CNAS-SC170：2024《信息安全管理体系认证机构认可方案》.docx

2024年9月30日发布2024年9月30日实施

CNAS-SC170

信息安全管理体系认证机构认可方案

AccreditationSchemeforISMSCertificationBodies

中国合格评定国家认可委员会

CNAS-SC170:2024第2页共8页

2024年9月30日发布2024年9月30日实施

目次

前言 3

1范围 4

2规范性引用文件 4

3术语和定义 4

4ISMS认证机构认可规范的构成 4

R部分 5

R.1认证业务范围的认可 5

R.2见证评审 5

R.3对认证机构客户的信息及其相关资产的访问安排 5

C部分 5

C.1认证协议（CNAS-CC01:20155.1.2） 5

C.2客户记录的获取（CNAS-CC170:20248.4.2） 6

C.3ISMS的变化（CNAS-CC01:20158.5.3） 6

C.4认证申请（CNAS-CC01:20159.1.1） 6

C.5初次认证第一阶段（CNAS-CC01:20159.3.1.2） 6

C.6认证机构的管理体系（CNAS-CC170:202410.1.2） 6

附录A（规范性附录）ISMS认证机构认证业务范围分类与分级 7

CNAS-SC170:2024第3页共8页

前言

本文件由中国合格评定国家认可委员会（CNAS）制定。

本文件是CNAS对信息安全管理体系（ISMS）认证机构提出的特定要求和指南，并与相关认可规则和认可准则共同用于CNAS对ISMS认证机构的认可。

本文件中，用术语“应”表示相应条款是强制性的，用术语“宜”表示建议。

本文件代替了CNAS-SC170:2017。

CNAS-SC170:2024第4页共8页

信息安全管理体系认证机构认可方案

1范围

1.1为确保CNAS对实施ISO/IEC27001认证的信息安全管理体系（以下称为“ISMS”）认证机构实施评审和认可的一致性，指导申请和获得认可的ISMS认证机构理解和实施认可规范要求，特制定本文件。

1.2本文件包括对信息安全管理体系认证机构认可规范的补充说明和指南，适用于CNAS对ISMS认证机构的认可。

1.3本文件R部分和C部分分别是对相关认可规则和认可准则的补充和说明。

2规范性引用文件

下列文件中的条款通过本文件的引用而成为本文件的条款。以下引用的文件，注明日期的，仅引用的版本适用；未注明日期的，引用文件的最新版本（包括任何修订）适用。

CNAS-RC01《认可标识使用和认可状态声明规则》CNAS-CC01《管理体系认证机构要求》

CNAS-CC170《信息安全管理体系认证机构要求》

3术语和定义

CNAS-CC01、CNAS-CC170和CNAS-RC01中的术语和定义适用于本文件。

4ISMS认证机构认可规范的构成

本文件与下列文件共同组成ISMS认证机构认可规范

—CNAS-R01《认可标识使用和认可状态声明规则》—CNAS-R02《公正性和保密规则》

—CNAS-R03《申诉、投诉和争议处理规则》—CNAS-RC01《认证机构认可规则》

—CNAS-RC02《认证机构认可资格处理规则》—CNAS-RC03《认证机构信息通报规则》

—CNAS-RC04《认证机构认可收费管理规则》—CNAS-R