CNCA-ISMS-01 2026信息安全管理体系认证规则.pdfVIP

编号：CNCA-ISMS-01:2026

信息安全管理体系认证规则

2026-01-14发布2026-03-01实施

国家认证认可监督管理委员会发布

目录

1适用范围1

2认证依据1

3对认证机构的基本要求1

4对认证人员的基本要求4

5认证程序5

5.1认证申请5

5.2申请评审7

5.3认证合同及相关责任8

5.4审核方案和审核策划9

5.5实施审核13

5.6初次认证审核14

5.7监督审核16

5.8再认证审核18

5.9特殊审核18

5.10不符合项及其验证19

5.11审核报告20

5.12认证决定22

6认证证书和认证标志23

7认证证书的暂停、撤销和注销25

8申诉（投诉）处理28

9信息公开与报告28

10认证记录29

11其他31

12附则32

A34

附录信息安全管理体系认证业务范围分类与风险级别

B37

附录信息安全管理体系认证审核时间要求

附录CISMS认证证书编号规则39

信息安全管理体系认证规则

1适用范围

1.1为规范信息安全管理体系（以下称ISMS）认证活动，根

据《中华人民共和国认证认可条例》和《认证机构管理办法》等

法律法规，结合相关技术标准制定本规则。

1.2本规则规定了认证机构实施ISMS认证的程序与管理的

基本要求，是认证机构从事ISMS认证活动的基本依据。

1.3在中华人民共和国境内从事ISMS认证活动应遵守《中

华人民共和国认证认可条例》《认证机构管理办法》及本规则。

1.4认证机构遵守本规则的规定，并不意味着可免除其所承

担的法律责任。

2认证依据

《网络安全技术信息安全管理体系要求》（GB/T22080）/

《Informationsecurity,cybersecurityandprivacyprotection—

Informationsecuritymanagementsystems—Requirements》

（ISO/IEC27001）

3对认证机构的基本要求

3.1获得国家认证认可监督管理委员会（以下简称国家认监

委）批准、取得ISMS认证领域资质。

3.2开展ISMS认证活动，应当围绕国家经济和社会发展目

标，重点服务于经济社会高质量发展，不得影响国家安全和社会

—1—

公共利益，不得违背社会公序良俗。

3.3内部管理和认证活动符合GB/T27021.1/ISO/IEC17021

—1《合格评定管理体系审核认证机构要求第1部分：要求》

和GB/T25067/ISO/IEC27006—1，确保持续满足开展ISMS认证

的基本要求。

3.4建立风险防范机制，对从事ISMS认证活动可能引发的

风险和责任采取合理有效措施。认证机构应能证明其已对ISMS

认证活动引发的风险进行了评估，对引发的责任作出了充分安排

（如保险或储备金）。

3.5建立认证人员管理制度，明确认证人员的能力准则、选

择条件、聘用和评价程序，以及能力提升机制。确保从事ISMS

认证的人员持续具备相应职业素养和能力。

3.6在拟开展的ISMS认证业务范围（认证业务范围分类见

附录A表A），具备2名（含）以上ISMS专业领域审核员。认证

机构应结合认证业务范围识别相关专业的学历和专业信息安

全工作经历。相应认证业务范围的专业领域审核员，应具备如

下条件