CNAS-CC17-2012 信息安全管理体系认证机构要求.docxVIP

2012年01月10日发布2012年04月01日实施

CNAS-CC17

信息安全管理体系认证机构要求

RequirementsforInformationSecurity

ManagementSystemCertificationBodies

中国合格评定国家认可委员会

CNAS-CC17:2012第1页共30页

2012年01月10日发布2012年04月01日实施

目录

前言 2

引言 3

1范围 4

2规范性引用文件 4

3术语和定义 4

4原则 4

5通用要求 5

5.1法律与合同事宜 5

5.2公正性的管理 5

5.3责任和财力 5

6结构要求 5

6.1组织结构和最高管理层 5

6.2维护公正性的委员会 5

7资源要求 5

7.1管理层和人员的能力 5

7.2参与认证活动的人员 6

7.3外部审核员和外部技术专家的使用 7

7.4人员记录 7

7.5外包 7

8信息要求 7

8.1可公开获取的信息 7

8.2认证文件 7

8.3获证客户组织名录 8

8.4认证的引用和标志的使用 8

8.5保密性 8

8.6认证机构与其客户组织间的信息交换 8

9过程要求 8

9.1通用要求 8

9.2初次审核与认证 10

9.3监督活动 13

9.4再认证 13

9.5特殊审核 14

9.6暂停、撤销或缩小认证范围 14

9.7申诉 14

9.8投诉 14

9.9申请组织和客户组织的记录 14

10认证机构的管理体系要求 14

10.1可选方式 14

10.2方式一：按照GB/T19001-2000的管理体系要求 14

10.3方式二：通用的管理体系要求 14

附录A（资料性附录）客户组织复杂性和行业特定方面的分析 15

附录B（资料性附录）审核员能力的示例 18

附录C（资料性附录）审核时间 20

附录D（资料性附录）对已实施的GB/T22080-2008附录A的控制措施的评审指南 23

CNAS-CC17:2012第2页共30页

前言

本文件等同采用国际标准ISO/IEC27006:2011《信息技术安全技术信息安全管理体系审核认证机构的要求》。本文件是CNAS对信息安全管理体系认证机构的专用认可准则，与管理体系认证机构基本认可准则CNAS-CC01:2011《管理体系认证机构要求》共同构成CNAS对信息安全管理体系认证机构的认可准则。

本文件的附录A、B、C和D是资料性附录。

为了便于使用，对ISO/IEC27006:2011做了下列编辑性修改：

1)针对认证机构的管理时，用词汇“程序”表示“procedure”；针对客户组织的管理时，用词汇“规程”表示“procedure”；

2)针对认证机构的管理时，用词汇“政策”表示“policies”；针对客户组织的管理时，用词汇“策略”表示“policies”；

3)用词汇“客户组织”表示“client”或“clientorganization”；

4)用词汇“审核时间”表示“audittime”或“auditortime”。本文件代替了CNAS-CC17:2009。

CNAS-CC17:2012