CNAS-SC170-2017 信息安全管理体系认证机构认可方案(2023第二次修订版).pdf

上传人:wb123... 文档编号:100792298 上传时间:2024-01-28 格式:PDF 页数:23 大小:1.18MB
下载 相关 举报
CNAS-SC170-2017 信息安全管理体系认证机构认可方案(2023第二次修订版).pdf_第1页
第1页 / 共23页
CNAS-SC170-2017 信息安全管理体系认证机构认可方案(2023第二次修订版).pdf_第2页
第2页 / 共23页
CNAS-SC170-2017 信息安全管理体系认证机构认可方案(2023第二次修订版).pdf_第3页
第3页 / 共23页
CNAS-SC170-2017 信息安全管理体系认证机构认可方案(2023第二次修订版).pdf_第4页
第4页 / 共23页
CNAS-SC170-2017 信息安全管理体系认证机构认可方案(2023第二次修订版).pdf_第5页
第5页 / 共23页
亲,该文档总共23页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
2017 年 01 月 01 日 发布 2023 年 02 月 24 日第二次修订 2020 年 11 月 30 日 实施 CNAS-SC170 信息安全管理体系认证机构认可方案信息安全管理体系认证机构认可方案 Accreditation Scheme for ISMS Certification Bodies 中国合格评定国家认可委员会 CNAS-SC170:2017 第 2 页 共 23 页 2017 年 01 月 01 日 发布 2023 年 02 月 24 日第二次修订 2020 年 11 月 30 日 实施 目目 次次 前 言.3 1 范围.4 2 规范性引用文件.4 3 术语和定义.4 4 ISMS 认证机构认可规范的构成.5 R.1 认可申请.5 R.2 预访问.5 R.3 初次认可的见证评审.5 R.4 认证业务范围的认可.6 R.5 其他.6 C.1 认证协议(CNAS-CC01 条款 5.1.2).7 C.2 风险评估和责任安排(CNAS-CC01 条款 5.3.1).7 C.3 ISMS 认证证书(CNAS-CC01 条款 8.2.2、CNAS-CC170 条款 8.2.1).7 C.4 保密(CNAS-CC01 条款 8.4、CNAS-CC170 条款 8.4.1).7 C.5 ISMS 的变化(CNAS-CC01 条款 8.5.3).8 C.6 认证申请(CNAS-CC01 条款 9.1.2).8 C.7 认证审核相关要求(CNAS-CC01 条款 9.3 至条款 9.9).8 C.8 认证机构的管理体系(CNAS-CC01 条款 10.1、CANS-CC170 条款 10.1.1).8 G.1 ISMS 认证机构能力分析和评价系统指南.9 附录 A(规范性附录).17 ISMS 认证机构认证业务范围分类与分级.17 附录 B(资料性附录).19 通用信息安全技术领域和通用信息技术领域参考分类、知识点及应用.19 CNAS-SC170:2017 第 3 页 共 23 页 2017 年 01 月 01 日 发布 2023 年 02 月 24 日第二次修订 2020 年 11 月 30 日 实施 前前 言言 本文件由中国合格评定国家认可委员会(CNAS)制定。本文件是CNAS对信息安全管理体系(ISMS)认证机构提出的特定要求和指南,并与相关认可规则和认可准则共同用于CNAS对ISMS认证机构的认可。本文件中,用术语“应”表示相应条款是强制性的,用术语“宜”表示建议。本文件代替了 CNAS-SC170:2015。CNAS-SC170:2017 第 4 页 共 23 页 2017 年 01 月 01 日 发布 2023 年 02 月 24 日第二次修订 2020 年 11 月 30 日 实施 信息安全管理体系认证机构认可信息安全管理体系认证机构认可方案方案 1 1 范围范围 1.1 为确保 CNAS 对实施 ISO/IEC 27001 认证的信息安全管理体系(以下称为“ISMS”)认证机构实施评审和认可的一致性,指导申请和获得认可的 ISMS 认证机构理解和实施认可规范要求,特制定本文件。1.2 本文件包括对信息安全管理体系认证机构认可规范的补充说明和指南,适用于CNAS 对 ISMS 认证机构的认可。