CNAS-SC18 信息安全管理体系认证机构认可方案.pdf
《CNAS-SC18 信息安全管理体系认证机构认可方案.pdf》由会员分享,可在线阅读,更多相关《CNAS-SC18 信息安全管理体系认证机构认可方案.pdf(28页珍藏版)》请在咨信网上搜索。
1、 2012 年 04 月 01 日 发布 2015 年 07 月 15 日 第二次修订 2015 年 12 月 16 日 实施 CNAS-SC18 信息安全信息安全管理体系认证机构管理体系认证机构认可方案认可方案 Accreditation Scheme for ISMS Certification Bodies 中国合格评定国家认可委员会 CNAS-SC18:2012 第 2 页 共 28 页 2012 年 04 月 01 日 发布 2015 年 07 月 15 日 第二次修订 2015 年 12 月 16 日 实施 目目 次次 前 言.3 1 范围.4 2 规范性引用文件.4 3 术语和定
2、义.4 4 ISMS 认证机构认可规范的构成.5 R.1 认可申请.5 R.2 预访问.5 R.3 初次认可的见证评审.6 R.4 认证业务范围的认可.6 R.5 其他.7 C.1 认证协议.7 C.2 风险评估和责任安排.7 C.3 ISMS 审核员在教育、工作经历、审核员培训和审核经历方面的必备条件.7 C.4 ISMS 认证证书.8 C.5 保密.8 C.6 ISMS 的变化.8 C.7 已认可的 ISMS 认证的转换.9 C.8 认证申请.9 C.9 认证审核相关要求.9 C.10 认证机构的信息安全管理体系.9 G.1 ISMS 认证机构能力分析和评价系统指南.10 G.2 ISMS
3、 审核范围和认证范围界定指南.17 G.3 ISMS 审核时间确定指南.20 附录 A(规范性附录)ISMS 认证机构认证业务范围分类与分级.22 附录 B(资料性附录)通用信息安全技术领域和通用信息技术领域参考分类、知识点及应用.24 CNAS-SC18:2012 第 3 页 共 28 页 2012 年 04 月 01 日 发布 2015 年 07 月 15 日 第二次修订 2015 年 12 月 16 日 实施 前前 言言 本文件由中国合格评定国家认可委员会(CNAS)制定。本文件是CNAS对信息安全管理体系(ISMS)认证机构提出的特定要求和指南,并与相关认可规则和认可准则共同用于CNA
4、S对ISMS认证机构的认可。本文件中,用术语“应”表示相应条款是强制性的,用术语“宜”表示建议。本文件 2012 年首次发布,2015 年两次修订主要进行了以下编辑性调整:1)4.2 条款 a)和 h),分别更新了 CNAS-R01 和 CNAS-R07 的文件名称;2)R.5.1 条款,调整了该条款的阐述方式;3)R.5.2 条款,更新对 CNAS-RC03 相关条款的引用;4)更新了本文件对 CNAS-CC01:2015 相关条款的引用;5)第 3 章,增加了对 CNAS-CC01 的引用,同时删除了“能力”和“技术领域”两个术语;6)G.1 条款,根据 CNAS-CC01 附录 A 的表
5、 A.1 调整了表 G.1。CNAS-SC18:2012 第 4 页 共 28 页 2012 年 04 月 01 日 发布 2015 年 07 月 15 日 第二次修订 2015 年 12 月 16 日 实施 信息安全管理体系认证机构认可方案 信息安全管理体系认证机构认可方案 1 范围 1 范围 1.1 为确保 CNAS 对实施 GB/T 220802008(ISO/IEC 27001:2005,IDT)认证的信息安全管理体系(以下称为“ISMS”)认证机构实施评审和认可的一致性,指导申请和获得认可的 ISMS 认证机构理解和实施认可规范要求,特制定本文件。1.2 本文件包括对信息安全管理体系
6、认证机构认可规范的补充说明和指南,适用于CNAS 对 ISMS 认证机构的认可。本文件 R 部分和 C 部分分别是对相关认可规则和认可准则的补充和说明。本文件G 部分是对相关认可准则的应用指南。2 规范性引用文件 2 规范性引用文件 下列文件中的条款通过本文件的引用而成为本文件的条款。以下引用的文件,注明日期的,仅引用的版本适用;未注明日期的,引用文件的最新版本(包括任何修订)适用。CNAS-RC01认证机构认可规则 CNAS-CC01管理体系认证机构要求 CNAS-CC17信息安全管理体系认证机构要求 CNAS-CC11基于抽样的多场所认证 CNAS-CC12已认可的管理体系认证的转换 IS
