CNAS-EC-027-2009 信息安全管理体系认证机构的认可说明.docx

认可说明

编号：CNAS-EC-027:2009第1页共16页

信息安全管理体系认证机构的认可说明

1目的和适用范围

1.1为确保CNAS对GB/T22080—2008（ISO/IEC27001:2005,IDT）信息安全管理体系（以下称为“ISMS”）认证机构实施评审和认可的一致性，指导申请和获得认可的ISMS认证机构理解和实施认可规范要求，特制定本文件。

1.2本文件是对ISMS认证机构认可规范的补充和必要说明，适用于CNAS对ISMS认证机构的认可试点。CNAS将根据认可试点的经验进一步完善本文件，适时将其转化为相应认可规范。

本文件R部分是对相关认可规则的补充和进一步说明。本文件G部分是对相关认可准则的应用指南。

2术语和定义

GB/T19000－2008和GB/T27000－2006中的术语和定义以及下列术语和定义适用于本文件。

2.1技术领域

按照信息安全要求、信息技术、信息安全技术和（或）信息安全管理知识、方法、工具在行业、组织和（或）业务活动中的应用特点而划分的范围

2.2ISMS专业审核员

能够独立实施涉及特定技术领域的ISMS审核活动的审核员

2.3ISMS技术专家

针对特定技术领域的信息安全要求、信息技术、信息安全技术和（或）信息安全管理知识、方法、工具等为ISMS认证活动提供支持的技术专家

3ISMS认证机构认可规范

3.1CNAS-RC01:2006《认证机构认可规则》规定了ISMS认证机构认可活动的基本程序规则。

CNAS-CC01:2007《管理体系认证机构要求》是ISMS认证机构的基本认可准则。

CNAS-CC17:2009《信息安全管理体系认证机构要求》是ISMS认证机构的专用认可准则。

3.2其他适用的认可规则包括：

a)CNAS-R01:2006《认可标识和认可状态声明管理规则》（2007年第1次修订）；

发布日期:2009年02月15日实施日期:2009年02月15日

认可说明

编号：CNAS-EC-027:2009第2页共16页

b)CNAS-R02:2006《公正性和保密规则》；

c)CNAS-R03:2008《申诉、投诉和争议处理规则》；

d)CNAS-RC02:2006《认证机构认可资格的暂停与撤销规则》；

e)CNAS-RC03:2006《认证机构信息通报规则》；

f)CNAS-RC04:2008《认证机构认可收费管理规则》；

g)CNAS-RC05:2006《多场所认证机构认可规则》；

h)CNAS-RC07:2007《具有境外关键场所的认证机构认可规则》。

3.3其他适用的认可准则包括：

a)CNAS-CC11:2008《基于抽样的多场所认证》；

b)CNAS-CC12:2008《已认可的管理体系认证的转换》；

c)CNAS-CC14:2008《计算机辅助审核技术在获得认可的管理体系认证中的使用》。

发布日期:2009年02月15日实施日期:2009年02月15日

认可说明

编号：CNAS-EC-027:2009第3页共16页

发布日期:2009年02月15日实施日期:2009年02月15日

R部分

R.1认可申请

申请认可的ISMS认证机构（以下称为“申请方”）应具备CNAS-RC01条款5.1.1规定的基本条件以及下列条件：

a)ISMS认证活动已被国家认监委批准；

b)基本