本文件 R 部分和 C 部分分别是对相关认可规则和认可准则的补充和说明。本文件G 部分是对相关认可准则的应用指南。2 2 规范性引用文件规范性引用文件 下列文件中的条款通过本文件的引用而成为本文件的条款。以下引用的文件,注明日期的,仅引用的版本适用;未注明日期的,引用文件的最新版本(包括任何修订)适用。CNAS-RC01认证机构认可规则 CNAS-CC01管理体系认证机构要求 CNAS-CC170信息安全管理体系认证机构要求 CNAS-CC11基于抽样的多场所认证 CNAS-CC12已认可的管理体系认证的转换 ISO/IEC 27007 信息技术 安全技术 信息安全管理体系审核指南 3 3 术语和定义术语和定义 GB/T 19000、GB/T 27000 和 CNAS-CC01 中的术语和定义以及下列术语和定义适用于本文件。3.1 认证业务范围:认证机构的 ISMS 认证活动涉及的行业领域 注:认证业务范围的分类与分级见附录 A,包括“政务”、“公共”、“商务”、“产品的生产”四个大类,每个大类包含若干中类,每个中类被赋予“一”、“二”或“三”级别(认可风险水平由高至低)。附录 A 介绍了认证业务范围分类与分级的相关考虑。注:对于 ISMS,技术领域与信息安全控制措施所涉及的信息安全技术、信息技术及业务活动的类别有关。3.2 专业能力:能够应用特定技术领域的知识实现预期结果的本领 CNAS-SC170:2017 第 5 页 共 23 页 2017 年 01 月 01 日 发布 2023 年 02 月 24 日第二次修订 2020 年 11 月 30 日 实施 4 4 ISMSISMS 认证机构认可规范认证机构认可规范的构成的构成 4.1 CNAS-RC01认证机构认可规则是 ISMS 认证机构认可活动的基本程序规则。CNAS-CC01管理体系认证机构要求是 ISMS 认证机构的基本认可准则。CNAS-CC170信息安全管理体系认证机构要求是 ISMS 认证机构的专用认可准则。4.2 其他适用的认可规则包括:a)CNAS-R01认可标识使用和认可状态声明规则;b)CNAS-R02公正性和保密规则;c)CNAS-R03申诉、投诉和争议处理规则;d)CNAS-RC02认证机构认可资格处理规则;e)CNAS-RC03认证机构信息通报规则;f)CNAS-RC04认证机构认可收费管理规则;g)CNAS-RC05多场所认证机构认可规则;h)CNAS-RC07具有境外场所的认证机构认可规则。4.3 其他适用的认可准则包括:a)CNAS-CC11基于抽样的多场所认证;b)CNAS-CC12已认可的管理体系认证的转换;c)CNAS-CC14信息和通信技术(ICT)在审核中应用;d)CNAS-CC106CNAS-CC01 在一体化管理体系审核中的应用。R R 部分部分 R.1 R.1 认可申请认可申请 申请方应提供 CNAS-RC01 条款 5.1.2 规定的申请文件以及下列文件和信息:1)已审核过的客户(对应到附录 A 的相应中类);2)自申请时间起 6 个月内计划实施的审核(对应到附录 A 的相应中类);3)本机构确保客户符合工信部联协2010394 号文 关于加强信息安全管理体系认证安全管理的通知 的要求以及有关主管部门/监管部门对信息安全管理体系认证的管理要求的措施;4)需要时,CNAS 要求的其他信息。R R.2 .2 预访问预访问 必要时,CNAS 可在受理申请过程中安排预访问,以了解申请方是否已满足认可申请条件以及是否基本具备接受认可评审的条件。R.R.3 3 初次认可的见证评审初次认可的见证评审 CNAS 结合申请方 ISMS 认证活动的范围、规模和风险水平确定初次认可的见证评CNAS-SC170:2017 第 6 页 共 23 页 2017 年 01 月 01 日 发布 2023 年 02 月 24 日第二次修订 2020 年 11 月 30 日 实施 审安排。R.R.4 4 认证业务范围的认可认证业务范围的认可 R.4.1 CNAS 按附录 A 的大类进行认可,必要时可将认可范围限定到中类。CNAS 认可某一大类的基本要求是认证机构的能力分析和评价系统覆盖了该大类,且系统运行基本有效。为此,认证机构应满足以下条件:a)对该大类和认证活动涉及到的中类进行了适宜、有效的能力需求分析;b)根据该大类和相关中类的能力需求分析,以适宜、有效的方式确定了能力分析和评价系统的相关组成部分(例如技术领域、能力准则等);c)能力分析和评价系统在与相关中类有关的认证活动中有效地发挥了作用。