CNAS-SC170-2017 信息安全管理体系认证机构认可方案(2023第二次修订版).pdf
《CNAS-SC170-2017 信息安全管理体系认证机构认可方案(2023第二次修订版).pdf》由会员分享,可在线阅读,更多相关《CNAS-SC170-2017 信息安全管理体系认证机构认可方案(2023第二次修订版).pdf(23页珍藏版)》请在咨信网上搜索。
1、 2017 年 01 月 01 日 发布 2023 年 02 月 24 日第二次修订 2020 年 11 月 30 日 实施 CNAS-SC170 信息安全管理体系认证机构认可方案信息安全管理体系认证机构认可方案 Accreditation Scheme for ISMS Certification Bodies 中国合格评定国家认可委员会 CNAS-SC170:2017 第 2 页 共 23 页 2017 年 01 月 01 日 发布 2023 年 02 月 24 日第二次修订 2020 年 11 月 30 日 实施 目目 次次 前 言.3 1 范围.4 2 规范性引用文件.4 3 术语和定
2、义.4 4 ISMS 认证机构认可规范的构成.5 R.1 认可申请.5 R.2 预访问.5 R.3 初次认可的见证评审.5 R.4 认证业务范围的认可.6 R.5 其他.6 C.1 认证协议(CNAS-CC01 条款 5.1.2).7 C.2 风险评估和责任安排(CNAS-CC01 条款 5.3.1).7 C.3 ISMS 认证证书(CNAS-CC01 条款 8.2.2、CNAS-CC170 条款 8.2.1).7 C.4 保密(CNAS-CC01 条款 8.4、CNAS-CC170 条款 8.4.1).7 C.5 ISMS 的变化(CNAS-CC01 条款 8.5.3).8 C.6 认证申请
3、(CNAS-CC01 条款 9.1.2).8 C.7 认证审核相关要求(CNAS-CC01 条款 9.3 至条款 9.9).8 C.8 认证机构的管理体系(CNAS-CC01 条款 10.1、CANS-CC170 条款 10.1.1).8 G.1 ISMS 认证机构能力分析和评价系统指南.9 附录 A(规范性附录).17 ISMS 认证机构认证业务范围分类与分级.17 附录 B(资料性附录).19 通用信息安全技术领域和通用信息技术领域参考分类、知识点及应用.19 CNAS-SC170:2017 第 3 页 共 23 页 2017 年 01 月 01 日 发布 2023 年 02 月 24 日
4、第二次修订 2020 年 11 月 30 日 实施 前前 言言 本文件由中国合格评定国家认可委员会(CNAS)制定。本文件是CNAS对信息安全管理体系(ISMS)认证机构提出的特定要求和指南,并与相关认可规则和认可准则共同用于CNAS对ISMS认证机构的认可。本文件中,用术语“应”表示相应条款是强制性的,用术语“宜”表示建议。本文件代替了 CNAS-SC170:2015。CNAS-SC170:2017 第 4 页 共 23 页 2017 年 01 月 01 日 发布 2023 年 02 月 24 日第二次修订 2020 年 11 月 30 日 实施 信息安全管理体系认证机构认可信息安全管理体系
5、认证机构认可方案方案 1 1 范围范围 1.1 为确保 CNAS 对实施 ISO/IEC 27001 认证的信息安全管理体系(以下称为“ISMS”)认证机构实施评审和认可的一致性,指导申请和获得认可的 ISMS 认证机构理解和实施认可规范要求,特制定本文件。1.2 本文件包括对信息安全管理体系认证机构认可规范的补充说明和指南,适用于CNAS 对 ISMS 认证机构的认可。本文件 R 部分和 C 部分分别是对相关认可规则和认可准则的补充和说明。本文件G 部分是对相关认可准则的应用指南。2 2 规范性引用文件规范性引用文件 下列文件中的条款通过本文件的引用而成为本文件的条款。以下引用的文件,注明日
6、期的,仅引用的版本适用;未注明日期的,引用文件的最新版本(包括任何修订)适用。CNAS-RC01认证机构认可规则 CNAS-CC01管理体系认证机构要求 CNAS-CC170信息安全管理体系认证机构要求 CNAS-CC11基于抽样的多场所认证 CNAS-CC12已认可的管理体系认证的转换 ISO/IEC 27007 信息技术 安全技术 信息安全管理体系审核指南 3 3 术语和定义术语和定义 GB/T 19000、GB/T 27000 和 CNAS-CC01 中的术语和定义以及下列术语和定义适用于本文件。3.1 认证业务范围:认证机构的 ISMS 认证活动涉及的行业领域 注:认证业务范围的分类与
