CNAS-CC17-2012 信息安全管理体系认证机构要求.pdfVIP

CNAS-CC17

信息安全管理体系认证机构要求

RequirementsforInformationSecurity

ManagementSystemCertificationBodies

中国合格评定国家认可委员会

2012年01月10日发布2012年04月01日实施

CNAS-CC17:2012第1页共30页

目录

前言2

引言3

1范围4

2规范性引用文件4

3术语和定义4

4原则4

5通用要求5

5.1法律与合同事宜5

5.2公正性的管理5

5.3责任和财力5

m

6结构要求5

6.1组织结构和最高管理层5

o

6.2维护公正性的委员会5

7资源要求5

c

7.1管理层和人员的能力5

7.2参与认证活动的人员6

.

7.3外部审核员和外部技术专家的使用7

7.4人员记录7

w

7.5外包7

8信息要求7

x

8.1可公开获取的信息7

8.2认证文件7

f

8.3获证客户组织名录8

8.4认证的引用和标志的使用8

z

8.5保密性8

b

8.6认证机构与其客户组织间的信息交换8

9过程要求8

.

9.1通用要求8

9.2初次审核与认证10

w

9.3监督活动13

9.4再认证13

w

9.5特殊审核14

9.6暂停、撤销或缩小认证范围14

w

9.7申诉14

9.8投诉14

9.9申请组织和客户组织的记录14

10认证机构的管理体系要求14

10.1可选方式14

10.2方式一：按照GB/T19001-2000的管理体系要求14

10.3方式二：通用的管理体系要求14

附录A（资料性附录）客户组织复杂性和行业特定方面的分析15

附录B（资料性附录）审核员能力的示例18

附录C（资料性附录）审核时间20

附录D（资料性附录）对已实施的GB/T22080-2008附录A的控制措施的评审指南23

2012年01月10日发布2012年04月01日实施

CNAS-CC17:2012第2页共30页

前言

本文件等同采用国际标准ISO/IEC27006: