2017年01月01日发布2020年08月15日第一次修订2020年11月30日实施CNAS-SC170信息安全管理体系认证机构认可方案AccreditationSchemeforISMSCertificationBodies中国合格评定国家认可委员会CNAS-SC170:2017第2页共23页2017年01月01日发布2020年08月15日第一次修订2020年11月30日实施目次前言..................................................................31范围.................................................................42规范性引用文件.......................................................43术语和定义...........................................................44ISMS认证机构认可规范的构成..........................................5R.1认可申请...........................................................5R.2预访问.............................................................5R.3初次认可的见证评审.................................................5R.4认证业务范围的认可.................................................6R.5其他...............................................................6C.1认证协议(CNAS-CC01条款5.1.2)....................................7C.2风险评估和责任安排(CNAS-CC01条款5.3.1)..........................7C.3ISMS认证证书(CNAS-CC01条款8.2.2、CNAS-CC170条款8.2.1).........7C.4保密(CNAS-CC01条款8.4、CNAS-CC170条款8.4.1)....................7C.5ISMS的变化(CNAS-CC01条款8.5.3).................................8C.6认证申请(CNAS-CC01条款9.1.2)....................................8C.7认证审核相关要求(CNAS-CC01条款9.3至条款9.9)....................8C.8认证机构的管理体系(CNAS-CC01条款10.1、CANS-CC170条款10.1.1)....8G.1ISMS认证机构能力分析和评价系统指南................................9附录A(规范性附录)...................................................17ISMS认证机构认证业务范围分类与分级....................................17附录B(资料性附录)...................................................19通用信息安全技术领域和通用信息技术领域——参考分类、知识点及应用.......19CNAS-SC170:2017第3页共23页2017年01月01日发布2020年08月15日第一次修订2020年11月30日实施前言本文件由中国合格评定国家认可委员会(CNAS)制定。本文件是CNAS对信息安全管理体系(ISMS)认证机构提出的特定要求和指南,并与相关认可规则和认可准则共同用于CNAS对ISMS认证机构的认可。本文件中,用术语“应”表示相应条款是强制性的,用术语“宜”表示建议。本文件代替了CNAS-SC170:2015。CNAS-SC170:2017第4页共23页2017年01月01日发布2020年08月15日第一次修订2020年11月30日实施信息安全管理体系认证机构认可方案1范围1.1为确保CNAS对实施ISO/IEC27001:2013认证的信息安全管理体系(以下称为“ISMS”)认证机构实施评审和认可的一致性,指导申请和获得认可的ISMS认证机构理解和实施认可规范要求,特制定本文件。1.2本文件包括对信息安全管理体系认证机构认可规范的补充说明和指南,适用于CNAS对ISMS认证机构的认可。本文件R部分和C部分分别是对相关认可规则和认可准则的补充和说明。本文件G部分是对相关认可准则的应用指南。2规范性引用文件下列文件中的条款通过本文件的引用而成为本文件的条款。以下引用的文件,注明日期的,仅引用的版本适用;未注明日期的,引用文件的最新版本(包括任何修订)适用。CNAS-RC01《认证机构认可规则》CNAS-CC01《管理体系认证机构要求》CNAS-CC170《信息安全管理体系认证机构要求》CNAS-CC11《基于抽样的多场所认证》CNAS-CC12《已认可的管理体系认证的转换》ISO/IEC27007《信息技术安全技术信息安全管理体系审核指南》3术语和定义GB/T19000、GB/T27000和CNAS-CC01中的术语和定义以及下列术语和定义适用于本文件。3.1认证业务范围:认证机构的ISMS认证活动涉及的行业领域注:认证业务范围的分类与分级见附录A,包括“政务”、“公共”、“商务”、“产品的生产”四个大类,每个大类包含若干中类,每个中类被赋予“一”、“二”或“三”级别(认可风险水平由高至低)。