ISMS认证机构要求及实施指南

"CNAS-CC17是中国合格评定国家认可委员会制定的关于信息安全管理体系（ISMS）认证机构的要求标准，旨在规定机构从事ISMS认证业务应具备的条件和规范。该标准于2009年发布并实施，涵盖了认证机构在法律与合同、公正性管理、组织结构、资源、信息、过程以及管理体系等多个方面的要求。" 详细说明: 1. 范围: CNAS-CC17标准适用于所有计划或正在进行ISMS认证服务的机构，确保它们在提供认证时遵循公正、专业且合规的原则。 2. 规范性引用文件: 标准引用了相关的法律、法规和质量管理标准，如GB/T19001-2000，作为认证机构建立和运行管理体系的基础。 3. 术语和定义: 定义了ISMS认证过程中的关键术语，以便理解和应用标准。 4. 原则: 包括公正性、专业能力和财务稳定性的原则，确保认证过程的可信度。 5. 通用要求: 要求机构在处理法律与合同事务时需合规，同时管理和维护认证活动的公正性，明确机构的责任和财务状况。 6. 结构要求: 规定了机构的组织结构，要求最高管理层对ISMS认证负有责任，并设立维护公正性的委员会。 7. 资源要求: 强调人员的能力和资质，包括管理层、审核员和技术专家，以及对外包和信息管理的控制。 8. 信息要求: 规定了公开信息、认证文件的管理，对获证客户信息公开的限制，以及保密性和信息交换的准则。 9. 过程要求: 描述了从初次审核到再认证、申诉和投诉处理的全过程，还包括对特殊情况的审核和对认证范围的调整。 10. 认证机构的管理体系要求: 提供了两种选择来建立管理体系，一种是依据GB/T19001-2000，另一种是通用的管理体系要求，强调ISMS的实施。 11. 附录提供了对客户组织复杂性分析的指导，审核员所需的能力，以及确定审核时间的程序等，确保认证过程的专业性和效率。 这个标准对ISMS认证机构的运营设定了全面而严谨的标准，确保了认证的权威性和有效性，同时也保护了申请组织的权益。通过遵循这些要求，认证机构能够提供可靠、公正的服务，增强公众对ISMS认证的信任。