7、O/IEC 27007 信息技术 安全技术 信息安全管理体系审核指南 ISO/IEC TR 27008 信息技术 安全技术 审核员的信息安全控制措施指南 ISO/IEC 27003 信息技术 安全技术 信息安全管理体系实施指南 3 术语和定义 3 术语和定义 GB/T 190002008、GB/T 270002006 和 CNAS-CC01 中的术语和定义以及下列术语和定义适用于本文件。3.1 认证业务范围:认证机构的 ISMS 认证活动涉及的行业领域 注:认证业务范围的分类与分级见附录 A,包括“政务”、“公共”、“商务”、“产品的生产”四个大类,每个大类包含若干中类,每个中类被赋予“一”、
8、“二”或“三”级别(认可风险水平由高至低)。附录 A 介绍了认证业务范围分类与分级的相关考虑。注:对于 ISMS,技术领域与信息安全控制措施所涉及的信息安全技术、信息技术及业务活动的类别有关。CNAS-SC18:2012 第 5 页 共 28 页 2012 年 04 月 01 日 发布 2015 年 07 月 15 日 第二次修订 2015 年 12 月 16 日 实施 3.2 专业能力:能够应用特定技术领域的知识实现预期结果的本领 4 ISMS 认证机构认可规范的构成 4 ISMS 认证机构认可规范的构成 4.1 CNAS-RC01认证机构认可规则是 ISMS 认证机构认可活动的基本程序规则
9、。CNAS-CC01管理体系认证机构要求是 ISMS 认证机构的基本认可准则。CNAS-CC17 信息安全管理体系认证机构要求 是 ISMS 认证机构的专用认可准则。4.2 其他适用的认可规则包括:a)CNAS-R01认可标识使用和认可状态声明规则;b)CNAS-R02公正性和保密规则;c)CNAS-R03申诉、投诉和争议处理规则;d)CNAS-RC02认证机构认可资格处理规则;e)CNAS-RC03认证机构信息通报规则;f)CNAS-RC04认证机构认可收费管理规则;g)CNAS-RC05多场所认证机构认可规则;h)CNAS-RC07具有境外场所的认证机构认可规则。4.3 其他适用的认可准则
10、包括:a)CNAS-CC11基于抽样的多场所认证;b)CNAS-CC12已认可的管理体系认证的转换;c)CNAS-CC14计算机辅助审核技术在获得认可的管理体系认证中的使用。R 部分 R.1 认可申请 R 部分 R.1 认可申请 在中华人民共和国境内从事 ISMS 认证活动的认证机构申请认可的(以下称为“申请方”),应具备 CNAS-RC01 条款 5.1.1 规定的基本条件以及下列条件:a)ISMS 认证活动已被国家认监委批准;b)已按照 CNAS-CC01 和 CNAS-CC17 建立了管理体系,且运行时间不少于 6 个月。申请方应提供 CNAS-RC01 条款 5.1.2 规定的申请文件
11、以及下列文件和信息:1)ISMS 认证活动国家认监委批准文件复印件;2)已审核过的组织(对应到认证业务范围相应中类);3)自申请时间起6个月内计划实施的审核(对应到认证业务范围相应中类);4)本机构确保客户组织符合工信部联协2010394 号文 关于加强信息安全管理体系认证安全管理的通知 的要求以及有关主管部门/监管部门对信息安全管理体系认证的管理要求的措施;5)需要时,CNAS 要求的其他信息。R.2 预访问 R.2 预访问 CNAS-SC18:2012 第 6 页 共 28 页 2012 年 04 月 01 日 发布 2015 年 07 月 15 日 第二次修订 2015 年 12 月 1
12、6 日 实施 必要时,CNAS 可在受理申请过程中安排预访问,以了解申请方是否已满足认可申请条件以及是否基本具备接受认可评审的条件。R.3 初次认可的见证评审 R.3 初次认可的见证评审 CNAS 结合申请方 ISMS 认证活动的范围、规模和风险水平确定初次认可的见证评审安排,通常情况下进行不少于两次见证评审。R.4 认证业务范围的认可 R.4 认证业务范围的认可 R.4.1 CNAS 通过对 ISMS 认证机构的认证业务范围进行认可来确定该机构的认可范围。CNAS 按认证业务范围的大类进行认可,必要时可将认可范围限定到中类。CNAS认可某一大类的基本要求是认证机构的能力分析和评价系统覆盖了该
