CNAS-SC170-2017 信息安全管理体系认证机构认可方案.docx

2017年01月01日发布2017年01月01日实施

CNAS-SC170

信息安全管理体系认证机构认可方案

AccreditationSchemeforISMSCertificationBodies

中国合格评定国家认可委员会

CNAS-SC170:2017第2页共23页

2017年01月01日发布2017年01月01日实施

目次

前言 3

1范围 4

2规范性引用文件 4

3术语和定义 4

4ISMS认证机构认可规范的构成 5

R.1认可申请 5

R.2预访问 5

R.3初次认可的见证评审 5

R.4认证业务范围的认可 6

R.5其他 6

C.1认证协议（CNAS-CC01条款5.1.2） 7

C.2风险评估和责任安排（CNAS-CC01条款5.3.1） 7

C.3选择审核员（CNAS-CC01条款7.2、CNAS-CC170条款7.2.1.1） 7

C.4ISMS认证证书（CNAS-CC01条款8.2.2、CNAS-CC170条款8.2.1） 7

C.5保密（CNAS-CC01条款8.4、CNAS-CC170条款8.4.1） 7

C.6ISMS的变化（CNAS-CC01条款8.5.3） 8

C.7已认可的ISMS认证的转换（CNAS-CC01条款9.1.3.4） 8

C.8认证申请（CNAS-CC01条款9.1.2） 8

C.9认证审核相关要求（CNAS-CC01条款9.3至条款9.9） 8

C.10认证机构的管理体系（CNAS-CC01条款10.1、CANS-CC170条款10.1.1） 9

G.1ISMS认证机构能力分析和评价系统指南 9

附录A（规范性附录）ISMS认证机构认证业务范围分类与分级 17

附录B（资料性附录）通用信息安全技术领域和通用信息技术领域——参考分类、知

识点及应用 19

CNAS-SC170:2017第3页共23页

前言

本文件由中国合格评定国家认可委员会（CNAS）制定。

本文件是CNAS对信息安全管理体系（ISMS）认证机构提出的特定要求和指南，并与相关认可规则和认可准则共同用于CNAS对ISMS认证机构的认可。

本文件中，用术语“应”表示相应条款是强制性的，用术语“宜”表示建议。

本文件代替了CNAS-SC170:2015。

CNAS-SC170:2017第4页共23页

信息安全管理体系认证机构认可方案

1范围

1.1为确保CNAS对实施ISO/IEC27001:2013认证的信息安全管理体系（以下称为“ISMS”）认证机构实施评审和认可的一致性，指导申请和获得认可的ISMS认证机构理解和实施认可规范要求，特制定本文件。

1.2本文件包括对信息安全管理体系认证机构认可规范的补充说明和指南，适用于CNAS对ISMS认证机构的认可。

本文件R部分和C部分分别是对相关认可规则和认可准则的补充和说明。本文件G部分是对相关认可准则的应用指南。

2规范性引用文件

下列文件中的条款通过本文件的引用而成为本文件的条款。以下引用的文件，注明日期的，仅引用的版本适用；未注明日期的，引用文件的最新版本（包括任