附录A介绍了认证业务范围分类与分级的相关考虑。注:对于ISMS,技术领域与信息安全控制措施所涉及的信息安全技术、信息技术及业务活动的类别有关。3.2专业能力:能够应用特定技术领域的知识实现预期结果的本领CNAS-SC170:2017第5页共23页2017年01月01日发布2020年08月15日第一次修订2020年11月30日实施4ISMS认证机构认可规范的构成4.1CNAS-RC01《认证机构认可规则》是ISMS认证机构认可活动的基本程序规则。CNAS-CC01《管理体系认证机构要求》是ISMS认证机构的基本认可准则。CNAS-CC170《信息安全管理体系认证机构要求》是ISMS认证机构的专用认可准则。4.2其他适用的认可规则包括:a)CNAS-R01《认可标识使用和认可状态声明规则》;b)CNAS-R02《公正性和保密规则》;c)CNAS-R03《申诉、投诉和争议处理规则》;d)CNAS-RC02《认证机构认可资格处理规则》;e)CNAS-RC03《认证机构信息通报规则》;f)CNAS-RC04《认证机构认可收费管理规则》;g)CNAS-RC05《多场所认证机构认可规则》;h)CNAS-RC07《具有境外场所的认证机构认可规则》。4.3其他适用的认可准则包括:a)CNAS-CC11《基于抽样的多场所认证》;b)CNAS-CC12《已认可的管理体系认证的转换》;c)CNAS-CC14《信息和通信技术(ICT)在审核中应用》;d)CNAS-CC106《CNAS-CC01在一体化管理体系审核中的应用》。R部分R.1认可申请申请方应提供CNAS-RC01条款5.1.2规定的申请文件以及下列文件和信息:1)已审核过的客户(对应到附录A的相应中类);2)自申请时间起6个月内计划实施的审核(对应到附录A的相应中类);3)本机构确保客户符合工信部联协[2010]394号文《关于加强信息安全管理体系认证安全管理的通知》的要求以及有关主管部门/监管部门对信息安全管理体系认证的管理要求的措施;4)需要时,CNAS要求的其他信息。R.2预访问必要时,CNAS可在受理申请过程中安排预访问,以了解申请方是否已满足认可申请条件以及是否基本具备接受认可评审的条件。R.3初次认可的见证评审CNAS结合申请方ISMS认证活动的范围、规模和风险水平确定初次认可的见证评CNAS-SC170:2017第6页共23页2017年01月01日发布2020年08月15日第一次修订2020年11月30日实施审安排。R.4认证业务范围的认可R.4.1CNAS按附录A的大类进行认可,必要时可将认可范围限定到中类。CNAS认可某一大类的基本要求是认证机构的能力分析和评价系统覆盖了该大类,且系统运行基本有效。为此,认证机构应满足以下条件:a)对该大类和认证活动涉及到的中类进行了适宜、有效的能力需求分析;b)根据该大类和相关中类的能力需求分析,以适宜、有效的方式确定了能力分析和评价系统的相关组成部分(例如技术领域、能力准则等);c)能力分析和评价系统在与相关中类有关的认证活动中有效地发挥了作用。CNAS按申请认可的每个大类评价认证机构是否满足以上条件。如果认证机构在一个大类中的多个中类实施了认证,CNAS可采用抽样的方式优先选取风险级别高的中类进行评价,并实施见证评审。R.4.2CNAS对ISMS认证机构认证业务范围的认可不包括中华人民共和国境内(不含香港、澳门特别行政区,台湾地区)的各级政府机关、政府信息系统运行单位和涉密信息系统建设使用单位,并在认可证书附件中做相应说明。R.4.3认证机构应确保运用能力分析和评价系统为该大类的每次认证活动配备所需的全部能力,同时确保客户符合工信部联协[2010]394号文《关于加强信息安全管理体系认证安全管理的通知》的要求以及有关主管部门/监管部门对信息安全管理体系认证的管理要求。只有在满足这些条件之后,认证机构才可实施认证活动和颁发带有CNAS认可标识的认证证书。此外,对于一级风险的中类,认证机构还应在该大类中某个一级风险的中类已通过了CNAS的见证评审之后,才可以在认证证书上施加CNAS认可标识。R.4.4CNAS在认可某一大类后,将在后续监督中对认证机构在该大类下自我评价和配备认证能力的情况进行评审(包括在见证时优先选取风险等级高的中类),并依据相关认可规范对发现的不符合进行处理(包括依据CNAS-RC02暂停或撤销部分或全部认可范围)。R.5其他R.5.1CNAS对ISMS认证机构认可标识的管理遵循CNAS-R01《认可标识使用和认可状态声明规则》的相关要求。R.5.2CNAS-RC03条款5.2中“获证组织发生重大事故/事件”是指获得ISMS认证的组织发生具有下列影响的信息安全破坏:a)已经或可能严重损害国家安全、社会秩序、公共利益或获证组织及其相关方的合法权益;或者b)可能损害颁证机构或CNAS的公信力、声誉,或使颁证机构或CNAS承担连带责任。CNAS-SC170:2017第7页共23页2017年01月01日发布2020年08月15日第一次修订2020年11月30日实施发生上述情况时,颁证机构应及时采取相应措施并向CNAS通报相关情况。R.5.3如果CNAS可能需要在评审中接触认证机构的客户的相关信息资产,认证机构应向相关组织询问是否同意CNAS接触这些信息资产。如果组织同意,认证机构应识别CNAS接触这些信息资产时须满足的所有要求,并告知CNAS。如果组织不同意或CNAS无法满足相关要求,CNAS将根据评审所受的影响采取相应的措施。C部分C.1认证协议(CNAS-CC01条款5.1.2)认证协议应就控制审核和认证活动引发的客户信息安全风险做出规定,包括明确认证机构和客户及其有关人员的责任与义务。C.2风险评估和责任安排(CNAS-CC01条款5.3.1)认证机构应对其审核和认证活动可能给客户的信息安全带来的风险以及认证机构可能承担的责任进行评估,并做出充分的安排(例如购买职业责任