信息安全管理体系认证机构的认可说明（征求意见稿）1目的和适用范围.docVIP

PAGE PAGE 10 信息安全管理体系认证机构的认可说明 （征求意见稿） 1 目的和适用范围 1.1 为确保CNAS对GB/T 22080—2008（ISO/IEC 27001:2005, IDT）信息安全管理体系（以下称为“ISMS”）认证机构实施评审和认可的一致性，指导申请和获得认可的ISMS认证机构理解和实施认可规范要求，特制定本文件。 1.2 本文件是对ISMS认证机构认可规范的补充和必要说明，适用于CNAS对ISMS认证机构的认可试点。CNAS将根据认可试点的经验进一步完善本文件，适时将其转化为相应认可规范。 本文件R部分是对相关认可规则的补充和进一步说明。本文件G部分是对相关认可准则的应用指南。 2 术语和定义 ISO 9000:2005和GB/T 27000－2006中的术语和定义以及下列术语和定义适用于本文件。 2.1 技术领域 按照信息安全要求、信息技术、信息安全技术和（或）信息安全管理知识、方法、工具在行业、组织和（或）业务活动中的应用特点而划分的范围 2.2 ISMS专业审核员 能够独立实施涉及特定技术领域的ISMS审核活动的审核员 2.3 ISMS技术专家 针对特定技术领域的信息安全要求、信息技术、信息安全技术和（或）信息安全管理知识、方法、工具等为ISMS认证活动提供支持的技术专家 3 ISMS认证机构认可规范 3.1 CNAS-RC01:2006《认证机构认可规则》规定了ISMS认证机构认可活动的基本程序规则。 CNAS-CC01:2007《管理体系认证机构要求》是ISMS认证机构的基本认可准则。 CNAS-CC17:2009《信息安全管理体系认证机构要求》是ISMS认证机构的专用认可准则。 3.2 其他适用的认可规则包括： CNAS-R01:2006《认可标识和认可状态声明管理规则》（2007年第1次修订）； CNAS-R02:2006《公正性和保密规则》； CNAS-R03:2008《申诉、投诉和争议处理规则》； CNAS-RC02:2006《认证机构认可资格的暂停与撤销规则》； CNAS-RC03:2006《认证机构信息通报规则》； CNAS-RC04:2008《认证机构认可收费管理规则》； CNAS-RC05:2006《多场所认证机构认可规则》； CNAS-RC07:2007《具有境外关键场所的认证机构认可规则》。 3.3 其他适用的认可准则包括： CNAS-CC11:2008《基于抽样的多场所认证》； CNAS-CC12:2008《已认可的管理体系认证的转换》； CNAS-CC14:2008《计算机辅助审核技术在获得认可的管理体系认证中的使用》。 R部分 R.1 认可申请 申请认可的ISMS认证机构（以下称为“申请方”）应具备CNAS-RC01条款5.1.1规定的基本条件以及下列条件： ISMS认证活动已被国家认监委批准； 基本运作符合CNAS-CC01。 申请方应提供CNAS-RC01:2006条款5.1.2规定的申请文件以及下列文件和信息 ISMS认证活动国家认监委批准文件复印件； 已审核过的组织（对应到附录一中的相应中类）； 自申请时间起6个月内计划实施的审核（对应到附录一中的相应中类）； 需要时CNAS要求的其他信息。 R.2 初次认可的见证评审 CNAS结合申请方ISMS认证活动的范围、规模和风险水平确定初次认可的见证评审安排，通常情况下进行不少于两次见证评审。 注：认可试点期间，如果初次认可中仅实施一次见证评审，CNAS将在申请方获得认可后，结合其ISMS认证活动发展情况，至少补充一次见证评审。 R.3 认证业务范围的认可 R.3.1 认证业务范围的分类与分级 CNAS对ISMS认证机构认证业务范围的认可采用本文件附录一的分类方法：分为“政务”、“公共”、“商务”、“产品的生产”四个大类，每个大类包含若干中类，每个中类被赋予“I”、“II”或“III”（由髙至低）的风险级别。本文件附录一对以上分类和分级做了进一步说明。 R.3.2 认证业务范围的认可程序 ISMS认证机构申请认证业务范围认可应符合CNAS认可规范的相关要求。通常情况下，在申请认可的认证业务范围内，认证机构的能力分析和评价系统应能够有效地识别和配备开展相关ISMS认证活动所需的能力。 R.3.2.1 认证业务范围的 认证业务范围的评审方法包括档案和记录审查、见证评审、与有关人员面谈、对获证组织的实地访问等。评审的内容主要包括： 按申请认可的大类确认认证机构能力分析和评价系统的完整性、符合性和总体运行情况； 在申请认可的每个大类中选取一定数量的中类，按中类从认证活动管理和实施的各个环节验证认证机构能力分析和评价系统运行的有效性。通常情况下，I级风险的中类必选，并需要实施见证评