核时间的程序 20 C.3 审核时间表 21 C.3.1 通则 21 C.3.2 术语的解释 22 附录D 23 附录D 24 D.1 目的 24 D.1.1 审核证据 24 D.2 如何使用表 D.1 24 D.2.1 “组织类控制措施”列与“技术类控制措施”列 24 D.2.2 “系统测试”列 24 D.2.3 “ 目视检查”列 24 D.2.4 “认证审核中的评审指南”列 24 2009 年 02 月 15 日发布 2009 年 02 月 15 日实施 CNAS-CC17:2009 第 3 页 共 30 页 前 言 本文件等同采用国际标准ISO/IEC 27006:2007