CNCA-ISMS-01 2026信息安全管理体系认证规则.docxVIP

编号：CNCA-ISMS-01:2026

信息安全管理体系认证规则

2026-01-14发布 2026-03-01实施

国家认证认可监督管理委员会发布

目 录

适用范围 1

认证依据 1

对认证机构的基本要求 1

对认证人员的基本要求 4

认证程序 5

认证申请 5

申请评审 7

认证合同及相关责任 8

审核方案和审核策划 9

实施审核 13

初次认证审核 14

监督审核 16

再认证审核 18

特殊审核 18

不符合项及其验证 19

审核报告 20

认证决定 22

认证证书和认证标志 23

认证证书的暂停、撤销和注销 25

申诉（投诉）处理 28

信息公开与报告 28

认证记录 29

11其他 31

12附则 32

附录A信息安全管理体系认证业务范围分类与风险级别 34

附录B信息安全管理体系认证审核时间要求 37

附录CISMS认证证书编号规则 39

—

—PAGE1—

信息安全管理体系认证规则

适用范围

为规范信息安全管理体系（以下称ISMS）认证活动，根据《中华人民共和国认证认可条例》和《认证机构管理办法》等法律法规，结合相关技术标准制定本规则。

本规则规定了认证机构实施ISMS认证的程序与管理的基本要求，是认证机构从事ISMS认证活动的基本依据。

在中华人民共和国境内从事ISMS认证活动应遵守《中华人民共和国认证认可条例》《认证机构管理办法》及本规则。

认证机构遵守本规则的规定，并不意味着可免除其所承担的法律责任。

认证依据

《网络安全技术信息安全管理体系要求》（GB/T22080）/

《Informationsecurity,cybersecurityandprivacyprotection —

Information security management systems — Requirements》

（ISO/IEC27001）

对认证机构的基本要求

获得国家认证认可监督管理委员会（以下简称国家认监委）批准、取得ISMS认证领域资质。

开展ISMS认证活动，应当围绕国家经济和社会发展目标，重点服务于经济社会高质量发展，不得影响国家安全和社会

公共利益，不得违背社会公序良俗。

内部管理和认证活动符合GB/T27021.1/ISO/IEC17021

—1《合格评定管理体系审核认证机构要求第1部分：要求》和GB/T25067/ISO/IEC27006—1，确保持续满足开展ISMS认证的基本要求。

建立风险防范机制，对从事ISMS认证活动可能引发的风险和责任采取合理有效措施。认证机构应能证明其已对ISMS认证活动引发的风险进行了评估，对引发的责任作出了充分安排

（如保险或储备金）。

建立认证人员管理制度，明确认证人员的能力准则、选择条件、聘用和评价程序，以及能力提升机制。确保从事ISMS认证的人员持续具备相应职业素养和能力。

在拟开展的ISMS认证业务范围（认证业务范围分类见附录A表A），具备2名（含）以上ISMS专业领域审核员。认证机构应结合认证业务范围识别相关专业的学历和专业信息安全工作经历。相应认证业务范围的专业领域审核员，应具备如下条件之一：

（1）具有本科（含）以上学历：在中风险认证业务范围具有至少2年（含）以上该专业的信息安全工作经历或具有该专业的中级（含）以上技术职称；在高风险认证业务范围具有至少3年（含）以上该专业的信息安全工作经历或具有该专业高级技术职称；

注1：信息安全工作包括信息安全管理、信息安全技术研究与开发及服务、信息安全相关测评、信息安全教学等。

注2：认证机构应参照附录A表A确定ISMS认证业务范围的风险级

别。

（2）取得ISMS正式审核员注册资格后，参加该认证业务

范围信息安全专业技术培训且考核合格，并且在ISMS专业领域审核员或技术专家的指导下完成一定数量的ISMS专业审核活动：中风险认证业务范围不少于4次10个现场审核人日，高风险认证业务范围不少于6次20个现场审核人日；

（3）作为项目主要参加人，在该专业完成一定数量的信息安全标准的制定、科研项目（应用于相应行业/过程的信息安全）和设计开发等信息安全专业技术工作。其中，高风险认证业务范围至少为2项，中风险认证业务范围至少为1项；

（4）低风险的认证业务范围，具有ISMS正式审核员注册资格。

应对其认证活动的公正性负责，不允许商业、财务或其他压力损害公正性。如：不得将申请认证的组织（以下称认证委托人）是否获得认证与参与认证审核的审核员及其他人员的薪酬挂钩。

对认证活动中所知悉的国家秘密、商业秘