7、分级见附录 A,包括“政务”、“公共”、“商务”、“产品的生产”四个大类,每个大类包含若干中类,每个中类被赋予“一”、“二”或“三”级别(认可风险水平由高至低)。附录 A 介绍了认证业务范围分类与分级的相关考虑。注:对于 ISMS,技术领域与信息安全控制措施所涉及的信息安全技术、信息技术及业务活动的类别有关。3.2 专业能力:能够应用特定技术领域的知识实现预期结果的本领 CNAS-SC170:2017 第 5 页 共 23 页 2017 年 01 月 01 日 发布 2023 年 02 月 24 日第二次修订 2020 年 11 月 30 日 实施 4 4 ISMSISMS 认证机构认可规范认
8、证机构认可规范的构成的构成 4.1 CNAS-RC01认证机构认可规则是 ISMS 认证机构认可活动的基本程序规则。CNAS-CC01管理体系认证机构要求是 ISMS 认证机构的基本认可准则。CNAS-CC170信息安全管理体系认证机构要求是 ISMS 认证机构的专用认可准则。4.2 其他适用的认可规则包括:a)CNAS-R01认可标识使用和认可状态声明规则;b)CNAS-R02公正性和保密规则;c)CNAS-R03申诉、投诉和争议处理规则;d)CNAS-RC02认证机构认可资格处理规则;e)CNAS-RC03认证机构信息通报规则;f)CNAS-RC04认证机构认可收费管理规则;g)CNAS-
9、RC05多场所认证机构认可规则;h)CNAS-RC07具有境外场所的认证机构认可规则。4.3 其他适用的认可准则包括:a)CNAS-CC11基于抽样的多场所认证;b)CNAS-CC12已认可的管理体系认证的转换;c)CNAS-CC14信息和通信技术(ICT)在审核中应用;d)CNAS-CC106CNAS-CC01 在一体化管理体系审核中的应用。R R 部分部分 R.1 R.1 认可申请认可申请 申请方应提供 CNAS-RC01 条款 5.1.2 规定的申请文件以及下列文件和信息:1)已审核过的客户(对应到附录 A 的相应中类);2)自申请时间起 6 个月内计划实施的审核(对应到附录 A 的相应
10、中类);3)本机构确保客户符合工信部联协2010394 号文 关于加强信息安全管理体系认证安全管理的通知 的要求以及有关主管部门/监管部门对信息安全管理体系认证的管理要求的措施;4)需要时,CNAS 要求的其他信息。R R.2 .2 预访问预访问 必要时,CNAS 可在受理申请过程中安排预访问,以了解申请方是否已满足认可申请条件以及是否基本具备接受认可评审的条件。R.R.3 3 初次认可的见证评审初次认可的见证评审 CNAS 结合申请方 ISMS 认证活动的范围、规模和风险水平确定初次认可的见证评CNAS-SC170:2017 第 6 页 共 23 页 2017 年 01 月 01 日 发布
11、2023 年 02 月 24 日第二次修订 2020 年 11 月 30 日 实施 审安排。R.R.4 4 认证业务范围的认可认证业务范围的认可 R.4.1 CNAS 按附录 A 的大类进行认可,必要时可将认可范围限定到中类。CNAS 认可某一大类的基本要求是认证机构的能力分析和评价系统覆盖了该大类,且系统运行基本有效。为此,认证机构应满足以下条件:a)对该大类和认证活动涉及到的中类进行了适宜、有效的能力需求分析;b)根据该大类和相关中类的能力需求分析,以适宜、有效的方式确定了能力分析和评价系统的相关组成部分(例如技术领域、能力准则等);c)能力分析和评价系统在与相关中类有关的认证活动中有效地
12、发挥了作用。CNAS 按申请认可的每个大类评价认证机构是否满足以上条件。如果认证机构在一个大类中的多个中类实施了认证,CNAS 可采用抽样的方式优先选取风险级别高的中类进行评价,并实施见证评审。R.4.2 CNAS 对 ISMS 认证机构认证业务范围的认可不包括中华人民共和国境内(不含香港、澳门特别行政区,台湾地区)的各级政府机关、政府信息系统运行单位和涉密信息系统建设使用单位,并在认可证书附件中做相应说明。R.4.3 认证机构应确保运用能力分析和评价系统为该大类的每次认证活动配备所需的全部能力,同时确保客户符合工信部联协2010394 号文关于加强信息安全管理体系认证安全管理的通知的要求以及
13、有关主管部门/监管部门对信息安全管理体系认证的管理要求。只有在满足这些条件之后,认证机构才可实施认证活动和颁发带有CNAS 认可标识的认证证书。此外,对于一级风险的中类,认证机构还应在该大类中某个一级风险的中类已通过了 CNAS 的见证评审之后,才可以在认证证书上施加 CNAS认可标识。R.4.4 CNAS 在认可某一大类后,将在后续监督中对认证机构在该大类下自我评价和配备认证能力的情况进行评审(包括在见证时优先选取风险等级高的中类),并依据相关认可规范对发现的不符合进行处理(包括依据 CNAS-RC02 暂停或撤销部分或全部认可范围)。R.R.5 5 其他其他 R.5.1 CNAS 对 IS
