CNAS-SC170-2017 信息安全管理体系认证机构认可方案.pdfVIP

CNAS-SC170 信息安全管理体系认证机构认可方案 Accreditation Scheme for ISMS Certification Bodies 中国合格评定国家认可委员会 2017 年01 月01 日 发布 2017 年01 月01 日 实施 CNAS-SC170:2017 第2 页 共23 页 目 次 前 言 3 1 范围 4 2 规范性引用文件 4 3 术语和定义 4 4 ISMS 认证机构认可规范的构成5 R.1 认可申请 5 R.2 预访问 5 R.3 初次认可的见证评审 5 R.4 认证业务范围的认可 6 R.5 其他 6 C.1 认证协议（CNAS-CC01 条款5.1.2）7 C.2 风险评估和责任安排（CNAS-CC01 条款5.3.1）7 C.3 选择审核员（CNAS-CC01 条款7.2、CNAS-CC170 条款7.2.1.1）7 C.4 ISMS 认证证书（CNAS-CC01 条款8.2.2、CNAS-CC170 条款8.2.1）7 C.5 保密（CNAS-CC01 条款8.4、CNAS-CC170 条款8.4.1）7 C.6 ISMS 的变化（CNAS-CC01 条款8.5.3）8 C.7 已认可的ISMS 认证的转换（CNAS-CC01 条款9.1.3.4）8 C.8 认证申请（CNAS-CC01 条款9.1.2）8 C.9 认证审核相关要求（CNAS-CC01 条款9.3 至条款9.9）8 C.10 认证机构的管理体系（CNAS-CC01 条款10.1、CANS-CC170 条款10.1.1）..9 G.1 ISMS 认证机构能力分析和评价系统指南9 附录A （规范性附录）ISMS 认证机构认证业务范围分类与分级 17 附录B （资料性附录）通用信息安全技术领域和通用信息技术领域——参考分类、知 识点及应用 19 2017 年01 月01 日 发布 2017 年01 月01 日 实施 CNAS-SC170:2017 第3 页 共23 页 前 言 本文件由中国合格评定国家认可委员会（CNAS ）制定。 本文件是CNAS对信息安全管理体系（ISMS）认证机构提出的特定要求和指南， 并与相关认可规则和认可准则共同用于CNAS对ISMS认证机构的认可。 本文件中，用术语“应”表示相应条款是强制性的，用术语“宜”表示建议。 本文件代替了CNAS-SC170:2015 。 2017 年01 月01 日 发布 2017 年01 月01 日 实施 CNAS-SC170:2017 第4 页 共23 页 信息安全管理体系认证机构认可方案 1 范围 1.1 为确保CNAS 对实施ISO/IEC 27001:2013 认证的信息安全管理体系 （以下称为 “ISMS”）认证机构实施评审和认可的一致性，指导申请和获得认可的ISMS 认证机构 理解和实施认可规范要求，特制定本文件。 1.2 本文件包括对信息安全管理体系认证机构认可规范的补充说明和指南，适用于 CNAS 对ISMS 认证机构的认可。 本文件R 部分和C 部分分别是对相关认可规则和认可准则的补充和说明。本文件 G 部分是对相关认可准则的应用指南。 2 规范性引用文件 下列文件中的条款通过本文件的引用而成为本文件的条款。以下引用的文件，注 明日期的，仅引用的版本适用；未注明日期的，引用文件的最新版本（包括任何修订） 适用。 CNAS