PDF《CNAS-SC170》

2017 年01 月01 日 实施

4 ISMS 认证机构认可规范的构成 4.1 CNAS-RC01《认证机构认可规则》是ISMS 认证机构认可活动的基本程序规则. CNAS-CC01《管理体系认证机构要求》是ISMS 认证机构的基本认可准则. CNAS-CC170《信息安全管理体系认证机构要求》是ISMS 认证机构的专用认可准 则. 4.2 其他适用的认可规则包括: a) CNAS-R01《认可标识使用和认可状态声明规则》 ;

b) CNAS-R02《公正性和保密规则》 ;

c) CNAS-R03《申诉、投诉和争议处理规则》 ;

d) CNAS-RC02《认证机构认可资格处理规则》 ;

e) CNAS-RC03《认证机构信息通报规则》 ;

f) CNAS-RC04《认证机构认可收费管理规则》 ;

g) CNAS-RC05《多场所认证机构认可规则》 ;

h) CNAS-RC07《具有境外场所的认证机构认可规则》 . 4.3 其他适用的认可准则包括: a) CNAS-CC11《基于抽样的多场所认证》 ;

b) CNAS-CC12《已认可的管理体系认证的转换》 ;

c) CNAS-CC14《计算机辅助审核技术在获得认可的管理体系认证中的使用》 ;

d) CNAS-CC106《CNAS-CC01 在一体化管理体系审核中的应用》 . R 部分 R.1 认可申请 申请方应提供 CNAS-RC01 条款 5.1.2 规定的申请文件以及下列文件和信息: 1) 已审核过的客户(对应到附录 A 的相应中类) ;

2) 自申请时间起

6 个月内计划实施的审核(对应到附录 A 的相应中类) ;

3) 本机构确保客户符合工信部联协[2010]394 号文 《关于加强信息安全管理 体系认证安全管理的通知》 的要求以及有关主管部门/监管部门对信息安全管 理体系认证的管理要求的措施;

4) 需要时,CNAS 要求的其他信息. R.2 预访问 必要时,CNAS 可在受理申请过程中安排预访问,以了解申请方是否已满足认可 申请条件以及是否基本具备接受认可评审的条件. R.3 初次认可的见证评审 CNAS 结合申请方 ISMS 认证活动的范围、规模和风险水平确定初次认可的见证评 审安排. CNAS-SC170:2017 第6页共23 页2017 年01 月01 日 发布

2017 年01 月01 日 实施 R.4 认证业务范围的认可 R.4.1 CNAS 按附录 A 的大类进行认可,必要时可将认可范围限定到中类.CNAS 认可 某一大类的基本要求是认证机构的能力分析和评价系统覆盖了该大类, 且系统运行基 本有效.为此,认证机构应满足以下条件: a) 对该大类和认证活动涉及到的中类进行了适宜、有效的能力需求分析;

b) 根据该大类和相关中类的能力需求分析,以适宜、有效的方式确定了能力分 析和评价系统的相关组成部分(例如技术领域、能力准则等) ;

c) 能力分析和评价系统在与相关中类有关的认证活动中有效地发挥了作用. CNAS 按申请认可的每个大类评价认证机构是否满足以上条件.如果认证机构在 一个大类中的多个中类实施了认证,CNAS 可采用抽样的方式优先选取风险级别高的 中类进行评价,并实施见证评审. R.4.2 CNAS 对ISMS 认证机构认证业务范围的认可不包括中华人民共和国境内(不 含香港、澳门特别行政区,台湾地区)的各级政府机关、政府信息系统运行单位和涉 密信息系统建设使用单位,并在认可证书附件中做相应说明. R.4.3 认证机构应确保运用能力分析和评价系统为该大类的每次认证活动配备所需 的全部能力,同时确保客户符合工信部联协[2010]394 号文《关于加强信息安全管理 体系认证安全管理的通知》的要求以及有关主管部门/监管部门对信息安全管理体系 认证的管理要求.只有在满足这些条件之后,认证机构才可实施认证活动和颁发带有 CNAS 认可标识的认证证书.此外,对于一级风险的中类,认证机构还应在该大类中 某个一级风险的中类已通过了 CNAS 的见证评审之后,才可以在认证证书上施加 CNAS 认可标识. R.4.4 CNAS 在认可某一大类后,将在后续监督中对认证机构在该大类下自我评价和 配备认证能力的情况进行评审(包括在见证时优先选取风险等级高的中类) ,并依据 相关认可规范对发现的不符合进行处理 (包括依据 CNAS-RC02 暂停或撤销部分或全部 认可范围) . R.5 其他 R.5.1 CNAS 对ISMS 认证机构认可标识的管理遵循 CNAS-R01《认可标识使用和认可 状态声明规则》的相关要求. R.5.2 CNAS-RC03 条款 5.2 中 获证组织发生重大事故/事件 是指获得 ISMS 认证 的组织发生具有下列影响的信息安全破坏: a) 已经或可能严重损害国家安全、社会秩序、公共利益或获证组织及其相关方 的合法权益;