14、MS 认证机构认可标识的管理遵循 CNAS-R01认可标识使用和认可状态声明规则的相关要求。R.5.2 CNAS-RC03 条款 5.2 中“获证组织发生重大事故/事件”是指获得 ISMS 认证的组织发生具有下列影响的信息安全破坏:a)已经或可能严重损害国家安全、社会秩序、公共利益或获证组织及其相关方的合法权益;或者 b)可能损害颁证机构或 CNAS 的公信力、声誉,或使颁证机构或 CNAS 承担连带责任。CNAS-SC170:2017 第 7 页 共 23 页 2017 年 01 月 01 日 发布 2023 年 02 月 24 日第二次修订 2020 年 11 月 30 日 实施 发生上述
15、情况时,颁证机构应及时采取相应措施并向 CNAS 通报相关情况。R.5.3 如果 CNAS 可能需要在评审中接触认证机构的客户的相关信息资产,认证机构应向相关组织询问是否同意 CNAS 接触这些信息资产。如果组织同意,认证机构应识别CNAS接触这些信息资产时须满足的所有要求,并告知CNAS。如果组织不同意或CNAS无法满足相关要求,CNAS 将根据评审所受的影响采取相应的措施。C C 部分部分 C.1 C.1 认证协议(认证协议(CNASCNAS-CC01CC01 条款条款 5.1.25.1.2)认证协议应就控制审核和认证活动引发的客户信息安全风险做出规定,包括明确认证机构和客户及其有关人员的
16、责任与义务。C.2 C.2 风险评估和责任安排(风险评估和责任安排(CNASCNAS-CC01CC01 条款条款 5.3.15.3.1)认证机构应对其审核和认证活动可能给客户的信息安全带来的风险以及认证机构可能承担的责任进行评估,并做出充分的安排(例如购买职业责任保险或设立储备金)。C.C.3 3 ISMSISMS 认证证书(认证证书(CNASCNAS-CC01CC01 条款条款 8.2.8.2.2 2、CNASCNAS-CC17CC170 0 条款条款 8.28.2.1.1)C.3.1 认证机构宜在 ISMS 认证证书中从客户的业务、组织结构、位置和技术特点等方面清晰地界定认证所覆盖的 IS
17、MS 范围。如果由于客户的信息安全的原因不能在认证证书上明示上述全部与客户 ISMS 范围相关的信息时,通过在认证证书上引用客户的适用性声明的方式是一种可以采取的间接方式。C.C.4 4 保密(保密(CNASCNAS-CC01CC01 条款条款 8.8.4 4、CNASCNAS-CC17CC170 0 条款条款 8.4.18.4.1)C.4.1 在认证审核前,认证机构应要求客户识别并向认证机构告知其 ISMS 范围内的哪些信息资产不允许认证机构接触,或者认证机构在接触相关信息资产时应满足哪些要求,包括法律要求、相关方的要求和客户自身的要求。认证机构应满足所有这些要求,否则不应在认证活动中接触客
18、户的相关信息资产。如果认证机构因为未获得客户的允许或无法满足适用的要求而不能接触相关信息资产,那么认证机构应对审核和认证所受到的影响进行评估并采取相应的措施(例如终止审核、缩小审核和认证的范围等)。如果客户事先没有禁止认证机构接触某一信息资产,或未告知认证机构应满足的要求,但认证机构在认证过程中发现自己并不具备接触该信息资产的资格和条件,应立即向客户提出。C.4.2 认证机构应与其 ISMS 认证相关人员签订在法律上具有强制实施力的协议,以确保认证相关人员对审核和认证过程中接触到的客户的保密或敏感信息予以保密。认证机构还宜要求直接接触客户信息的认证人员(例如审核组成员)按照客户的保密要求与客户
19、签署保密协议,或向客户做出保密承诺。C.4.3 认证机构宜对其 ISMS 认证人员进行保密意识教育,并进行保密方面的法律法CNAS-SC170:2017 第 8 页 共 23 页 2017 年 01 月 01 日 发布 2023 年 02 月 24 日第二次修订 2020 年 11 月 30 日 实施 规、标准、规章制度、知识技能的培训。C.4.4 审核组成员不宜在审核过程中以任何方式记录受审核客户的保密或敏感信息。审核组在离开受审核客户前,宜请受审核客户检查和确认审核组携带的文件、资料和设备中未夹带受审核客户的任何保密或敏感信息。C.4.5 认证机构应为包含客户保密或敏感信息的文件、资料和其
