CNAS-EC-027-2010 信息安全管理体系认证机构认可说明.docxVIP

认可说明

编号：CNAS-EC-027:2010第1页共24页

信息安全管理体系认证机构认可说明

1目的和适用范围

1.1为确保CNAS对实施GB/T22080—2008(ISO/IEC27001:2005,IDT)认证的信息安全管理体系(以下称为ISMS)认证机构实施评审和认可的一致性，指导申请和获得认可的ISMS认证机构理解和实施认可规范要求，特制定本文件。

1.2本文件是对管理体系认证机构认可规范的补充和必要说明，适用于CNAS对ISMS认证机构的认可。

本文件R部分和C部分分别是对相关认可规则和认可准则的补充和说明。本文件G部分是对相关认可准则的应用指南。

2规范性引用文件

下列文件中的条款通过本文件的引用而成为本文件的条款。以下引用的文件，注明日期的，仅引用的版本适用；未注明日期的，引用文件的最新版本(包括任何修订)适用。

CNAS-RCO1《认证机构认可规则》

CNAS-CCO1《管理体系认证机构要求》

CNAS-CC17《信息安全管理体系认证机构要求》CNAS-CC11《基于抽样的多场所认证》

CNAS-CC12《已认可的管理体系认证的转换》

3术语和定义

GB/T19000-2008和GB/T27000-2006中的术语和定义以及下列术语和定义适

用于本文件。

3.1认证业务范围：认证机构的ISMS认证活动涉及的行业领域

注：认证业务范围的分类与分级见附录一，包括“政务”、“公共”、“商务”、“产品的生产”四个大类，每个大类包含若干中类，每个中类被赋予“一”、“二”或“三”级

别(认可风险水平由高至低)。附录一介绍了认证业务范围分类与分级的相关考虑。

3.2能力：应用知识和技能实现预期结果的本领

3.3技术领域：以ISMS相关过程的共性为特征的领域

注：对于ISMS,技术领域与信息安全控制措施所涉及的信息安全技术、信息技术及

发布日期：2009年02月15日修订日期：2010年10月14日实施日期：2010年10月14日

认可说明

编号：CNAS-EC-027:2010第2页共24页

业务活动的类别有关。

3.3专业能力：应用特定技术领域的知识实现预期结果的本领

4ISMS认证机构认可规范的构成

4.1CNAS-RC01《认证机构认可规则》是ISMS认证机构认可活动的基本程序规则。CNAS-CC01《管理体系认证机构要求》是ISMS认证机构的基本认可准则。

CNAS-CC17《信息安全管理体系认证机构要求》是ISMS认证机构的专用认可准则。

4.2其他适用的认可规则包括：

a)CNAS-R01《认可标识和认可状态声明管理规则》；

b)CNAS-R02《公正性和保密规则》；

c)CNAS-R03《申诉、投诉和争议处理规则》；

d)CNAS-RC02《认证机构认可资格的暂停与撤销规则》；

e)CNAS-RC03《认证机构信息通报规则》；

f)CNAS-RC04《认证机构认可收费管理规则》；

g)CNAS-RC05《多场所认证机构认可规则》；

h)CNAS-RC07《具有境外关键场所的认证机构认可规则》。

4.3其他适用的认可准则包括：

a)CNAS-CC11《基于抽样的多场所认证》；

b)CNAS-CC12《已认可的管理体系认证的转换》；

c)CNAS-CC14《计算机辅助审核技术在获得认可的管理体系认证中的使用》。

R部分

R.1认可申请

申请认可的ISMS认证机构（以下称为“申请方”）应具备CNAS-RC01条款5.1.1规定的基本条件以及下列条件：

a)ISMS认证活动已被国家认监委批准；

b)已按照CNAS-CC01和CNAS-CC17建立了管理体系，且运行时间不少于6个月。申请方应提供CNAS-RC01:2006条款5.1.2规定的申请文件以及下列文件和信息：

a)ISMS认证活动国家认监委批准文件复印件；

b)已审核过的组织（对应到认证业务范围相应中类）；

c)自申请时间起6个月内计划实施的审核（对应到认证业务范围相应中类）