CNAS-SC18-2012 信息安全管理体系认证机构认可方案.pdf

CNAS-SC18 信息安全管理体系认证机构认可方案 Accreditation Scheme for ISMS Certification Bodies 中国合格评定国家认可委员会 2012 年 04 月 01 日 发布 2012 年 04 月 01 日 实施 编号：CNAS-SC18:2012 第 2 页 共 28 页 目 次 前 言 3 1 范围 4 2 规范性引用文件 4 3 术语和定义 4 4 ISMS 认证机构认可规范的构成 5 R.1 认可申请 5 R.2 预访问 6 R.3 初次认可的见证评审 6 R.4 认证业务范围的认可 6 R.5 其他 7 C.1 认证协议 7 C.2 风险评估和责任安排 7 C.3 ISMS 审核员在教育、工作经历、审核员培训和审核经历方面的必备条件 7 C.4 ISMS 认证证书 8 C.5 保密 8 C.6 ISMS 的变化 8 C.7 已认可的 ISMS 认证的转换 9 C.8 认证申请 9 C.9 认证审核相关要求 9 C.10 认证机构的信息安全管理体系 9 G.1 ISMS 认证机构能力分析和评价系统指南 10 G.2 ISMS 审核范围和认证范围界定指南 17 G.3 ISMS 审核时间确定指南 20 附录A （规范性附录）ISMS 认证机构认证业务范围分类与分级 22 附录 B （资料性附录） 通用信息安全技术领域和通用信息技术领域—参考分类、知识点及应用 24 2012 年 04 月 01 日 发布 2012 年 04 月 01 日 实施 编号：CNAS-SC18:2012 第 3 页 共 28 页 前 言 本文件由中国合格评定国家认可委员会（CNAS）制定。 本文件是CNAS对信息安全管理体系（ISMS）认证机构提出的特定要求和指南，并 与相关认可规则和认可准则共同用于CNAS对ISMS认证机构的认可。 本文件中，用术语“应”表示相应条款是强制性的，用术语“宜”表示建议。 CNAS-SC18:2012代替认可说明文件CNAS-EC-027:2010，作为认可方案首次发布。 本文件针对CNAS-EC-027:2010的主要修改包括： 1) 在引用文件及相关章节增加ISO/IEC 27007及ISO/IEC TR 27008； 2) 依据CNAS-CC01:2011正文及规范性附录要求对G.1内容修订调整； 3) 在C.8.1认证申请阶段增加监管部门要求的示例； 4）其他引用文件变化。