CNAS-CC170《信息安全管理体系认证机构要求》和CNAS- .pdfVIP

CNAS-CC170《信息安全管理体系认证机构要求》和CNAS-SC170《信息安全管理体系认可方案》的

修订说明

1.修订背景

国际标准化组织（ISO）于2015年10月1日发布了ISO/IEC27006:2015《信息技术安全技术对

提供信息安全管理体系审核与认证的机构的要求》。按照等同采用ISO/IEC27006:2015的原则，CNAS

制定了CNAS-CC170《信息安全管理体系认证机构要求》，以取代现行的CNAS-CC17:2012。

b5E2RGbCAP

此外，CNAS还对现行的CNAS-SC18《信息安全管理体系认可方案》进行了修订，修订后的文件

将使用新的文件编号——CNAS-SC170。p1EanqFDPw

2.主要修订内容

2.1CNAS-CC170的主要修订之处

与CNAS-CC17:2012(等同采用ISO/IEC27006:2011)相比，CNAS-CC170(等同采用ISO/IEC27006:2015)

的主要变化有：DXDiTa9E3d

1)针对CNAS-CC01附录A，新增了对ISMS领域的特定要求（详见CNAS-170的7.1.2条款）。

RTCrpUDGiT

2)原CNAS-CC17的附录B—审核时间由资料性附录调整为规范性附录，并新增了审核时间计

算方法的要求。此外，还新增了附录C（资料性附录），提供了一个审核时间计算的示例。

5PCzVD7HxA

3)按照CNAS-CC01:2015第9章的结构，重新调整了第9章的条款顺序，并对相关条款内容进

行了修订；jLBHrnAILg

4)删除了原CNAS-CC17的附录A（资料性附录）客户组织复杂性和行业特定方面的分析。

5)修改了原CNAS-CC17的附录B（资料性附录）—审核员能力的示例，形成当前的附录A（资

料性附录）—ISMS审核与认证的知识与技能。xHAQX74J0X

6)按照ISO/IEC27001:2013的附录A，修改了原CNAS-CC17的附录D，形成了当前的附录D（资

料性附录）—对已实施的ISO/IEC27001:2013附录A的控制的评审指南LDAYtRyKfE

2.2CNAS-SC170的主要修订之处：

与CNAS-SC18:2012相比，CNAS-SC170的主要变化有：

1)根据ISO/IEC27001:2013的4.3中对确定ISMS范围的要求，删除了CNAS-SC18中G.2ISMS

审核范围和认证范围界定指南;

Zzz6ZB2Ltk

2)根据ISO/IEC27006:2015附录B中对审核时间计算方法要求，删除了CNAS-SC18中G.3ISMS

审核时间确定指南。dvzfvkwMI1

3)规范性引用文件中删除了对