PDF《CNAS-SC170》

或者 b) 可能损害颁证机构或 CNAS 的公信力、声誉,或使颁证机构或 CNAS 承担连带 责任. 发生上述情况时,颁证机构应及时采取相应措施并向 CNAS 通报相关情况. CNAS-SC170:2017 第7页共23 页2017 年01 月01 日 发布

2017 年01 月01 日 实施 R.5.3 如果 CNAS 可能需要在评审中接触认证机构的客户的相关信息资产, 认证机构 应向相关组织询问是否同意 CNAS 接触这些信息资产.如果组织同意,认证机构应识 别CNAS接触这些信息资产时须满足的所有要求, 并告知 CNAS. 如果组织不同意或 CNAS 无法满足相关要求,CNAS 将根据评审所受的影响采取相应的措施. C 部分 C.1 认证协议(CNAS-CC01 条款 5.1.2) 认证协议应就控制审核和认证活动引发的客户信息安全风险做出规定, 包括明确 认证机构和客户及其有关人员的责任与义务. C.2 风险评估和责任安排(CNAS-CC01 条款 5.3.1) 认证机构应对其审核和认证活动可能给客户的信息安全带来的风险以及认证机 构可能承担的责任进行评估,并做出充分的安排(例如购买职业责任保险或设立储备 金) . C.3 选择审核员(CNAS-CC01 条款 7.

2、CNAS-CC170 条款 7.2.1.1) ISMS 审核员应参加至少

4 次、总天数不少于

20 天(其中最多

5 天可来自于监督 审核)的ISMS 审核. 注:教育、工作经历、审核员培训和审核经历仅是认证人员获取认证所需能力的 途径.因此,对认证人员资格条件的审查不能代替对其能力的评价与........