13、大类,且系统运行基本有效。为此,认证机构应满足以下条件:a)对该大类和认证活动涉及到的中类进行了适宜、有效的能力需求分析;b)根据该大类和相关中类的能力需求分析,以适宜、有效的方式确定了能力分析和评价系统的相关组成部分(例如技术领域、能力准则等);c)能力分析和评价系统在与相关中类有关的认证活动中有效地发挥了作用。CNAS 按申请认可的每个大类评价认证机构是否满足以上条件。如果认证机构在一个大类中的多个中类实施了认证,CNAS 可采用抽样的方式选取其中一部分中类进行评价。通常情况下,一级风险的中类必选,并需要实施见证评审;二、三级风险的中类可以视具体情况抽样,必要时进行见证评审。R.4.2 C
14、NAS 对 ISMS 认证机构认证业务范围的认可不包括中华人民共和国境内(不含香港、澳门特别行政区,台湾地区)的各级政府机关、政府信息系统运行单位和涉密信息系统建设使用单位,并在认可证书附件中做相应说明。R.4.3 CNAS 对某一大类的认可,仅表明 CNAS 基于评审认为,认证机构的能力分析和评价系统能够保证充分地识别和配备该大类认证活动所需的能力,并不表明 CNAS认为认证机构已经具备了在该大类实施认证活动所需的全部能力,在该大类的每次认证活动都有效,也不意味着 CNAS 批准认证机构可以对该大类的任何组织实施认证。因此,认证机构应确保运用能力分析和评价系统为该大类的每次认证活动配备所需的
15、全部能力,同时确保客户组织符合工信部联协2010394 号文关于加强信息安全管理体系认证安全管理的通知的要求以及有关主管部门/监管部门对信息安全管理体系认证的管理要求,并在满足这些条件后,才实施认证活动和颁发带有 CNAS 认可标识的认证证书(不包括 I 级风险的中类)。对于 I 级风险的中类,通常情况下,认证机构应在 CNAS 实施见证评审并确认符合认可规范要求后,才可以在认证证书上施加CNAS 认可标识。R.4.4 CNAS 在认可某一大类后,将在后续监督中对认证机构在该大类下自我评价和配备认证能力的情况进行评审(包括对 II 级或 III 级风险的中类实施必要的见证评审),并依据相关认可
16、规范对发现的不符合进行处理(包括依据 CNAS-RC02 暂停或撤CNAS-SC18:2012 第 7 页 共 28 页 2012 年 04 月 01 日 发布 2015 年 07 月 15 日 第二次修订 2015 年 12 月 16 日 实施 销部分或全部认可范围)。R.5 其他 R.5 其他 R.5.1 CNAS 对 ISMS 认证机构认可标识的管理遵循 CNAS-R01认可标识使用和认可状态声明规则的相关要求。R.5.2 CNAS-RC03 条款 5.2 中“获证组织发生重大事故/事件”是指获得 ISMS 认证的组织发生具有下列影响的信息安全破坏:a)已经或可能严重损害国家安全、社会秩
17、序、公共利益或获证组织及其相关方的合法权益;或者 b)可能损害颁证机构或 CNAS 的公信力、声誉,或使颁证机构或 CNAS 承担连带责任。发生上述情况时,颁证机构应及时采取相应措施并向 CNAS 通报相关情况。R.5.3 如果 CNAS 可能需要在评审中接触认证机构的客户组织的相关信息资产,认证机构应向相关组织询问是否同意 CNAS 接触这些信息资产。如果组织同意,认证机构应识别 CNAS 接触这些信息资产时须满足的所有要求,并告知 CNAS。如果组织不同意或 CNAS 无法满足相关要求,CNAS 将根据评审所受的影响采取相应的措施。C 部分 C.1 认证协议(CNAS-CC01 条款 5.
18、1.2)C 部分 C.1 认证协议(CNAS-CC01 条款 5.1.2)认证协议应就控制审核和认证活动引发的客户组织信息安全风险做出规定,包括明确认证机构和客户组织及其有关人员的责任与义务。C.2 C.2 风险评估和责任安排(CNAS-CC01 条款 5.3.1)风险评估和责任安排(CNAS-CC01 条款 5.3.1)认证机构应对其审核和认证活动可能给客户组织的信息安全带来的风险以及认证机构可能承担的责任进行评估,并做出充分的安排(例如购买职业责任保险或设立储备金)。C.3 ISMS 审核员在教育、工作经历、审核员培训和审核经历方面的必备条件(CNAS-CC17 条款 7.2.1.3)C.