20、他物品的制作、收发、传递、使用、复制、摘抄、保存和销毁建立保密程序。C.C.5 5 ISMSISMS 的变化(的变化(CNASCNAS-CC01CC01 条款条款 8.8.5 5.3.3)认证机构应要求客户即时报告其业务、组织结构、位置和技术特点等方面可能导致其 ISMS 范围和边界变化的情况,以及与其 ISMS 相关的法律法规的变化情况。C.C.6 6 认证申请(认证申请(CNASCNAS-CC01CC01 条款条款 9.9.1 1.2 2)C.6.1 认证机构应确保客户符合工信部联协2010394 号文关于加强信息安全管理体系认证安全管理的通知的要求,以及有关主管部门/监管部门对信息安全管
21、理体系认证的管理要求(如工信部 2011 年第 21 号公告工业和信息化部加强政府部门信息技术外包服务安全管理等)。C.6.2 认证机构宜要求客户向其说明适用的关于认证机构的资质、诚信守法记录或认证人员身份背景的要求,以及适用的与保守国家秘密或维护国家安全有关的法律法规要求,并即时更新该说明,以便认证机构判断其是否具备对该客户实施认证活动的资格或条件。C.C.7 7 认证审核相关要求(认证审核相关要求(CNASCNAS-CC01CC01 条款条款 9.39.3 至条款至条款 9.99.9)C.7.1 初次认证第一阶段审核(CNAS-CC01 条款 9.3.1.2)ISMS 初次认证审核的第一阶
22、段审核宜包括在客户现场实施的审核活动,现场审核时间不宜少于 1 个审核人日。当客户由于信息安全的原因在申请评审阶段不能提供给认证机构足够的信息时,认证机构应通过第一阶段审核在客户的现场补充对上述信息的确认,并完成申请评审任务。这种情况下,认证机构应增加第一阶段现场审核时间。C.7.2 对 ISMS 认证审核的指南 ISO/IEC 27007信息技术 安全技术 信息安全管理体系审核指南为 ISMS 审核方案管理、审核实施等内容提供了指南,认证机构可参考采用。C.C.8 8 认证机构认证机构的的管理体系(管理体系(CNASCNAS-CC01CC01 条款条款 10.10.1 1、CANSCANS-
23、CC17CC170 0 条款条款10.10.1.11.1)认证机构宜在其方针、政策、目标和承诺上体现自身的信息安全意识和追求,并在管理体系建立和实施中予以体现。认证机构宜将认证机构的信息安全绩效,以及为其 ISMS 认证活动所采取的、与客户信息安全相关的措施的绩效作为管理评审的关注点之一。CNAS-SC170:2017 第 9 页 共 23 页 2017 年 01 月 01 日 发布 2023 年 02 月 24 日第二次修订 2020 年 11 月 30 日 实施 G G 部部分分 G.1 ISMSG.1 ISMS 认证机构能力分析和评价系统指南认证机构能力分析和评价系统指南 G.1.1 G
24、.1.1 概述概述 G.1.1.1 能力要求 G.1.1.1.1 能力是应用知识和技能实现预期结果的本领。ISMS 认证人员的能力要求应包括:a)所需的知识/技能。表 G.1(参照 CNAS-CC01 附录 A 的表 A.1)列举了承担申请评审、认证决定、审核三种职能的人员应掌握的知识和技能的类型;b)应用知识/技能所要实现的结果。它与人员所承担的职能有关,例如:ISMS审核员需要考虑客户的整体信息安全风险,分析和判断客户的控制措施的充分性、适宜性和有效性,然后追溯到客户 ISMS 的符合性和有效性。认证机构宜参考表 G.1 定义其他人员宜掌握的知识和技能。注:其他人员包括认证机构的管理人员、
25、行政支持性人员、相关委员会的成员以及技术专家等。表 G.1 承担三种 ISMS 认证职能的人员所需知识和技能列表 承担承担认证认证职能职能 知识和技能知识和技能 实施申请评审 以确定所需的 审核组能力、选择 审核组成员和 确定审核时间 复核审核 报告和做出 认证决定 审核和领导审核组 业务管理实践的知识 审核原则、实践和技巧的知识 ISMS 标准和规范的知识 认证机构过程的知识 客户的业务领域的知识 客户的产品、过程和组织的知识 与客户组织中的各个层级相适应的语言技能 作记录和撰写报告的技能 表达技能 面谈技能 审核管理技能 G.1.1.1.2 认证机构宜在能力要求中进一步定义表 G.1 中每
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- CNAS-SC170-2017 信息安全管理体系认证机构认可方案2023第二次修订版 CNAS SC170 2017 信息 安全管理 体系 认证 机构 认可 方案 2023 第二次 修订版
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【b****t】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【b****t】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。