CNAS-CC17_2013信息安全管理体系认证机构要求-中国合格评定.PDFVIP

CNAS-CC17 信息安全管理体系认证机构要求 Requirementsfor InformationSecurity ManagementSystemCertificationBodies 中国合格评定国家认可委员会 2012年01月10 日发布 2015年06月01 日第一次修订 2015年06月01 日 实施 1 CNAS-CC17:2012 第 页 共30页 目 录 前言2 引言3 1 范围4 2 规范性引用文件4 3 术语和定义4 4 原则4 5 通用要求5 5.1 法律与合同事宜5 5.2 公正性的管理5 5.3 责任和财力5 6 结构要求5 6.1 组织结构和最高管理层5 6.2 维护公正性的委员会5 7 资源要求5 7.1 管理层和人员的能力5 7.2 参与认证活动的人员6 7.3 外部审核员和外部技术专家的使用7 7.4 人员记录7 7.5 外包7 8 信息要求7 8.1 可公开获取的信息7 8.2 认证文件7 8.3 获证客户组织名录8 8.4 认证的引用和标志的使用8 8.5 保密性8 8.6 认证机构与其客户组织间的信息交换8 9 过程要求8 9.1 通用要求8 9.2 初次审核与认证10 9.3 监督活动13 9.4 再认证13 9.5 特殊审核14 9.6 暂停、撤销或缩小认证范围14 9.7 申诉14 9.8 投诉14 9.9 申请组织和客户组织的记录14 10 认证机构的管理体系要求14 10.1 可选方式14 10.2 方式一： 按照GB/T19001-2000 的管理体系要求14 10.3 方式二： 通用的管理体系要求14 附录A （资料性附录）客户组织复杂性和行业特定方面的分析15 附录B （资料性附录）审核员能力的示例18 附录C （资料性附录）审核时间20 附录D （资料性附录）对已实施的GB/T 22080-2008附录A 的控制措施的评审指南23 2012年01月10 日 发布 2015年06月01 日第一次修订 2015年06月01 日 实施 2 CNAS-CC17:2012 第 页 共30页 前 言 本文件等同采用国际标准ISO/IEC27006:2011 《信息技术安全技术 信息安全管理体系审核认证机 构的要求》。本文件是CNAS对信息安全管理体系认证机构的专用认可准则，与管理体系认证机构基本 认可准则CNAS-CC01:2011 《管理体系认证机构要求》共同构成CNAS对信息安全管理体系认证机构的 认可准则。 本文件的附录A、B、C和D是资料性附录。 为了便于使用，对ISO/IEC27006:2011做了下列编辑性修改： 1) 针对认证机构的管理时，用词汇 “程序”表示 “procedure”；针对客户组织的管理时，用词汇 “规程”表示 “procedure”；