19、3 ISMS 审核员在教育、工作经历、审核员培训和审核经历方面的必备条件(CNAS-CC17 条款 7.2.1.3)ISMS 审核员在教育、工作经历、审核员培训和审核经历等方面应满足下列条件:a)教育:与信息安全技术相关的专业的本科学历;b)工作经历:至少 4 年信息技术方面全职实际工作经历,其中至少 2 年的工作经历来自与信息安全有关的职责或职能;c)审核员培训:成功完成 5 天或 40 小时的 ISMS 审核员培训;d)审核经历:参加至少 4 次 ISMS 审核,审核总天数不少于 20 天,其中包括文件评审、风险分析的评审、现场审核和审核报告。认证机构应注意:教育、工作经历、审核员培训和审
20、核经历仅是认证人员获取认证所需能力的途径,认证人员具有相关的经历并不等于一定具备认证所需的能力。因CNAS-SC18:2012 第 8 页 共 28 页 2012 年 04 月 01 日 发布 2015 年 07 月 15 日 第二次修订 2015 年 12 月 16 日 实施 此,认证机构应按照其能力分析和评价系统(参见 G.1)的相关规定,对满足上述条件的人员实际所具有的能力进行评价和证实,而不应用资格条件的审查代替能力的评价和证实。C.4 ISMS 认证证书(CNAS-CC01 条款 8.2.2、CNAS-CC17 条款 IS 8.2)C.4 ISMS 认证证书(CNAS-CC01 条款
21、 8.2.2、CNAS-CC17 条款 IS 8.2)C.4.1 认证机构宜在 ISMS 认证证书中从客户组织的业务、组织结构、位置、场所、资产和技术特点等方面清晰地界定认证所覆盖的 ISMS 范围。如果由于组织的信息安全的原因不能在认证证书上明示上述全部与组织 ISMS 范围相关的信息时,通过在认证证书上引用组织的适用性声明的方式是一种可以采取的间接方式。C.4.2 ISMS 认证证书中宜体现适用性声明的版本信息。认证机构应对获证组织适用性声明的版本变化情况进行监视和控制,这需要认证机构和组织间的信息沟通渠道通畅。C.5 保密(CNAS-CC01 条款 8.4、CNAS-CC17 条款 IS
22、 8.5)C.5 保密(CNAS-CC01 条款 8.4、CNAS-CC17 条款 IS 8.5)C.5.1 在认证审核前,认证机构应要求客户组织识别并向认证机构告知其 ISMS 范围内的哪些信息资产不允许认证机构接触,或者认证机构在接触相关信息资产时应满足哪些要求,包括法律要求、相关方的要求和组织自身的要求。认证机构应满足所有这些要求,否则不应在认证活动中接触组织的相关信息资产。如果认证机构因为未获得组织的允许或无法满足适用的要求而不能接触相关信息资产,那么认证机构应对审核和认证所受到的影响进行评估并采取相应的措施(例如终止审核、缩小审核和认证的范围等)。如果组织事先没有禁止认证机构接触某一
23、信息资产,或未告知认证机构应满足的要求,但认证机构在认证过程中发现自己并不具备接触该信息资产的资格和条件,应立即向组织提出。C.5.2 认证机构应与其 ISMS 认证相关人员签订在法律上具有强制实施力的协议,以确保认证相关人员对审核和认证过程中接触到的组织的保密或敏感信息予以保密。认证机构还宜要求直接接触组织信息的认证人员(例如审核组成员)按照组织的保密要求与组织签署保密协议,或向组织做出保密承诺。C.5.3 认证机构宜对其 ISMS 认证人员进行保密意识教育,并进行保密方面的法律法规、标准、规章制度、知识技能的培训。C.5.4 审核组成员不宜在审核过程中以任何方式记录受审核组织的保密或敏感信
24、息。审核组在离开受审核组织前,宜请受审核组织检查和确认审核组携带的文件、资料和设备中未夹带受审核组织的任何保密或敏感信息。C.5.5 认证机构应为包含客户组织保密或敏感信息的文件、资料和其他物品的制作、收发、传递、使用、复制、摘抄、保存和销毁建立保密程序。C.6 ISMS 的变化(CNAS-CC01 条款 8.5.3)C.6 ISMS 的变化(CNAS-CC01 条款 8.5.3)认证机构应要求客户组织即时报告其业务、组织结构、位置、场所、资产和技术CNAS-SC18:2012 第 9 页 共 28 页 2012 年 04 月 01 日 发布 2015 年 07 月 15 日 第二次修订 20
25、15 年 12 月 16 日 实施 特点等方面可能导致其 ISMS 范围和边界变化的情况,以及与其 ISMS 相关的法律法规的变化情况。C.7 已认可的 ISMS 认证的转换(CNAS-CC01 条款 9.1.3.4)C.7 已认可的 ISMS 认证的转换(CNAS-CC01 条款 9.1.3.4)认证机构仅应根据CNAS-CC12对CNAS认可的其他认证机构颁发的ISMS认证实施转换。除此以外的其他情况应按照初次认证对待。此时,认证机构若要考虑客户组织以往所获的 ISMS 认证,应满足 CNAS-CC01 条款 9.1.1 的要求。C.8 认证申请(CNAS-CC01 条款 9.1.2)C.
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- CNAS-SC18 信息安全管理体系认证机构认可方案 CNAS SC18 信息 安全管理 体系 认证 机构 认可 方案
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【ora****at】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【ora****at】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。