CNAS 按申请认可的每个大类评价认证机构是否满足以上条件。如果认证机构在一个大类中的多个中类实施了认证,CNAS 可采用抽样的方式优先选取风险级别高的中类进行评价,并实施见证评审。R.4.2 CNAS 对 ISMS 认证机构认证业务范围的认可不包括中华人民共和国境内(不含香港、澳门特别行政区,台湾地区)的各级政府机关、政府信息系统运行单位和涉密信息系统建设使用单位,并在认可证书附件中做相应说明。R.4.3 认证机构应确保运用能力分析和评价系统为该大类的每次认证活动配备所需的全部能力,同时确保客户符合工信部联协2010394 号文关于加强信息安全管理体系认证安全管理的通知的要求以及有关主管部门/监管部门对信息安全管理体系认证的管理要求。只有在满足这些条件之后,认证机构才可实施认证活动和颁发带有CNAS 认可标识的认证证书。此外,对于一级风险的中类,认证机构还应在该大类中某个一级风险的中类已通过了 CNAS 的见证评审之后,才可以在认证证书上施加 CNAS认可标识。R.4.4 CNAS 在认可某一大类后,将在后续监督中对认证机构在该大类下自我评价和配备认证能力的情况进行评审(包括在见证时优先选取风险等级高的中类),并依据相关认可规范对发现的不符合进行处理(包括依据 CNAS-RC02 暂停或撤销部分或全部认可范围)。R.R.5 5 其他其他 R.5.1 CNAS 对 ISMS 认证机构认可标识的管理遵循 CNAS-R01认可标识使用和认可状态声明规则的相关要求。R.5.2 CNAS-RC03 条款 5.2 中“获证组织发生重大事故/事件”是指获得 ISMS 认证的组织发生具有下列影响的信息安全破坏:a)已经或可能严重损害国家安全、社会秩序、公共利益或获证组织及其相关方的合法权益;或者 b)可能损害颁证机构或 CNAS 的公信力、声誉,或使颁证机构或 CNAS 承担连带责任。CNAS-SC170:2017 第 7 页 共 23 页 2017 年 01 月 01 日 发布 2023 年 02 月 24 日第二次修订 2020 年 11 月 30 日 实施 发生上述情况时,颁证机构应及时采取相应措施并向 CNAS 通报相关情况。R.5.3 如果 CNAS 可能需要在评审中接触认证机构的客户的相关信息资产,认证机构应向相关组织询问是否同意 CNAS 接触这些信息资产。如果组织同意,认证机构应识别CNAS接触这些信息资产时须满足的所有要求,并告知CNAS。如果组织不同意或CNAS无法满足相关要求,CNAS 将根据评审所受的影响采取相应的措施。C C 部分部分 C.1 C.1 认证协议(认证协议(CNASCNAS-CC01CC01 条款条款 5.1.25.1.2)认证协议应就控制审核和认证活动引发的客户信息安全风险做出规定,包括明确认证机构和客户及其有关人员的责任与义务。C.2 C.2 风险评估和责任安排(风险评估和责任安排(CNASCNAS-CC01CC01 条款条款 5.3.15.3.1)认证机构应对其审核和认证活动可能给客户的信息安全带来的风险以及认证机构可能承担的责任进行评估,并做出充分的安排(例如购买职业责任保险或设立储备金)。C.C.3 3 ISMSISMS 认证证书(认证证书(CNASCNAS-CC01CC01 条款条款 8.2.8.2.2 2、CNASCNAS-CC17CC170 0 条款条款 8.28.2.1.1)C.3.1 认证机构宜在 ISMS 认证证书中从客户的业务、组织结构、位置和技术特点等方面清晰地界定认证所覆盖的 ISMS 范围。如果由于客户的信息安全的原因不能在认证证书上明示上述全部与客户 ISMS 范围相关的信息时,通过在认证证书上引用客户的适用性声明的方式是一种可以采取的间接方式。C.C.4 4 保密(保密(CNASCNAS-CC01CC01 条款条款 8.8.4 4、CNASCNAS-CC17CC170 0 条款条款 8.4.18.4.1)C.4.1 在认证审核前,认证机构应要求客户识别并向认证机构告知
展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业标准 > 公共安全行业标准GA

版权所有:www.WDFXW.net 

鲁ICP备09066343号-25