信息安全管理体系认证机构要求（征求意见稿）.pdf

CNAS-CC12 信息安全管理体系认证机构要求 Requirements for bodies providing audit and certification of information security management systems (ISO/IEC 27006:2007) （征求意见稿） （本稿完成日期：2007 年11 月13 日） 中国合格评定国家认可委员会 2008 年xx 月xx 日发布 2008 年xx 月xx 日实施 CNAS-CC12:2008 第2 页 共31 页 目 录 引 言 4 信息安全管理体系认证机构要求 5 1 范围 5 2 规范性引用文件 5 3 术语和定义 5 4 原则 6 5 通用要求 6 5.1 法律与合同事宜 6 5.2 公正性的管理 6 5.3 责任和财力 6 6 结构要求 6 6.1 组织结构和最高管理层 6 6.2 维护公正性的委员会 6 7 资源要求 6 7.1 管理层和人员的能力 6 7.2 参与认证活动的人员 7 7.3 外部审核员和外部技术专家的使用 8 7.4 人员记录 8 7.5 外包 8 8 信息要求 8 8.1 可公开获取的信息 8 8.2 认证文件 9 8.3 获证客户目录 9 8.4 认证资格的引用和标志的使用 9 8.5 保密 9 8.6 认证机构与其客户间的信息交换 9 9 过程要求 9 9.1 通用要求 9 9.2 初次审核与认证 12 9.3 监督活动 14 9.4 再认证 15 9.5 特殊审核 15 9.6 暂停、撤销或缩小认证范围 15 9.7 申诉 15 9.8 投诉 15 9.9 申请组织和客户的记录 15 10 认证机构的管理体系要求 16 10.1 可选方式 16 2008 年xx 月xx 日发布 2008 年xx 月xx 日实施 CNAS-CC12:2008 第3 页 共31 页 10.2 方式一：与GB/T 19001 一致的管理体系要求 16 10.3 方式二：通用的管理体系要求 16 附 录 A （资料性附录） 客户组织复杂性和行业特定方面的分析 17 附 录 B （资料性附录） 审核员能力范围的示例 19 附 录 C （资料性附录） 审核时间 21 附 录 D （资料性附录） ISO/IEC 27001 附录A 控制措施评审指南 25 2008 年xx 月xx 日发布 2008 年xx 月xx 日实施 CNAS-CC12:2008 第4 页 共31 页 引 言 CNAS-CC01规定了对管理体系认证机构的认可要求。如果这些机构为按照ISO/IEC 27001:2005对信 息安全管理体系 （ISMS）实施审核与认证，而希望获得CNAS-CC01认可，则有必要在CNAS-CC01基础上增 加相应的要求和指南。本文件提供了这些要求和指南。 本文件的正文采用了CNAS-CC01的结构，并用英文字母“IS”标识在ISMS认证中应用CNAS-CC01时增 加的ISMS专用要求和指南。 在本文件中，术语 “应”表示相应的条款是强制性的，反映了CNAS-CC01和ISO/IEC27001的要求。 术语 “宜”表示相应的条款是对要求的应用指南，希望认证机构予以采纳。